文章目录
1 DHCP snooping2 IPSG(IP Source Guard)2.1 配置基于VLAN的IP Source Guard2.2 配置基于接口的IP Source Guard强烈推荐文档:
IPSG简介-官方文档-可下载pdf
简化版拓扑图:
设备:
华为S2700华为S5700PC1
IP:10.0.0.10/24
mac:0000-1111-2222
1 DHCP snooping
DHCP Snooping大致具有以下两方面的功能:
保证DHCP客户端从合法的DHCP服务器处获取IP地址。
为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将端口(可以在二层连核心的上联口)分为"信任端口"(Trusted Port)和"不信任端口"(Untrusted Port)两大类。信任端口正常转发接收到的DHCP报文;而不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文。然后把连接合法DHCP服务器和其他DHCP Snooping设备的端口设置为信任端口,其他所有端口(包括连接DHCP客户端的端口)均设置为不信任端口。目前,可以配置为DHCP Snooping信任端口的接口类型包括:二层以太网端口、二层聚合端口记录DHCP客户端IP地址与MAC地址的对应关系。
启用DHCP Snooping功能后,通过监听非信任端口收到的DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文可以记录DHCP Snooping表项,其中包括客户端的MAC地址、获取到的IP地址、与DHCP客户端连接的端口及该端口所属的VLAN等信息。利用这些信息可以帮助实现一些其他安全功能,如ARP快速响应、ARP检测、IPSG(IP Source Guard,IP源防护)
配置dhcp snooping
[Quidway]dhcp enable [Quidway]dhcp snooping enable# 若有vlan还需要在vlan中开启dhcp snooping[Quidway]vlan 100[Quidway-vlan100]dhcp snooping enable# 上联口配置dhcp snooping trusted[Quidway]int Ethernet0/0/22[Quidway-Ethernet0/0/22]dhcp snooping trusted[Quidway-Ethernet0/0/22]dis th#interface Ethernet0/0/22port link-type trunkport trunk allow-pass vlan 2 to 4094dhcp snooping trusted#return
2 IPSG(IP Source Guard)
IPSG可以防范针对源IP地址进行欺骗的攻击行为。
IP Source Guard功能是基于绑定表对IP报文进行匹配检查。当设备在转发IP报文时,将此报文中的源IP、源MAC、端口、VLAN信息和绑定表的信息进行比较,如果信息匹配,表明是合法用户,则允许报文正常转发,否则认为报文时攻击报文,并丢弃该报文。
IP Source Guard功能是基于绑定表对IP报文进行匹配检查。检查内容包括:源IP地址
、源MAC地址
、VLAN和接口
。
常用的两种配置:
配置基于VLAN的IP Source Guard配置基于接口的IP Source Guard
2.1 配置基于VLAN的IP Source Guard
最好在三层配置基于VLAN的IP Source Guard
1 开启IP报文检查功能[HeXin]vlan 100[HeXin-vlan100]ip source check user-bind enable2 配置IP报文检查项(默认mac)[HeXin-vlan100]ip source check user-bind check-item ?interface Interface ip-address IP address mac-address MAC address3 实现用户上网[HeXin]user-bind static mac-address 0000-1111-2222
2.2 配置基于接口的IP Source Guard
可在三层交换机或二层交换机上配置
1 先在二层交换机创建一个组,把想要配置同一个vlan的接口放入此组(方便配置管理),然后开始做mac限制。[Quidway]port-group 100# 创建端口组[Quidway-port-group-100]group-member Ethernet 0/0/1 to Ethernet 0/0/21# 把1~21口划入到端口组中[Quidway-port-group-100]port link-type access# 端口类型改为access[Quidway-port-group-100]port default vlan 100# 配置默认允许的vlan[Quidway-port-group-100]ip source check user-bind enable# 开启准入策略[Quidway-port-group-100]ip source check user-bind check-item mac-address # 配置基于mac的准入策略2 最好在核心交换机中的dhcp地址池中进行IP和mac的绑定,这样可以更好地管理人员IP和mac。[HeXin]ip pool 100[HeXin-ip-pool-100]static-bind ip-address 10.0.0.10 mac-address 0000-1111-22223 若有用户需要上网,则只需在二层系统视图下加一条命令即可[Quidway]user-bind static mac-address 0000-1111-22224 取消此mac的准入[Quidway]undo user-bind static mac-address 0000-1111-22225 查询mac对应哪台交换机(1)在核心查此IP连接哪个二层交换机(即找接口连的交换机)dis arp dynamic | include 10.0.0.10(2)在网络拓扑图中找到此接口对应的二层交换机,登录操作即可dis mac-address | include 0000-1111-2222# 可查询此mac对应二层交换机的接口
参考文章
1)DHCP Snooping的两个主要功能
2)华为IPSG技术白皮书