安全典型配置(六)配置IPSG限制非法主机访问内网案例(静态绑定)

相关文章学习:

安全典型配置(一)使用ACL限制FTP访问权限案例
安全典型配置(二)使用ACL限制用户在特定时间访问特定服务器的权限案例
安全典型配置(三)使用ACL禁止特定用户上网案例
安全典型配置(四)使用自反ACL实现单向访问控制案例
安全典型配置(五)SNMP中应用ACL过滤非法网管案例

配置IPSG限制非法主机访问内网案例(静态绑定)

IPSG简介

IPSG是一种基于二层接口的源IP地址过滤技术,它利用交换机上的绑定表对IP报文进行过滤。绑定表由IP地址、MAC地址、VLAN ID和接口组成,包括静态和动态两种。静态绑定表是用户手工创建的,动态绑定表即DHCP Snooping绑定表,它是在主机动态获取IP地址时,交换机根据DHCP回复报文自动生成的。绑定表生成后,在使能IPSG的接口收到报文后,交换机会将报文中的信息和绑定表匹配,匹配成功则允许报文通过,匹配失败则丢弃报文。匹配的内容可以是IP地址、MAC地址、VLAN ID和接口的任意组合,例如可以只匹配IP地址,或者只匹配IP地址和MAC地址,或者IP地址、MAC地址、VLAN ID和接口都匹配等。

因此,IPSG能够防止恶意主机盗用合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或者攻击网络。

例如:在主机是静态分配IP地址的环境下,主机只能使用管理员分配的固定IP地址,并从固定的接口上线。同时出于安全考虑,不允许外来人员的电脑随意接入内网。

配置注意事项

除以下提及的产品形态外,其他版本的各形态均适用本示例。

  • V100R006C05版本中,S2700-SI不支持IPSG功能。

  • 如下版本设备使能IPv4报文三层硬转功能后,不支持IPSG功能。

  • V200R007C00、V200R008C00、V200R011及之后版本:S2750-EI、S5700-10P-LI-AC和S5700-10P-PWR-LI-AC

  • V200R009C00及V200R010C00版本:S2720-EI、S2750-EI、S5700-10P-LI-AC和S5700-10P-PWR-LI-AC

组网需求

如图1所示,Host通过Switch接入网络,Gateway为企业出口网关,各Host均使用静态配置的IP地址。管理员在Switch上做了接口限制,希望Host使用管理员分配的固定IP地址、从固定的接口上线。同时为了安全考虑,不允许外来人员的电脑随意接入内网。

图1 配置IPSG限制非法主机访问内网(静态绑定)组网图

数据规划

在开始配置之前,需要规划好以下数据。

配置思路

采用如下的思路在Switch上配置IPSG功能,实现上述需求。

  1. 在Switch上配置各接口所属VLAN。

  2. 在Switch上创建Host_1和Host_2的静态绑定表项,固定IP地址、MAC地址、接口的绑定关系。

  3. 在Switch上配置GE0/0/4为信任接口,从该接口收到的报文不执行IPSG检查,防止从Gateway回程报文被丢弃。

  4. 在Switch连接用户主机的VLAN上使能IPSG功能,实现Host_1、Host_2使用固定的IP地址、从固定的接口上线,并且外来主机Host_3无法随意接入内网。

操作步骤

1、配置各接口所属VLAN

<HUAWEI> system-view

[HUAWEI] sysname Switch

[Switch] vlan batch 10

[Switch] interface gigabitethernet 0/0/1

[Switch-GigabitEthernet0/0/1] port link-type access

[Switch-GigabitEthernet0/0/1] port default vlan 10

[Switch-GigabitEthernet0/0/1] quit

[Switch] interface gigabitethernet 0/0/2

[Switch-GigabitEthernet0/0/2] port link-type access

[Switch-GigabitEthernet0/0/2] port default vlan 10

[Switch-GigabitEthernet0/0/2] quit

[Switch] interface gigabitethernet 0/0/3

[Switch-GigabitEthernet0/0/3] port link-type access

[Switch-GigabitEthernet0/0/3] port default vlan 10

[Switch-GigabitEthernet0/0/3] quit

[Switch] interface gigabitethernet 0/0/4

[Switch-GigabitEthernet0/0/4] port link-type trunk

[Switch-GigabitEthernet0/0/4] port trunk allow-pass vlan 10

[Switch-GigabitEthernet0/0/4] quit

2、创建Host_1和Host_2的静态绑定表项

[Switch] user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002 interface gigabitethernet 0/0/2  //创建Host_2的静态绑定表项

