网络安全之IPSG防止DHCP动态主机私自更改IP地址

合集 - Huawei R/S(35)

1.配置通过Console口登录交换机/路由器2020-10-23 2.配置通过Web网管登录交换机/路由器2020-10-23 3.配置交换机接口二三层切换2020-10-28 4.交换机通过SFTP进行文件操作2020-10-27 5.交换机通过登录系统进行文件操作2020-10-27 6.选购交换机的性能指标2020-10-26 7.网络拓扑实例02：MSTP功能2020-11-17 8.网络拓扑实例01：RSTP功能2020-11-16 9.配置PoE交换机功能2020-11-13 10.交换机基于接口划分VLAN（汇聚层设备作为网关）2020-11-11 11.交换机基于接口划分VLAN（接入层设备作为网关）2020-11-10 12.配置交换机Trunk接口流量本地优先转发（集群/堆叠）2020-11-09 13.配置交换机之间直连链路聚合-LACP模式2020-10-30 14.配置交换机之间直连链路聚合-手工模式2020-10-28 15.配置OSPF与BFD联动2020-12-18 16.配置OSPF负载分担2020-12-17 17.IPv4静态路由与NQA联动2020-12-10 18.静态路由实现路由负载分担2020-12-08 19.静态路由实现主备备份2020-12-07 20.MSTP+VRRP组合组网2020-12-04 21.VRRP组网下同网段内配置基于全局地址池的DHCP服务器2020-12-03 22.路由器/交换机Console口登录密码丢失后如何恢复2020-12-02 23.交换机处于同一网络作为DHCP中继与服务器2020-12-01 24.交换机基于全局地址池作为DHCP服务器2020-11-30 25.交换机基于接口地址池作为DHCP服务器2020-11-27 26.RRPP单环2020-11-26 27.交换机通过Loopback Detection检测(设备所在网络环路)2020-11-25 28.交换机通过Loopback Detection检测(接口自环)2020-11-24 29.配置VRRP负载分担2020-11-23 30.配置VRRP主备功能2020-11-19 31.如何实现IP话机接入交换机？2021-04-14 32.企业使用路由策略控制L3VPN分支间用户互访案例2020-12-30

33.网络安全之IPSG防止DHCP动态主机私自更改IP地址2020-12-25

34.详述网络中ARP安全的综合功能2020-12-23 35.通过流策略实现策略路由（重定向到不同的下一跳）2020-12-22

组网图形

IPSG简介

IPSG是一种基于二层接口的源IP地址过滤技术，它利用交换机上的绑定表对IP报文进行过滤。绑定表由IP地址、MAC地址、VLAN ID和接口组成，包括静态和动态两种。静态绑定表是用户手工创建的，动态绑定表即DHCP Snooping绑定表，它是在主机动态获取IP地址时，交换机根据DHCP回复报文自动生成的。绑定表生成后，在使能IPSG的接口收到报文后，交换机会将报文中的信息和绑定表匹配，匹配成功则允许报文通过，匹配失败则丢弃报文。匹配的内容可以是IP地址、MAC地址、VLAN ID和接口的任意组合，例如可以只匹配IP地址，或者只匹配IP地址和MAC地址，或者IP地址、MAC地址、VLAN ID和接口都匹配等。
基于此，IPSG能够防止恶意主机盗用合法主机的IP地址来仿冒合法主机，还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或者攻击网络。
例如：在主机是DHCP服务器动态分配IP地址的环境下，主机只能使用服务器动态分配的IP地址，私自配置静态IP地址将无法访问网络，除非管理员为主机创建静态绑定表项。

组网需求

如图1所示，Host通过ACC接入网络，Core作为DHCP Server为Host动态分配IP地址，打印机使用静态IP地址，Gateway为企业出口网关。管理员希望Host不能私自配置静态IP地址，私自配置IP地址后将无法访问网络。

配置思路

1.在Core上配置DHCP Server功能，为Host动态分配IP地址。
2.在ACC上配置DHCP Snooping功能，保证Host从合法的DHCP Server获取IP地址，同时生成DHCP Snooping动态绑定表，记录Host的IP地址、MAC地址、VLAN、接口的绑定关系。
3.在ACC上为打印机创建静态绑定表，保证打印机的安全接入。
4.在ACC连接用户的VLAN上使能IPSG功能，防止Host通过私自配置IP地址的方式访问网络。

