目录
[IP Source Guard概述](#IP Source Guard概述)
[IP Source Guard源数据表项](#IP Source Guard源数据表项)
[IP Source Guard源数据-静态添加](#IP Source Guard源数据-静态添加)
[IP Source Guard查看](#IP Source Guard查看)
[IP Source Guard使用注意事项](#IP Source Guard使用注意事项)
IP Source Guard概述
- 局域网IP冲突给网络的运维带来很大困扰存在以下风险:
- 使用手工配置IP地址的方式上网,如果配置为 172.16.1.254或者172.16.1.200,都将会导 致网络异常;
- 另一台主机可能进行伪造源IP地址的扫描,将导致内网用户大规模的IP地址冲突,无法正常 上网
- 面对风险,IP Source Guard技术应运而生
- IP Source Guard功能通过检测报文中的源IP或源IP+源MAC,只放行合法报文
- 关键:检查基线+过滤规则
IP Source Guard源数据表项
-
DHCP Snooping表项,记录了mac地址、IP地址、VLAN号和接口信息
-
DHCP Snooping表项提供了完美的用于数据包过滤的源数据信息,即检查基线。端口下配置数据包过滤规则:
-
Ruijie(config)#interface range gigabitEthernet 0/10-11
-
Ruijie(config-if-range)#ip verify source [ exclude-vlan | port-security
-
注释 :****exclude-vlan,指定例外VLAN,该VLAN接受的报文不受IP Source Guard控制port-security,配置即意味着基于IP+MAC进行检查*<cr> ,直接回车意味着检查规则是ip-only,只对IP进行检查*
-
私设的IP地址的终端,由于其相关信息不符合DHCP Snooping绑定表, 数据包被丢弃。实现了防止IP地址私设的功能需求
IP Source Guard源数据-静态添加
- 全局手工配置静态绑定条目的方式,添加IP Source Guard源数据
Ruijie(config)# ip source binding 0000.0000.0001 vlan 1 172.16.1.1 interface Gi 0/10 ---
- 接口 +IP 添加
Ruijie(config)# ip source binding 0000.0000.0001 vlan 1 172.16.1.1 ip-mac ----IP+Mac 添加
Ruijie(config)# ip source binding 0000.0000.0001 vlan 1 172.16.1.1 ip-only ---- 仅 IP 添加
-
接口下开启 ip verify source (IP-Only或IP+Mac方式)
-
配置建议:全局绑定的方式和端口过滤的规则保持一致,即全局ip+mac 添加源数据,则端 口下要基于ip+mac过滤(如不一致,最终生效的规则以全局配置为准)
-
全局和端口下不同组合的生效情况
IP Source Guard查看
-
show ip source binding ------查看IP Source Guard源数据信息
-
show ip verify source ------查看配置了IP Source Guard的端口以及对应的检测类型
IP Source Guard使用****注意事项
- 打开 IP Source Guard 功能可能会影响 IP 报文的转发,一般情况下,该功能需要结合 DHCP Snooping 功能使用,IP Source Guard和DHCP Snooping功能配置的先后顺序不做限制;
- 无法在 DHCP Snooping 信任端口上配置 IP Source Guard 功能;
- 无法在全局 IP+MAC 的例外口配置 IP Source Guard 功能;
- 有线环境下,只能在交换口、2 层 AP 口、2 层封装子接口下配置开启