当前位置:文档之家 › 关于动态生成绑定表项ip verify source ip-address mac-address

关于动态生成绑定表项ip verify source ip-address mac-address

  • 格式:pdf
  • 大小:175.20 KB
  • 文档页数:7

下载文档原格式

  / 7

合集下载

H3C ip地址批量配置

H3C ip地址批量配置
int g1/0/19
ip source binding ip-address 192.168.20.42
ip verify source ip-address
int g1/0/20
ip source binding ip-address 192.168.20.43
ip verify source ip-address
int g1/0/1
ip source binding ip-address 192.168.20.24
ip verify source ip-address
int g1/0/2
ip source binding ip-address 192.168.20.25
ip verify source ip-address
int g1/0/23
ip source binding ip-address 192.168.20.46
ip verify source ip-address
int g1/0/7
ip source binding ip-address 192.168.20.30
ip verify source ip-address
int g1/0/8
ip source binding ip-address 192.168.20.31
ip verify source ip-address
int g1/0/9
ip source binding ip-address 192.168.20.32
ip verify source ip-address
int g1/0/10
ip source binding ip-address 192.168.20.33

MAC地址的动态绑定

MAC地址的动态绑定
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
Ethernet adapter本地连接:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connecti
switch(Config-Ethernet0/0/1)#switchport port-security lock
switch(Config-Ethernet0/0/1)#switchport port-security convert
switch(Config-Ethernet0/0/1)#exit
成绩教师签名年月日
Subnet Mask . . . . . . . . . . . : 255.255.0.0
Default Gateway . . . . . . . . . :
2.交换机全部恢复出厂设置,配置交换机的IP地址
switch(Config)#interface vlan 1
switch(Config-If-Vlan1)#ip address 192.168.1.11 255.255. . . . . . . . . : 00-A0-D1-D1-07-FF
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Autoconfiguration IP Address. . . : 169.254.27.232

IP Source Guard配置

IP Source Guard配置

1.1 IP Source Guard简介1.1.1 概述IP Source Guard功能用于对接口收到的报文进行过滤控制,通常配置在接入用户侧的接口上,以防止非法用户报文通过,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了接口的安全性。

IP Source Guard绑定表项可以通过手工配置和动态获取两种方式生成。

图1-1 IP Source Guard功能示意图1.6 IP Source Guard典型配置举例1.6.1 IPv4静态绑定表项配置举例1. 组网需求如图1-2所示,Host A、Host B分别与Device B的接口GigabitEthernet2/0/2、GigabitEthernet2/0/1相连;Host C与Device A的接口GigabitEthernet2/0/2相连。

Device B接到Device A的接口GigabitEthernet2/0/1上。

各主机均使用静态配置的IP地址。

要求通过在Device A和Device B上配置IPv4静态绑定表项,满足以下各项应用需求:∙ Device A的接口GigabitEthernet2/0/2上只允许Host C发送的IP报文通过。

∙ Device A的接口GigabitEthernet2/0/1上只允许Host A发送的IP报文通过。

∙ Device B的接口GigabitEthernet1/0/1上允许Host B发送的IP报文通过。

2. 组网图图1-2 配置静态绑定表项组网图3. 配置步骤(1) 配置Device A# 配置各接口的IP地址(略)。

# 在接口GigabitEthernet2/0/2上配置IPv4接口绑定功能,绑定源IP地址和MAC 地址。

<DeviceA> system-view[DeviceA] interface gigabitethernet 2/0/2[DeviceA-GigabitEthernet2/0/2] ip verify source ip-address mac-address# 配置IPv4静态绑定表项,在Device A的GigabitEthernet1/0/2上只允许MAC地址为0001-0203-0405、IP地址为192.168.0.3的数据终端Host C发送的IP报文通过。

