IP Source Guard简介.docx

IPSourceGuard简介您好：感谢您使用H3C的系列产品和长期以来对我们工作的支持！推荐您使用ip源防护来防止ARP攻击比拟好：假如您网络内使用DHCP分配，则使用动态ip源防护；假如您网络内的PC都是使用手工分配IP地址，这推荐您使用静态源防护，详细操作请参考下面内容:1.1IPSourceGuard简介通过IPSourceGuard绑定功能，能够对端口转发的报文进行过滤控制，防止非法IP地址和MAC地址的报文通过端口，提高了端口的安全性。端口接收到报文后查找IPSourceGuard绑定表项，假如报文中的特征项与绑定表项中记录的特征项匹配，则端口转发该报文，否则做丢弃处理。IPSourceGuard支持的报文特征项包括：源IP地址、源MAC地址，可支持端口与如下特征项的组合下文简称绑定表项：源IP源MAC源IP源MAC该特性提供两种绑定机制：一种是通过手工配置方式提供绑定表项，称为静态绑定；另外一种由DHCPSnooping提供绑定表项，称为动态绑定。而且，绑定是针对端口的，一个端口被绑定后，仅该端口被限制，其他端口不受该绑定影响。注意：IPSourceGuard功能与端口参加聚合组互斥。1.2配置静态绑定表项表1-1配置静态绑定表项讲明：绑定策略：不支持一个端口上一样表项的重复绑定；一样的表项能够在多个端口上绑定。合法绑定表项的MAC地址不能为全0、全F广播MAC和组播MAC，IP地址必须为A、B、C三类地址之一，不能为127.x.x.x和0.0.0.0。1.3配置动态绑定功能端口上使能动态绑定功能后，根据设备对各动态绑定类型的支持情况，IPSourceGuard会选择接收并处理相应的DHCPSnooping表项。表项内容包括MAC地址、IP地址、VLAN信息、端口信息及表项类型。IPSourceGuard把这些动态获取的表项添加到动态绑定表项中，实现过滤端口转发报文的功能。表1-2配置动态绑定功能1.4IPSourceGuard显示在完成上述配置后，在任意视图下执行display命令能够显示配置后IPSourceGuard的运行情况，通过查看显示信息验证配置的效果。表1-3IPSourceGuard显示1.5IPSourceGuard典型配置举例1.5.1静态绑定表项配置举例1.组网需求2台交换机SwitchA、SwitchB、3台数据终端HostA、HostB、HostC接入到以太网中相互通信。HostA与HostB分别接到SwitchB的端口GigabitEthernet1/0/1、GigabitEthernet1/0/2上；HostC接到SwitchA的端口GigabitEthernet1/0/2上。SwitchB接到SwitchA的端口GigabitEthernet1/0/1上。详细应用需求如下：在SwitchA的GigabitEthernet1/0/2上只允许MAC地址为00-01-02-03-04-05与IP地址为192.168.0.3的数据终端HostC发送的IP报文通过。SwitchA的GigabitEthernet1/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端HostA发送的IP报文通过。在SwitchB的GigabitEthernet1/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端HostA发送的IP报文通过。在SwitchB的GigabitEthernet1/0/2上只允许MAC地址为00-01-02-03-04-07与IP地址为192.168.0.2的数据终端HostB发送的IP报文通过。2.组网图图1-1配置静态绑定表项组网图3.配置步骤(1)配置SwitchA#配置各接口的IP地址略。#配置在SwitchA的GigabitEthernet1/0/2上只允许MAC地址为00-01-02-03-04-05与IP地址为192.168.0.3的数据终端HostC发送的IP报文通过。system-viewSwitchAinterfacegigabitethernet1/0/2SwitchA-GigabitEthernet1/0/2user-bindip-address192.168.0.3mac-address0001-0203-0405SwitchA-GigabitEthernet1/0/2quit#配置在SwitchA的GigabitEthernet1/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端HostA发送的IP报文通过。SwitchAinterfacegigabitethernet1/0/1SwitchA-GigabitEthernet1/0/1user-bindip-address192.168.0.1mac-address0001-0203-0406(2)配置SwitchB#配置各接口的IP地址略。#配置在SwitchB的GigabitEthernet1/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端HostA发送的IP报文通过。system-viewSwitchBinterfacegigabitethernet1/0/1SwitchB-GigabitEthernet1/0/1user-bindip-address192.168.0.1mac-address0001-0203-0406SwitchB-GigabitEthernet1/0/1quit#配置在SwitchB的GigabitEthernet1/0/2上只允许MAC地址为00-01-02-03-04-07与IP地址为192.168.0.2的数据终端HostB发送的IP报文通过。SwitchBinterfacegigabitethernet1/0/2SwitchB-GigabitEthernet1/0/2user-bindip-address192.168.0.2mac-address0001-0203-0407(3)验证配置结果#在SwitchA上显示静态绑定表项配置成功。