安全典型配置(六)配置IPSG限制非法主机访问内网案例(静态绑定)

微思xmws2024-01-06 21:22

相关文章学习:

安全典型配置(一)使用ACL限制FTP访问权限案例
安全典型配置(二)使用ACL限制用户在特定时间访问特定服务器的权限案例
安全典型配置(三)使用ACL禁止特定用户上网案例
安全典型配置(四)使用自反ACL实现单向访问控制案例
安全典型配置(五)SNMP中应用ACL过滤非法网管案例

配置IPSG限制非法主机访问内网案例(静态绑定)

IPSG简介

IPSG是一种基于二层接口的源IP地址过滤技术,它利用交换机上的绑定表对IP报文进行过滤。绑定表由IP地址、MAC地址、VLAN ID和接口组成,包括静态和动态两种。静态绑定表是用户手工创建的,动态绑定表即DHCP Snooping绑定表,它是在主机动态获取IP地址时,交换机根据DHCP回复报文自动生成的。绑定表生成后,在使能IPSG的接口收到报文后,交换机会将报文中的信息和绑定表匹配,匹配成功则允许报文通过,匹配失败则丢弃报文。匹配的内容可以是IP地址、MAC地址、VLAN ID和接口的任意组合,例如可以只匹配IP地址,或者只匹配IP地址和MAC地址,或者IP地址、MAC地址、VLAN ID和接口都匹配等。

因此,IPSG能够防止恶意主机盗用合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或者攻击网络。

例如:在主机是静态分配IP地址的环境下,主机只能使用管理员分配的固定IP地址,并从固定的接口上线。同时出于安全考虑,不允许外来人员的电脑随意接入内网。

配置注意事项

除以下提及的产品形态外,其他版本的各形态均适用本示例。

  • V100R006C05版本中,S2700-SI不支持IPSG功能。

  • 如下版本设备使能IPv4报文三层硬转功能后,不支持IPSG功能。

  • V200R007C00、V200R008C00、V200R011及之后版本:S2750-EI、S5700-10P-LI-AC和S5700-10P-PWR-LI-AC

  • V200R009C00及V200R010C00版本:S2720-EI、S2750-EI、S5700-10P-LI-AC和S5700-10P-PWR-LI-AC

组网需求

如图1所示,Host通过Switch接入网络,Gateway为企业出口网关,各Host均使用静态配置的IP地址。管理员在Switch上做了接口限制,希望Host使用管理员分配的固定IP地址、从固定的接口上线。同时为了安全考虑,不允许外来人员的电脑随意接入内网。

图1 配置IPSG限制非法主机访问内网(静态绑定)组网图

数据规划

在开始配置之前,需要规划好以下数据。

配置思路

采用如下的思路在Switch上配置IPSG功能,实现上述需求。

  1. 在Switch上配置各接口所属VLAN。

  2. 在Switch上创建Host_1和Host_2的静态绑定表项,固定IP地址、MAC地址、接口的绑定关系。

  3. 在Switch上配置GE0/0/4为信任接口,从该接口收到的报文不执行IPSG检查,防止从Gateway回程报文被丢弃。

  4. 在Switch连接用户主机的VLAN上使能IPSG功能,实现Host_1、Host_2使用固定的IP地址、从固定的接口上线,并且外来主机Host_3无法随意接入内网。

操作步骤

1、配置各接口所属VLAN

复制代码 
<HUAWEI> system-view

[HUAWEI] sysname Switch

[Switch] vlan batch 10

[Switch] interface gigabitethernet 0/0/1

[Switch-GigabitEthernet0/0/1] port link-type access

[Switch-GigabitEthernet0/0/1] port default vlan 10

[Switch-GigabitEthernet0/0/1] quit

[Switch] interface gigabitethernet 0/0/2

[Switch-GigabitEthernet0/0/2] port link-type access

[Switch-GigabitEthernet0/0/2] port default vlan 10

[Switch-GigabitEthernet0/0/2] quit

[Switch] interface gigabitethernet 0/0/3

[Switch-GigabitEthernet0/0/3] port link-type access

[Switch-GigabitEthernet0/0/3] port default vlan 10

[Switch-GigabitEthernet0/0/3] quit

[Switch] interface gigabitethernet 0/0/4

[Switch-GigabitEthernet0/0/4] port link-type trunk

[Switch-GigabitEthernet0/0/4] port trunk allow-pass vlan 10

[Switch-GigabitEthernet0/0/4] quit

2、创建Host_1和Host_2的静态绑定表项

复制代码 
[Switch] user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002 interface gigabitethernet 0/0/2  //创建Host_2的静态绑定表项