RG-RSR系列路由器RGNOS10.3(4B3)版本命令参考_第十三部分 IPv6配置命令参考

RG-RSR系列路由器RGNOS10.3(4B3)版本命令参考_第十三部分 IPv6配置命令参考

RGOS™命令参考手册IPv6配置命令第一章配置IPv6命令1.1 配置相关命令IPv6配置包括以下相关命令:ping ipv6ipv6 addressipv6 enableipv6 hop-limitipv6 neighboripv6 source-routeipv6 routeipv6 ns-linklocal-srcipv6 nd ns-intervalipv6 nd reachable-timeipv6 nd prefixipv6 nd ra-lifetimeipv6 nd ra-intervalipv6 nd ra-hoplimitipv6 nd ra-mtuipv6 nd managed-config-flagipv6 nd other-config-flagipv6 nd dad attemptsipv6 nd suppress-raipv6 redirectsclear ipv6 neighborstunnel mode ipv6iptunnel destinationtunnel sourcetunnel ttl1.1.1 ping ipv6该命令用来诊断IPV6网络的连通性。

ping ipv6 [ipv6-address]【参数说明】ipv6-address :被诊断的目的地址【命令模式】特权模式【使用指南】当在命令中不输入目的地址时则进入用户交互模式,可以指定具体的各种参数。

在执行时ping返回的各种符号的含义如下:符号含义! 表示每个发出的请求收到相应的应答了. 表示发出底请求在规定时间内没有收到应答U 表示设备没有路由到达目的主机R 表示参数出错F 表示系统没有资源A 表示报文源地址未能选择D 表示网络接口处于Down状态或者是该网络接口的IPV6功能被禁用(如检测到地址冲突)? 表示未知错误【举例】Ruijie# ping ipv6fec0::11.1.2 ipv6 address为网络接口配置一个IPV6 的地址,使用该命令的no形式删除配置的地址。

华为WLAN深度资料CAPWAP隧道

华为WLAN深度资料CAPWAP隧道

14
CAPWAP隧道建立 — Join阶段
AP DHCP server AC
join
join request join response
join
AP 发送join request • 当AP决策选择AC后(有DTLS时先建立DTLS链路)开始join阶段 • 携带AP版本信息、MAC信息、胖瘦模式信息等 AC 收到join request • 黑白名单校验 • 迁移状态并回应join response(携带期望AP使用的版本信息) AP 收到join response • 根据AP版本信息看是否需要在线加载AP版本,并迁移到对应状态
15
CAPWAP隧道建立 — Image data(可选)
FSM FWD SOCKET
WLAN
LBM MAP
FSM FWD SOCKET
WLAN
LBM MAP
AP
image data image data request image data response image data
AC
image data

网络管理
AC Web页面网管

• •
eSight
AC/AP网管 AP位置拓扑显示
用户数据及认证由AC集中处理 AP/AC支持跨二、三层组网
6
AC旁挂式组网-流量本地转发
接入侧 本地网络
本地网络
室分型AP Policy Center
汇聚侧
服务器侧
用户认证
放装型AP 接入交换机
室外AP
配置信息
CAPWAP控制隧道 CAPWAP数据隧道
数据转发
多种用户业务流量CAPWAP数据隧道转发 数据报文DTLS加密

交换机基础安全功能原理与应用

交换机基础安全功能原理与应用
DHCP offer
trust
untrust
DHCP Snooping功能配置
*
Ruijie(config)#ip dhcp snooping
01
开启DHCP snooping功能
03
Ruijie(config-FastEthernet 0/1)#ip dhcp snooping suppression
IP绑定
主机符合被绑定的IP才能合法接入网络
IP+MAC+VLAN绑定
主机符合被绑定的IP+MAC+VLAN才能合法介入网络
端口安全应用场景(例)
*
Ruijie(config-FastEthernet 0/1)#switchport port-security maximum 1
交换机一个端口最大只能接入1台主机
措施
使用中/强密码 源地址限制 使用安全管理协议
使用中强密码
*
密码位数尽量保证在6位以上 不要使用纯数字 不要使用ruijie、admin、star、123456类似的密码
概述
弱密码:aabbcc、567890 中等强度密码:ruijie345 高等强度密码:Ruijie#876
密码强度举例
源地址限制
protected
protected
SW1
SW2
全局地址绑定
*
概述 在交换机中绑定接入主机的IP+MAC地址 只有被绑定的IP+MAC地址才能接入网络 应用场景
绑定:
1.1.1.1
×