displayuser-bindThefollowinguseraddressbindingshavebeenconfigured:MACIPVlanPortStatus0001-0203-0405192.168.0.3N/AGigabitEthernet1/0/2Static0001-0203-0406192.168.0.1N/AGigabitEthernet1/0/1Static-2bindingentriesqueried,2listed-#在SwitchB上显示静态绑定表项配置成功。displayuser-bindThefollowinguseraddressbindingshavebeenconfigured:MACIPVlanPortStatus0001-0203-0406192.168.0.1N/AGigabitEthernet1/0/1Static0001-0203-0407192.168.0.2N/AGigabitEthernet1/0/2Static-2bindingentriesqueried,2listed-1.5.2动态绑定功能配置举例1.组网需求SwitchA通过端口GigabitEthernet1/0/1和GigabitEthernet1/0/2分别与客户端ClientA和DHCPServer相连。SwitchA上使能DHCPSnooping功能。详细应用需求如下：ClientAMAC地址为00-01-02-03-04-06通过DHCPServer获取IP地址。在SwitchA上生成ClientA的DHCPSnooping表项。在端口GigabitEthernet1/0/1上启用动态绑定功能，防止客户端使用伪造的不同源IP地址对服务器进行攻击。讲明：DHCPServer的详细配置请参考本手册中的“DHCP操作部分。2.组网图图1-2配置动态绑定功能组网图3.配置步骤(1)配置SwitchA#配置端口GigabitEthernet1/0/1的动态绑定功能。system-viewSwitchAinterfaceGigabitEthernet1/0/1SwitchA-GigabitEthernet1/0/1ipchecksourceip-addressmac-addressSwitchA-GigabitEthernet1/0/1quit#开启DHCPSnooping功能。SwitchAdhcp-snooping#设置与DHCP服务器相连的端口GigabitEthernet1/0/2为信任端口。SwitchAinterfaceGigabitEthernet1/0/2SwitchA-GigabitEthernet1/0/2dhcp-snoopingtrustSwitchA-GigabitEthernet1/0/2quit(2)验证配置结果#显示端口GigabitEthernet1/0/1从DHCPSnooping获取的动态表项。displayipchecksourceThefollowinguseraddressbindingshavebeenconfigured:MACIPVlanPortStatus0001-0203-0406192.168.0.11GigabitEthernet1/0/1DHCP-SNP-1bindingentriesqueried,1listed-#显示DHCPSnooping已有的动态表项，查看其能否和端口GigabitEthernet1/0/1获取的动态表项一致。displaydhcp-snoopingDHCPSnoopingisenabled.Theclientbindingtableforalluntrustedports.Type:D-Dynamic,S-StaticTypeIPAddressMACAddressLeaseVLANInterface=D192.168.0.10001-0203-0406863351GigabitEthernet1/0/1从以上显示信息能够看出，端口GigabitEthernet1/0/1在配置动态绑定功能之后获取了DHCPSnooping产生的动态表项。1.6常见配置错误举例1.6.1静态绑定表项配置和动态绑定功能配置失败1.故障现象在端口上配置静态绑定表项、配置动态绑定功能均失败。2.故障分析IPSourceGuard功能跟聚合端口互斥。在聚合端口下不能配置静态绑定表项，也不能配置动态绑定功能。3.处理经过去掉端口的聚合状态，并将端口从聚合组中删除。祝您身体健康！工作愉快！此致敬礼杭州华三通信技术有限公司HangZhouH3CTechnologiesCo.,Ltd.Tel：400-810-0504/800-810-0504#1:售前参数选配咨询；#2:备件维修维保查询；#3:技术问题配置咨询；#4:培训业务相关；#5:表扬投诉建议；#6：非技术问题license申请*本邮件及其附件含有华三公司的保密信息，仅限于发送给上面地址中列出的个人或群组。禁止任何其别人以任何形式使用包括但不限于全部或部分地泄露、复制、或散发本邮件中的信息。假如您错收了本邮件，请您立即电话或邮件通知发件人并删除本邮件！*Thise-mailanditsattachmentscontainconfidentialinformationfromH3C,whichisintendedonlyforthepersonorentitywhoseaddressislistedabove.Anyuseoftheinformationcontainedhereinanyway(including,butnotlimitedto,totalorpartialdisclosure,reproduction,ordissemination)bypersonsotherthantheintendedrecipient(s)isprohibited.Ifyoureceivethise-mailinerror,pleasenotifythesender