操作步骤

1.在Core上配置DHCP Server功能

<HUAWEI> system-view
[HUAWEI] sysname Core
[Core] vlan batch 10
[Core] interface gigabitethernet 0/0/1
[Core-GigabitEthernet0/0/1] port link-type trunk
[Core-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[Core-GigabitEthernet0/0/1] quit
[Core] dhcp enable
[Core] ip pool 10
[Core-ip-pool-10] network 10.1.1.0 mask 24
[Core-ip-pool-10] gateway-list 10.1.1.1
[Core-ip-pool-10] quit
[Core] interface vlanif 10
[Core-Vlanif10] ip address 10.1.1.1 255.255.255.0
[Core-Vlanif10] dhcp select global
[Core-Vlanif10] quit

2.在ACC上配置DHCP Snooping功能

　　# 配置各接口所属VLAN。

<HUAWEI> system-view
[HUAWEI] sysname ACC
[ACC] vlan batch 10
[ACC] interface gigabitethernet 0/0/1 
[ACC-GigabitEthernet0/0/1] port link-type access
[ACC-GigabitEthernet0/0/1] port default vlan 10
[ACC-GigabitEthernet0/0/1] quit
[ACC] interface gigabitethernet 0/0/2 
[ACC-GigabitEthernet0/0/2] port link-type access
[ACC-GigabitEthernet0/0/2] port default vlan 10
[ACC-GigabitEthernet0/0/2] quit
[ACC] interface gigabitethernet 0/0/3 
[ACC-GigabitEthernet0/0/3] port link-type access
[ACC-GigabitEthernet0/0/3] port default vlan 10
[ACC-GigabitEthernet0/0/3] quit
[ACC] interface gigabitethernet 0/0/4 
[ACC-GigabitEthernet0/0/4] port link-type trunk
[ACC-GigabitEthernet0/0/4] port trunk allow-pass vlan 10
[ACC-GigabitEthernet0/0/4] quit

　　# 使能DHCP Snooping功能，并将连接DHCP Server的GE0/0/4接口配置为信任接口。

[ACC] dhcp enable  //使能DHCP功能
[ACC] dhcp snooping enable  //使能DHCP Snooping功能
[ACC] vlan 10
[ACC-vlan10] dhcp snooping enable  //使能DHCP Snooping功能
[ACC-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/4  //配置信任接口
[ACC-vlan10] quit

3.创建打印机的静态绑定表项

1	`[ACC] user-bind` `static` `ip-address 10.1.1.2 mac-address 0003-0003-0003` `interface` `gigabitethernet 0/0/3 vlan 10`

4.在ACC的VLAN10上使能IPSG功能

[ACC] vlan 10
[ACC-vlan10] ip source check user-bind enable  //使能IPSG功能
[ACC-vlan10] quit

5.验证配置结果

　　Host上线后，在ACC上执行display dhcp snooping user-bind all命令，可以查看Host的动态绑定表信息。

[ACC] display dhcp snooping user-bind all
DHCP Dynamic Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
IP Address       MAC Address     VSI/VLAN(O/I/P) Interface      Lease           
--------------------------------------------------------------------------------
10.1.1.254       0001-0001-0001  10  /--  /--    GE0/0/1        2014.08.17-07:31
10.1.1.253       0002-0002-0002  10  /--  /--    GE0/0/2        2014.08.17-07:34
--------------------------------------------------------------------------------
print count:      2     total count:      2

　　在ACC上执行display dhcp static user-bind all命令，可以查看打印机的静态绑定表信息。

[ACC] display dhcp static user-bind all
DHCP static Bind-table:                                                         
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping                          
IP Address                      MAC Address     VSI/VLAN(O/I/P) Interface       
--------------------------------------------------------------------------------
10.1.1.2                        0003-0003-0003  10  /--  /--    GE0/0/3
--------------------------------------------------------------------------------
Print count:           1          Total count:           1          