×
全局地址绑定配置
*
Ruijie(config)#address-bind 1.1.1.1 001a.a900.0001

IP Source Guard

默认情况下,交换机在二层接口上转发数据时,只查看数据包的MAC地址,并不会查看数据包的IP地址,如果要让交换机根据数据包的IP或者同时根据IP与MAC做出转发决定,有多种方法可以实现。

如根据IP 转发,可以通过在接口上应用Port ACL来实现,如果要根据MAC转发,可以通过应用port-security来实现,但无论是Port ACL还是port-security,都存在一些局限性,下面介绍一种扩展性较高的安全防护特性- IP Source Guard,IP Source Guard可以根据数据包的IP地址或IP与MAC地址做出转发决定,如果数据包的IP或MAC是不被允许的,那么数据包将做丢弃处理。

因为IP Source Guard需要根据数据包的IP或者同时根据IP与MAC做出转发决定,所以IP Source Guard 在工作时,需要有一张IP和MAC的转发表,在这张表中,明确记录着哪些IP是可以转发的,哪些MAC可以被转发,其它不能被转发的统统丢弃。

这表转发表称为IP source binding table,并且只能被IP source guard使用。

而IP source binding table表,只有在交换机上开启DHCP snooping功能后,才会生成。

IP Source Guard的这张转发表的条目可以自动学习,也可以手工静态添加,如果是自动学习,是靠DHCP snooping功能学习的,所以只有客户端是通过DHCP请求获得地址,并且DHCP服务器的回复是经过交换机时,才能被DHCP snooping学习到。

当在交换机上同时开启了IP Source Guard与DHCP snooping后,交换机将在开启了的接口上拒绝所有流量通过,只放行DHCP流量,并且会自动应用一条ACL到接口上,也只有ACL允许的IP才能通过,这条ACL无法在正常配置中查看,只能通过表的方式查看。

dhcpsnooping+ipsourceguard

DHCP+IP SOURCE GUARD的配置实例在正常开启DHCP Snooping的情况下:Ruijie(config-FastEthernet 0/1)#ip verify sourceRuijie#ping 192.168.1.2Sending 5, 100-byte ICMP Echoes to 192.168.1.2, timeout is 2 seconds:< press Ctrl+C to break >…..Success rate is 0 percent (0/5)此情况证明此端口已经应用了根防护,所以端口下得主机自己配置了地址之后无法通过端口。

之后在全局下配置:Ruijie(config)#ip source binding 0025.6454.b680 vlan 1 192.168.1.2 int f 0/1Ruijie#ping 192.168.1.2Sending 5, 100-byte ICMP Echoes to 192.168.1.2, timeout is 2 seconds:< press Ctrl+C to break >Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms此现象表明,在全局下绑定了端口信息之后,既可以通过。

此绑定信息是通过IP MAC VLAN 端口等四元组来确定信息的。

Ruijie#sh ip verify sourceInterface Filter-type Filter-mode Ip-address Mac-address VLAN-------------------- ----------- ----------- --------------- -------------- --------FastEthernet 0/1 ip active 192.168.1.2 1FastEthernet 0/1 ip active deny-allRuijie#sh ip verRuijie#sh ip soRuijie#sh ip source binRuijie#sh ip source bindingMacAddress IpAddress Lease(sec) Type VLAN Interface------------------ --------------- ------------ ------------- ----- --------------------0025.6454.b680 192.168.1.2 infinite static 1 FastEthernet 0/1Total number of bindings: 1Ruijie#sh ip verify sourceInterface Filter-type Filter-mode Ip-address Mac-address VLAN-------------------- ----------- ----------- --------------- -------------- --------FastEthernet 0/1 ip active 192.168.1.2 1FastEthernet 0/1 ip active deny-all。

