网络安全之IPSG防止DHCP动态主机私自更改IP地址

组网图形

    

IPSG简介

  • IPSG是一种基于二层接口的源IP地址过滤技术,它利用交换机上的绑定表对IP报文进行过滤。绑定表由IP地址、MAC地址、VLAN ID和接口组成,包括静态和动态两种。静态绑定表是用户手工创建的,动态绑定表即DHCP Snooping绑定表,它是在主机动态获取IP地址时,交换机根据DHCP回复报文自动生成的。绑定表生成后,在使能IPSG的接口收到报文后,交换机会将报文中的信息和绑定表匹配,匹配成功则允许报文通过,匹配失败则丢弃报文。匹配的内容可以是IP地址、MAC地址、VLAN ID和接口的任意组合,例如可以只匹配IP地址,或者只匹配IP地址和MAC地址,或者IP地址、MAC地址、VLAN ID和接口都匹配等。
  • 基于此,IPSG能够防止恶意主机盗用合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或者攻击网络。
  • 例如:在主机是DHCP服务器动态分配IP地址的环境下,主机只能使用服务器动态分配的IP地址,私自配置静态IP地址将无法访问网络,除非管理员为主机创建静态绑定表项。

组网需求

  • 如图1所示,Host通过ACC接入网络,Core作为DHCP Server为Host动态分配IP地址,打印机使用静态IP地址,Gateway为企业出口网关。管理员希望Host不能私自配置静态IP地址,私自配置IP地址后将无法访问网络。

配置思路

  • 1.在Core上配置DHCP Server功能,为Host动态分配IP地址。
  • 2.在ACC上配置DHCP Snooping功能,保证Host从合法的DHCP Server获取IP地址,同时生成DHCP Snooping动态绑定表,记录Host的IP地址、MAC地址、VLAN、接口的绑定关系。
  • 3.在ACC上为打印机创建静态绑定表,保证打印机的安全接入。
  • 4.在ACC连接用户的VLAN上使能IPSG功能,防止Host通过私自配置IP地址的方式访问网络。

操作步骤

  • 1.在Core上配置DHCP Server功能
<HUAWEI> system-view
[HUAWEI] sysname Core
[Core] vlan batch 10
[Core] interface gigabitethernet 0/0/1
[Core-GigabitEthernet0/0/1] port link-type trunk
[Core-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[Core-GigabitEthernet0/0/1] quit
[Core] dhcp enable
[Core] ip pool 10
[Core-ip-pool-10] network 10.1.1.0 mask 24
[Core-ip-pool-10] gateway-list 10.1.1.1
[Core-ip-pool-10] quit
[Core] interface vlanif 10
[Core-Vlanif10] ip address 10.1.1.1 255.255.255.0
[Core-Vlanif10] dhcp select global
[Core-Vlanif10] quit
  •  2.在ACC上配置DHCP Snooping功能

  # 配置各接口所属VLAN。

<HUAWEI> system-view
[HUAWEI] sysname ACC
[ACC] vlan batch 10
[ACC] interface gigabitethernet 0/0/1 
[ACC-GigabitEthernet0/0/1] port link-type access
[ACC-GigabitEthernet0/0/1] port default vlan 10
[ACC-GigabitEthernet0/0/1] quit
[ACC] interface gigabitethernet 0/0/2 
[ACC-GigabitEthernet0/0/2] port link-type access
[ACC-GigabitEthernet0/0/2] port default vlan 10
[ACC-GigabitEthernet0/0/2] quit
[ACC] interface gigabitethernet 0/0/3 
[ACC-GigabitEthernet0/0/3] port link-type access
[ACC-GigabitEthernet0/0/3] port default vlan 10
[ACC-GigabitEthernet0/0/3] quit
[ACC] interface gigabitethernet 0/0/4 
[ACC-GigabitEthernet0/0/4] port link-type trunk
[ACC-GigabitEthernet0/0/4] port trunk allow-pass vlan 10
[ACC-GigabitEthernet0/0/4] quit

   # 使能DHCP Snooping功能,并将连接DHCP Server的GE0/0/4接口配置为信任接口。

[ACC] dhcp enable  //使能DHCP功能
[ACC] dhcp snooping enable  //使能DHCP Snooping功能
[ACC] vlan 10
[ACC-vlan10] dhcp snooping enable  //使能DHCP Snooping功能
[ACC-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/4  //配置信任接口
[ACC-vlan10] quit
  •  3.创建打印机的静态绑定表项
[ACC] user-bind static ip-address 10.1.1.2 mac-address 0003-0003-0003 interface gigabitethernet 0/0/3 vlan 10
  •  4.在ACC的VLAN10上使能IPSG功能
[ACC] vlan 10
[ACC-vlan10] ip source check user-bind enable  //使能IPSG功能
[ACC-vlan10] quit
  •  5.验证配置结果

  Host上线后,在ACC上执行display dhcp snooping user-bind all命令,可以查看Host的动态绑定表信息。

[ACC] display dhcp snooping user-bind all
DHCP Dynamic Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
IP Address       MAC Address     VSI/VLAN(O/I/P) Interface      Lease           
--------------------------------------------------------------------------------
10.1.1.254       0001-0001-0001  10  /--  /--    GE0/0/1        2014.08.17-07:31
10.1.1.253       0002-0002-0002  10  /--  /--    GE0/0/2        2014.08.17-07:34
--------------------------------------------------------------------------------
print count:      2     total count:      2

   在ACC上执行display dhcp static user-bind all命令,可以查看打印机的静态绑定表信息。

[ACC] display dhcp static user-bind all
DHCP static Bind-table:                                                         
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping                          
IP Address                      MAC Address     VSI/VLAN(O/I/P) Interface       
--------------------------------------------------------------------------------
10.1.1.2                        0003-0003-0003  10  /--  /--    GE0/0/3
--------------------------------------------------------------------------------
Print count:           1          Total count:           1          

   Host使用DHCP服务器动态分配的IP地址可以正常访问网络,将Host更改为与动态获得的IP地址不一样的静态IP地址后无法访问网络。

 

posted @ 2020-12-25 09:40  讲文张字  阅读(1533)  评论(0编辑  收藏  举报
返回顶部