交换机如何配置防止用户手动私设IP地址(IPSG+DHCP Snooping)

image alt text

以前读书的时候大学里就限制了私设ip地址只能通过DHCP获得。当时学完CCNA的时候也没发现这个技术,一问老师,才知道这是CCNP里叫DHCP信任的技术,也就是说,设置交换机只信任某个或某些端口的DHCP报文,其他端口的一律过滤掉。但是这里其实并没有解决手动设置ip地址的限制,经过查询这里还需要个叫IP Source Guard的技术。

# DHCP Snooping

DHCP Snooping是DHCP的一种安全特性,具有如下功能:

  1. 保证客户端从合法的服务器获取IP地址。
  2. 记录DHCP客户端IP地址与MAC地址的对应关系;

# IP Source Guard

通过IP Source Guard绑定功能,可以对端口转发的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了端口的安全性。该功能很灵活,支持IP、MAC、IP+MAC、IP+VLAN、MAC+VLAN、IP+MAC+VLAN。

  1. 静态绑定:通过手工配置方式提供绑定表项;
  2. 动态绑定:由DHCP Snooping提供绑定表项。该方式利用了端口上DHCP Snooping所记录的DHCP客户端IP地址与MAC地址的对应关系。

由于网络环境复杂,我们这里就动态绑定了,当然也可能配合静态绑定了。

# 配置要点

  • 接入交换机全局开启dhcp snooping
  • 接入交换机的上连口(即连接到dhcp服务器的端口)配置信任口
  • 除上连口外的其他端口配置source guard功能

下面是基于vlan的实际配置:

dhcp enable
dhcp snooping enable

vlan 4000
dhcp snooping enable
dhcp snooping trusted interface GigabitEthernet0/0/4
ip source check user-bind enable
ip source check user-bind check-item ip-address mac-address

interface Ethernet0/0/24
port link-type access
port default vlan 4000
arp anti-attack check user-bind enable

其中arp anti-attack check user-bind enable 是解决私自配置IP导致arp冲突。 当然也可以静态绑定:

user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface gigabitethernet 1/0/1 vlan 10

这里也可以不绑定交换机端口,可以灵活调整。


参考地址:

  1. http://www.h3c.com.cn/Service/Document_Center/Switches/Catalog/S5120/S5120-SI/Configure/Operation_Manual/H3C_S5120-SI_CG-Release_1101-6W104/201108/723473_30005_0.htm
  2. http://support.huawei.com/ecommunity/bbs/10244340.html
  3. http://www.ruijie.com.cn/fw/wt/32505

--EOF--


>看不到评论?GFW!!!