实验4.6 网络攻击检测与防范实验

主机 A IP 地址 :192.168.0.23/24 网关 :192.168.0.1 主机 B E1/0/2 IP 地址 :192.168.0.21/24 网关 :192.168.0.1
内部服务器 IP 地址 :202.0.0.2/24 G0/2 E1/0/1 G0/0 G0/0:192.168.0.1/24 主机 D G0/1:212.0.0.1/24 IP 地址 :10.11.10.23/24 G0/2:202.0.0.1/24 G0/1 Int】 (1)掌握ARP攻击的原理与检测及防范的方法。 (2)掌握客户端验证的配置方法。 【实验内容】 (1)ARP攻击防御。 (2)攻击检测及防范。
实验设备
H3C系列交换机一台,H3C系列路由器两台,计算机5台, 专用配置电缆一根,网线6根,配置电缆一根,标准V35电缆 一对。网络拓扑结构如图4.6所示。
XXX
实验4.6 网络攻击检测与防范实验
1
实验背景
实验目的与内容
2
3
实验设备
实验步骤
4
实验背景
ARP协议有简单、易用的优点,但是也因为其没有任何安全机制而容易 被攻击发起者利用。攻击者可以仿冒用户、仿冒网关发送伪造的ARP报 文,使网关或主机的ARP表项不正确,从而对网络进行攻击;攻击者通 过向设备发送大量目标IP地址不能解析的IP报文,使得设备试图反复地 对目标IP地址进行解析,导致CPU负荷过重及网络流量过大;攻击者向 设备发送大量ARP报文,对设备的CPU形成冲击。 攻击检测及防范是一个重要的网络安全特性,它通过分析经过设备的报 文的内容和行为,判断报文是否具有攻击特征,并根据配置对具有攻击 特征的报文执行一定的防范措施,例如输出告警日志、丢弃报文、加入 黑名单或客户端验证列表。本特性能够检测ARP攻击、单包攻击、扫描 攻击和泛洪攻击等多种类型的网络攻击,并能对各类型攻击采取合理的 防范措施。

H3C安全配置指导-IP_Source_Guard配置

IPv4 静态绑定表项用于过滤接口收到的 IPv4 报文,或者与 ARP Detection 功能配合使用检查接入 用户的合法性。 ARP Detection 功能的详细介绍请参见“安全配置指导”中的“ARP 攻击防御”。
1.1.3 动态获取绑定表项
动态获取绑定表项是指通过获取其它模块生成的用户信息来生成绑定表项。目前,可为 IP Source Guard 提供表项信息的模块包括 DHCP Snooping、DHCP 中继和 DHCP 服务器模块。 这种动态获取绑定表项的方式,通常适用于局域网络中主机较多,且主机使用 DHCP 动态获取 IP 地址的情况。其原理是每当局域网内的主机通过 DHCP 服务器获取到 IP 地址时,作为 DHCP Snooping 或 DHCP 中继的设备上就会生成一条 DHCP Snooping 表项或 DHCP 中继表项,并相应 地增加一条 IP Source Guard 绑定表项以允许该用户访问网络。如果某个用户私自设置 IP 地址,则 不会触发设备生成相应的 DHCP 表项,IP Source Guard 也不会增加相应的绑定表项,因此该用户 的报文将会被丢弃。
1-1
IP Source Guard 的绑定功能是针对接口的,一个接口配置了绑定功能后,仅对该接口接收的报文 进行限制,其它接口不受影响。
1.1.2 静态配置绑定表项
静态配置绑定表项是指通过命令行手工配置绑定表项,该方式适用于局域网络中主机数较少且主机 使用静态配置 IP 地址的情况,比如在接入某重要服务器的接口上配置绑定表项,仅允许该接口接收 与该服务器通信的报文。
缺省情况下,接口的IPv4端口 绑定功能处于关闭状态
IPv4端口绑定功能可多次配 置,最后一次的配置生效
1.3.2 配置IPv4 静态绑定表项
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

