網絡安全之IPSG防止DHCP動態主機私自更改IP地址
組網圖形
IPSG簡介
- IPSG是一種基于二層接口的源IP地址過濾技術,它利用交換機上的綁定表對IP報文進行過濾。綁定表由IP地址、MAC地址、VLAN ID和接口組成,包括靜態和動態兩種。靜態綁定表是用戶手工創建的,動態綁定表即DHCP Snooping綁定表,它是在主機動態獲取IP地址時,交換機根據DHCP回復報文自動生成的。綁定表生成后,在使能IPSG的接口收到報文后,交換機會將報文中的信息和綁定表匹配,匹配成功則允許報文通過,匹配失敗則丟棄報文。匹配的內容可以是IP地址、MAC地址、VLAN ID和接口的任意組合,例如可以只匹配IP地址,或者只匹配IP地址和MAC地址,或者IP地址、MAC地址、VLAN ID和接口都匹配等。
- 基于此,IPSG能夠防止惡意主機盜用合法主機的IP地址來仿冒合法主機,還能確保非授權主機不能通過自己指定IP地址的方式來訪問網絡或者攻擊網絡。
- 例如:在主機是DHCP服務器動態分配IP地址的環境下,主機只能使用服務器動態分配的IP地址,私自配置靜態IP地址將無法訪問網絡,除非管理員為主機創建靜態綁定表項。
組網需求
- 如圖1所示,Host通過ACC接入網絡,Core作為DHCP Server為Host動態分配IP地址,打印機使用靜態IP地址,Gateway為企業出口網關。管理員希望Host不能私自配置靜態IP地址,私自配置IP地址后將無法訪問網絡。
配置思路
- 1.在Core上配置DHCP Server功能,為Host動態分配IP地址。
- 2.在ACC上配置DHCP Snooping功能,保證Host從合法的DHCP Server獲取IP地址,同時生成DHCP Snooping動態綁定表,記錄Host的IP地址、MAC地址、VLAN、接口的綁定關系。
- 3.在ACC上為打印機創建靜態綁定表,保證打印機的安全接入。
- 4.在ACC連接用戶的VLAN上使能IPSG功能,防止Host通過私自配置IP地址的方式訪問網絡。
操作步驟
- 1.在Core上配置DHCP Server功能
<HUAWEI> system-view [HUAWEI] sysname Core [Core] vlan batch 10 [Core] interface gigabitethernet 0/0/1 [Core-GigabitEthernet0/0/1] port link-type trunk [Core-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 [Core-GigabitEthernet0/0/1] quit [Core] dhcp enable [Core] ip pool 10 [Core-ip-pool-10] network 10.1.1.0 mask 24 [Core-ip-pool-10] gateway-list 10.1.1.1 [Core-ip-pool-10] quit [Core] interface vlanif 10 [Core-Vlanif10] ip address 10.1.1.1 255.255.255.0 [Core-Vlanif10] dhcp select global [Core-Vlanif10] quit
- 2.在ACC上配置DHCP Snooping功能
# 配置各接口所屬VLAN。
<HUAWEI> system-view [HUAWEI] sysname ACC [ACC] vlan batch 10 [ACC] interface gigabitethernet 0/0/1 [ACC-GigabitEthernet0/0/1] port link-type access [ACC-GigabitEthernet0/0/1] port default vlan 10 [ACC-GigabitEthernet0/0/1] quit [ACC] interface gigabitethernet 0/0/2 [ACC-GigabitEthernet0/0/2] port link-type access [ACC-GigabitEthernet0/0/2] port default vlan 10 [ACC-GigabitEthernet0/0/2] quit [ACC] interface gigabitethernet 0/0/3 [ACC-GigabitEthernet0/0/3] port link-type access [ACC-GigabitEthernet0/0/3] port default vlan 10 [ACC-GigabitEthernet0/0/3] quit [ACC] interface gigabitethernet 0/0/4 [ACC-GigabitEthernet0/0/4] port link-type trunk [ACC-GigabitEthernet0/0/4] port trunk allow-pass vlan 10 [ACC-GigabitEthernet0/0/4] quit
# 使能DHCP Snooping功能,并將連接DHCP Server的GE0/0/4接口配置為信任接口。
[ACC] dhcp enable //使能DHCP功能 [ACC] dhcp snooping enable //使能DHCP Snooping功能 [ACC] vlan 10 [ACC-vlan10] dhcp snooping enable //使能DHCP Snooping功能 [ACC-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/4 //配置信任接口 [ACC-vlan10] quit
- 3.創建打印機的靜態綁定表項
[ACC] user-bind static ip-address 10.1.1.2 mac-address 0003-0003-0003 interface gigabitethernet 0/0/3 vlan 10
- 4.在ACC的VLAN10上使能IPSG功能
[ACC] vlan 10 [ACC-vlan10] ip source check user-bind enable //使能IPSG功能 [ACC-vlan10] quit
- 5.驗證配置結果
Host上線后,在ACC上執行display dhcp snooping user-bind all命令,可以查看Host的動態綁定表信息。
[ACC] display dhcp snooping user-bind all DHCP Dynamic Bind-table: Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping IP Address MAC Address VSI/VLAN(O/I/P) Interface Lease -------------------------------------------------------------------------------- 10.1.1.254 0001-0001-0001 10 /-- /-- GE0/0/1 2014.08.17-07:31 10.1.1.253 0002-0002-0002 10 /-- /-- GE0/0/2 2014.08.17-07:34 -------------------------------------------------------------------------------- print count: 2 total count: 2
在ACC上執行display dhcp static user-bind all命令,可以查看打印機的靜態綁定表信息。
[ACC] display dhcp static user-bind all DHCP static Bind-table: Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping IP Address MAC Address VSI/VLAN(O/I/P) Interface -------------------------------------------------------------------------------- 10.1.1.2 0003-0003-0003 10 /-- /-- GE0/0/3 -------------------------------------------------------------------------------- Print count: 1 Total count: 1
Host使用DHCP服務器動態分配的IP地址可以正常訪問網絡,將Host更改為與動態獲得的IP地址不一樣的靜態IP地址后無法訪問網絡。
********** 如果您認為這篇文章還不錯或者有所收獲,請點擊右下角的【推薦】/【贊助】按鈕,因為您的支持是我繼續創作分享的最大動力! **********
作者:講文張字
出處:http://www.rzrgm.cn/zhangwencheng
版權:本文版權歸作者和博客園共有,歡迎轉載,但未經作者同意必須保留此段聲明,且在文章頁面明顯位置給出 原文鏈接
出處:http://www.rzrgm.cn/zhangwencheng
版權:本文版權歸作者和博客園共有,歡迎轉載,但未經作者同意必須保留此段聲明,且在文章頁面明顯位置給出 原文鏈接
浙公網安備 33010602011771號