DHCP snooping + IPSG准入机制

文章目录

  • 1 DHCP snooping
  • 2 IPSG(IP Source Guard)
    • 2.1 配置基于VLAN的IP Source Guard
    • 2.2 配置基于接口的IP Source Guard

强烈推荐文档:

IPSG简介-官方文档-可下载pdf

简化版拓扑图:
DHCP snooping + IPSG准入机制_第1张图片

设备:

  • 华为S2700
  • 华为S5700
  • PC1
    IP:10.0.0.10/24
    mac:0000-1111-2222

1 DHCP snooping

DHCP Snooping大致具有以下两方面的功能:

  1. 保证DHCP客户端从合法的DHCP服务器处获取IP地址。
    为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将端口(可以在二层连核心的上联口)分为"信任端口"(Trusted Port)和"不信任端口"(Untrusted Port)两大类。信任端口正常转发接收到的DHCP报文;而不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文。然后把连接合法DHCP服务器和其他DHCP Snooping设备的端口设置为信任端口,其他所有端口(包括连接DHCP客户端的端口)均设置为不信任端口。目前,可以配置为DHCP Snooping信任端口的接口类型包括:二层以太网端口、二层聚合端口
  2. 记录DHCP客户端IP地址与MAC地址的对应关系。
    启用DHCP Snooping功能后,通过监听非信任端口收到的DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文可以记录DHCP Snooping表项,其中包括客户端的MAC地址、获取到的IP地址、与DHCP客户端连接的端口及该端口所属的VLAN等信息。利用这些信息可以帮助实现一些其他安全功能,如ARP快速响应、ARP检测、IPSG(IP Source Guard,IP源防护)

配置dhcp snooping

[Quidway]dhcp enable 
[Quidway]dhcp snooping enable

# 若有vlan还需要在vlan中开启dhcp snooping
[Quidway]vlan 100
[Quidway-vlan100]dhcp snooping enable

# 上联口配置dhcp snooping trusted
[Quidway]int Ethernet0/0/22
[Quidway-Ethernet0/0/22]dhcp snooping trusted
[Quidway-Ethernet0/0/22]dis th
#
interface Ethernet0/0/22
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
 dhcp snooping trusted
#
return

2 IPSG(IP Source Guard)

IPSG可以防范针对源IP地址进行欺骗的攻击行为。
IP Source Guard功能是基于绑定表对IP报文进行匹配检查。当设备在转发IP报文时,将此报文中的源IP、源MAC、端口、VLAN信息和绑定表的信息进行比较,如果信息匹配,表明是合法用户,则允许报文正常转发,否则认为报文时攻击报文,并丢弃该报文。
IP Source Guard功能是基于绑定表对IP报文进行匹配检查。检查内容包括:源IP地址源MAC地址VLAN和接口
常用的两种配置:

  1. 配置基于VLAN的IP Source Guard
  2. 配置基于接口的IP Source Guard

2.1 配置基于VLAN的IP Source Guard

最好在三层配置基于VLAN的IP Source Guard

1 开启IP报文检查功能
[HeXin]vlan 100
[HeXin-vlan100]ip source check user-bind enable

2 配置IP报文检查项(默认mac)
[HeXin-vlan100]ip source check user-bind check-item ?
  interface    Interface 
  ip-address   IP address 
  mac-address  MAC address

3 实现用户上网
[HeXin]user-bind static mac-address 0000-1111-2222

2.2 配置基于接口的IP Source Guard

可在三层交换机或二层交换机上配置

1 先在二层交换机创建一个组,把想要配置同一个vlan的接口放入此组(方便配置管理),然后开始做mac限制。
[Quidway]port-group 100		# 创建端口组
[Quidway-port-group-100]group-member Ethernet 0/0/1 to Ethernet 0/0/21	# 把1~21口划入到端口组中
[Quidway-port-group-100]port link-type access			# 端口类型改为access
[Quidway-port-group-100]port default vlan 100			# 配置默认允许的vlan
[Quidway-port-group-100]ip source check user-bind enable	# 开启准入策略
[Quidway-port-group-100]ip source check user-bind check-item mac-address  # 配置基于mac的准入策略

2 最好在核心交换机中的dhcp地址池中进行IP和mac的绑定,这样可以更好地管理人员IP和mac。
[HeXin]ip pool 100
[HeXin-ip-pool-100]static-bind ip-address 10.0.0.10 mac-address 0000-1111-2222

3 若有用户需要上网,则只需在二层系统视图下加一条命令即可
[Quidway]user-bind static mac-address 0000-1111-2222

4 取消此mac的准入
[Quidway]undo user-bind static mac-address 0000-1111-2222

5 查询mac对应哪台交换机
(1)在核心查此IP连接哪个二层交换机(即找接口连的交换机)
	dis arp dynamic | include 10.0.0.10

(2)在网络拓扑图中找到此接口对应的二层交换机,登录操作即可
	dis mac-address | include 0000-1111-2222     # 可查询此mac对应二层交换机的接口

参考文章

1)DHCP Snooping的两个主要功能
2)华为IPSG技术白皮书

你可能感兴趣的:(路由交换)