H3C S12500 IP Source Guard配置举例Copyright © 2013 杭州华三通信技术有限公司版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

本文档中的信息可能变动,恕不另行通知。

目录1 简介 (1)2 配置前提 (1)3 使用限制 (1)4 静态绑定表项配置举例 (1)4.1 组网需求 (1)4.2 使用版本 (2)4.3 配置注意事项 (2)4.4 配置步骤 (2)4.4.1 Switch A的配置 (2)4.4.2 Switch B的配置 (2)4.5 验证配置 (3)4.6 配置文件 (3)5 动态生成绑定表项配置举例 (4)5.1 组网需求 (4)5.2 使用版本 (4)5.3 配置注意事项 (4)5.4 配置步骤 (4)5.5 验证配置 (5)5.6 配置文件 (5)6 相关资料 (5)1 简介本文档介绍IP Source Guard的配置举例。

IP Source Guard功能用于对端口收到的报文进行过滤控制,以防止非法用户报文通过。

配置了IP Source Guard功能的端口只转发与绑定表项匹配的报文。

IP Source Guard绑定表项可以通过手工配置(命令行手工配置产生静态绑定表项)和动态获取(根据DHCP的相关表项动态生成绑定表项)两种方式生成。

2 配置前提本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解本文档中的IP Source Guard特性。

3 使用限制当设备上存在EB/EC2类单板(丝印后缀为EB/EC2)且这类单板工作在ACL标准模式时,该类单板上的接口不支持MAC绑定表项、IP+MAC绑定表项、MAC+VLAN绑定表项和IP+MAC+VLAN绑定表项。

缺省情况下,EB/EC2类单板工作在ACL高级模式。

4 静态绑定表项配置举例4.1 组网需求如图1所示,各主机均使用静态配置的IP地址。

通过在Switch A和Switch B上配置IP Source Guard静态绑定表项(IP+MAC绑定),对端口收到的报文进行过滤控制,以防止非法用户报文通过:•Switch A的端口GE2/0/2上只允许Host A发送的IP报文通过。

•Switch B的端口GE3/0/1上只允许Host B发送的IP报文通过。

•Switch B的端口GE3/0/2上只允许Host C发送的IP报文通过。

图1IP Source Guard防攻击基础组网图4.2 使用版本本举例是在S12500-CMW520- R1825P01版本上进行配置和验证的。

4.3 配置注意事项•加入聚合组的端口上不能配置IP Source Guard功能,反之亦然。

•缺省情况下,以太网接口、VLAN接口及聚合接口处于DOWN状态。

如果要对这些接口进行配置,请先使用undo shutdown命令使接口状态处于UP。

4.4 配置步骤4.4.1 Switch A的配置# 配置各接口的IP地址(略)。

# 在端口GigabitEthernet2/0/2上配置端口绑定功能,绑定源IP地址和MAC地址。

<SwitchA> system-view[SwitchA] interface GigabitEthernet2/0/2[SwitchA-GigabitEthernet2/0/2] ip verify source ip-address mac-address# 配置在Switch A的GigabitEthernet2/0/2只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。

[SwitchA-GigabitEthernet2/0/2] ip source binding ip-address 192.168.0.1 mac-address0001-0203-04064.4.2 Switch B的配置# 在端口GigabitEthernet3/0/2上配置端口绑定功能,绑定源IP地址和MAC地址。

<SwitchB> system-view[SwitchB] interface GigabitEthernet3/0/2[SwitchB-GigabitEthernet3/0/2] ip verify source ip-address mac-address# 配置在Switch B的GigabitEthernet3/0/2上只允许MAC地址为00-01-02-03-04-05与IP地址为192.168.2.3的数据终端Host C发送的IP报文通过。