[Switch] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface gigabitethernet 0/0/1  //创建Host_1的静态绑定表项

3、配置上行口GE0/0/4为信任接口

[Switch] dhcp enable  //使能DHCP功能

[Switch] dhcp snooping enable  //使能全局DHCP Snooping功能

[Switch] interface gigabitethernet 0/0/4

[Switch-GigabitEthernet0/0/4] dhcp snooping trusted  //配置信任接口

[Switch-GigabitEthernet0/0/4] quit

4、在连接Host的VLAN10上使能IPSG功能

[Switch] vlan 10

[Switch-vlan10] ip source check user-bind enable

[Switch-vlan10] quit

5、验证配置结果

在Switch上执行display dhcp static user-bind all命令,可以查看Host_1和Host_2的绑定表信息。

[Switch] display dhcp static user-bind all

DHCP static Bind-table:                                                        

Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping                          

IP Address                      MAC Address     VSI/VLAN(O/I/P) Interface      

--------------------------------------------------------------------------------

10.0.0.1                        0001-0001-0001  --  /--  /--    GE0/0/1

10.0.0.2                        0002-0002-0002  --  /--  /--    GE0/0/2

--------------------------------------------------------------------------------

Print count:           2          Total count:           2      

Host_1和Host_2可以正常访问网络,更换IP地址或者从其他接口接入后将无法访问网络。

将一台外来主机Host_3配置10.0.0.3的IP地址并接入接口GE0/0/3后,Host_3仍无法访问网络,说明外来主机不能通过随意设置IP地址访问内网。如果Host_3需要访问内网资源,需要管理员在静态绑定表中添加Host_3的表项。

配置文件

Switch的配置文件

sysname Switch

#

vlan batch 10

#

dhcp enable

#

dhcp snooping enable

user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface GigabitEthernet0/0/1

user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002 interface GigabitEthernet0/0/2

#

vlan 10

ip source check user-bind enable

#

interface GigabitEthernet0/0/1

port link-type access  

port default vlan 10

#

interface GigabitEthernet0/0/2

port link-type access  

port default vlan 10

#

interface GigabitEthernet0/0/3

port link-type access  

port default vlan 10

#

interface GigabitEthernet0/0/4

port link-type trunk

port trunk allow-pass vlan 10

dhcp snooping trusted

#

return
相关推荐
anddddoooo1 小时前
Kerberoasting 离线爆破攻击
网络·数据库·安全·microsoft·网络安全
T.O.P111 小时前
TCP 传输可靠性保障
网络·tcp/ip·php
缘友一世1 小时前
java实现网络IO高并发编程java AIO
java·网络·python
卓大胖_1 小时前
Next.js 新手容易犯的错误 _ 性能优化与安全实践(6)
前端·javascript·安全
网安墨雨2 小时前
网络安全离我们不远!
安全·web安全
码农炎可2 小时前
K8S 黑魔法之如何从 Pod 拿到节点的命令行
安全·云原生·容器·kubernetes
程序员shen1616112 小时前
注意⚠️:矩阵系统源码开发/SaaS矩阵系统开源/抖音矩阵开发优势和方向
java·大数据·数据库·python·php
百家方案2 小时前
「下载」智慧园区及重点区域安全防范解决方案:框架统一规划,建设集成管理平台
大数据·人工智能·安全·智慧园区·数智化园区
dog2502 小时前
TCP off-path exploits(又一个弄巧成拙的例子)
网络·网络协议·tcp/ip
龙智DevSecOps解决方案2 小时前
龙智出席2024零跑智能汽车技术论坛,分享功能安全、需求管理、版本管理、代码扫描等DevSecOps落地实践
安全·汽车·devops·需求管理·版本控制·流程自动化·代码质量分析