[Switch] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface gigabitethernet 0/0/1  //创建Host_1的静态绑定表项

3、配置上行口GE0/0/4为信任接口

复制代码 
[Switch] dhcp enable  //使能DHCP功能

[Switch] dhcp snooping enable  //使能全局DHCP Snooping功能

[Switch] interface gigabitethernet 0/0/4

[Switch-GigabitEthernet0/0/4] dhcp snooping trusted  //配置信任接口

[Switch-GigabitEthernet0/0/4] quit

4、在连接Host的VLAN10上使能IPSG功能

复制代码 
[Switch] vlan 10

[Switch-vlan10] ip source check user-bind enable

[Switch-vlan10] quit

5、验证配置结果

在Switch上执行display dhcp static user-bind all命令,可以查看Host_1和Host_2的绑定表信息。

复制代码 
[Switch] display dhcp static user-bind all

DHCP static Bind-table:                                                        

Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping                          

IP Address                      MAC Address     VSI/VLAN(O/I/P) Interface      

--------------------------------------------------------------------------------

10.0.0.1                        0001-0001-0001  --  /--  /--    GE0/0/1

10.0.0.2                        0002-0002-0002  --  /--  /--    GE0/0/2

--------------------------------------------------------------------------------

Print count:           2          Total count:           2

Host_1和Host_2可以正常访问网络,更换IP地址或者从其他接口接入后将无法访问网络。

将一台外来主机Host_3配置10.0.0.3的IP地址并接入接口GE0/0/3后,Host_3仍无法访问网络,说明外来主机不能通过随意设置IP地址访问内网。如果Host_3需要访问内网资源,需要管理员在静态绑定表中添加Host_3的表项。

配置文件

Switch的配置文件

复制代码 
sysname Switch

#

vlan batch 10

#

dhcp enable

#

dhcp snooping enable

user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface GigabitEthernet0/0/1

user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002 interface GigabitEthernet0/0/2

#

vlan 10

ip source check user-bind enable

#

interface GigabitEthernet0/0/1

port link-type access  

port default vlan 10

#

interface GigabitEthernet0/0/2

port link-type access  

port default vlan 10

#

interface GigabitEthernet0/0/3

port link-type access  

port default vlan 10

#

interface GigabitEthernet0/0/4

port link-type trunk

port trunk allow-pass vlan 10

dhcp snooping trusted

#

return
相关推荐
ServBay13 小时前
垃圾堆里编码?真的不要怪 PHP 不行
后端·php
用户9623779544816 小时前
CTF 伪协议
php
用户962377954481 天前
DVWA 靶场实验报告 (High Level)
安全
数据智能老司机2 天前
用于进攻性网络安全的智能体 AI——在 n8n 中构建你的第一个 AI 工作流
人工智能·安全·agent
数据智能老司机2 天前
用于进攻性网络安全的智能体 AI——智能体 AI 入门
人工智能·安全·agent
用户962377954482 天前
DVWA 靶场实验报告 (Medium Level)
安全
red1giant_star2 天前
S2-067 漏洞复现:Struts2 S2-067 文件上传路径穿越漏洞
安全
用户962377954482 天前
DVWA Weak Session IDs High 的 Cookie dvwaSession 为什么刷新不出来?
安全
BingoGo3 天前
当你的 PHP 应用的 API 没有限流时会发生什么?
后端·php
JaguarJack3 天前
当你的 PHP 应用的 API 没有限流时会发生什么?
后端·php·服务端
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services05OpenClaw优化飞书API 额度已耗尽问题06Window 10部署openclaw报错node.exe : npm error code 12807小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)08Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤09本地部署 OpenClaw + DeepSeek-R1 完全指南10网站改了域名,如何查找?