[SwitchB-GigabitEthernet3/0/2] ip source binding ip-address 192.168.2.3 mac-address0001-0203-0405[SwitchB-GigabitEthernet3/0/2] quit# 在端口GigabitEthernet3/0/1上配置端口绑定功能,绑定源IP地址和MAC地址。

[SwitchB] interface GigabitEthernet3/0/1[SwitchB-GigabitEthernet3/0/1] ip verify source ip-address mac-address# 配置在Switch B的GigabitEthernet3/0/1上只允许MAC地址为00-01-02-03-04-07与IP地址为192.168.2.2的数据终端Host B发送的IP报文通过。

[SwitchB] interface GigabitEthernet3/0/1[SwitchB-GigabitEthernet3/0/1] ip source binding ip-address 192.168.2.2 mac-address0001-0203-04074.5 验证配置# 静态绑定的配置,在命令行上查看用户绑定,结果如下;<SwitchA> display ip source bindingTotal entries found: 2MAC Address IP Address VLAN Interface Type0001-0203-0406 192.168.0.1 N/A GE2/0/2 Static<SwitchB> display ip source bindingTotal entries found: 2MAC Address IP Address VLAN Interface Type0001-0203-0405 192.168.2.3 N/A GE3/0/2 Static0001-0203-0407 192.168.2.2 N/A GE3/0/1 Static4.6 配置文件•SwitchA#interface GigabitEthernet2/0/2port link-mode bridge ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406ip verify source ip-address mac-address#•SwitchB#interface GigabitEthernet3/0/1port link-mode bridgeip source binding ip-address 192.168.2.2 mac-address 0001-0203-0407ip verify source ip-address mac-address#interface GigabitEthernet3/0/2port link-mode bridgeip source binding ip-address 192.168.2.3 mac-address 0001-0203-0405ip verify source ip-address mac-address#5 动态生成绑定表项配置举例5.1 组网需求如图2所示, DHCP Client(MAC地址为00-01-02-03-04-06)通过DHCP Server获取IP地址。

•在Switch上配置DHCP Snooping,以生成Client的DHCP Snooping表项。

•根据动态生成的DHCP snooping表项(IP+MAC绑定),防止客户端使用伪造源IP地址对服务器进行攻击。

图2IP Source Guard防攻击组网图5.2 使用版本本举例是在S12500-CMW520-R1825P01版本上进行配置和验证的。

5.3 配置注意事项•加入聚合组的端口上不能配置IP Source Guard功能,反之亦然。

•缺省情况下,以太网接口、VLAN接口及聚合接口处于DOWN状态。

如果要对这些接口进行配置,请先使用undo shutdown命令使接口状态处于UP。

•缺省情况下,使能了DHCP Snooping功能的设备上所有端口均为不信任端口。

为了使DHCP Snooping设备与DHCP服务器相连的端口可以转发DHCP服务器的相应报文,需要将此端口配置为信任端口。

5.4 配置步骤# 配置端口GigabitEthernet2/0/1的端口绑定功能,绑定源IP地址和MAC地址。

<Switch> system-view[Switch] interface GigabitEthernet2/0/1[Switch-GigabitEthernet2/0/1] undo shutdown[Switch-GigabitEthernet2/0/1] ip verify source ip-address mac-address# 开启DHCP Snooping功能。

[Switch] dhcp-snooping# 设置与DHCP服务器相连的端口GigabitEthernet2/0/2为信任端口。

[Switch] interface GigabitEthernet2/0/2[Switch-GigabitEthernet2/0/2] undo shutdown[Switch-GigabitEthernet2/0/2] dhcp-snooping trust[Switch-GigabitEthernet2/0/2] quit5.5 验证配置# 显示端口GigabitEthernet2/0/1从DHCP Snooping获取的动态表项。