锐捷交换机产品实施一本通 >> 常用功能配置 >> NBS5x&NBS5700系列 >> 2.常用功能配置 >> 安全 >> IP Source Guard >>

功能简介:

IP Source Guard:IP Source Guard(IP源防护)维护一个IP 源地址绑定数据库, IP Source Guard可以在对应的接口上主机报文进行基于源IP、源IP和源MAC的报文过滤,从而保证只有IP源地址绑定数据库中的主机才能正常使用网络。

IP Source Guard会自动将DHCP Snooping绑定数据库中的合法用户绑定同步到IP Source Guard的IP源地址绑定数据库(硬件安全表项中),这样IP Source Guard就可以在打开DHCP Snooping设备上对客户端的进行严格过滤;默认情况下,打开IP Source Guard的功能的端口会过滤所有非DHCP的IP报文;只有当客户端通过DHCP从服务器获取到合法的IP或者管理员为客户端配置了静态的IP源地址绑定,端口将允许和这个客户端匹配的IP报文通过。

IP Source Guard支持基于IP+MAC或者基于IP的过滤,如果打开基于IP+MAC的过滤,IP Source Guard会对所有报文的MAC+IP进行检测,仅仅允许IP源地址绑定表格中存在的用户报文通过;而基于IP的过滤,仅仅会对报文的源IP地址进行检测。

 

IP Source Guard可以实现防止用户私设IP及防止用户变化源IP的扫描行为。

 

 

 

一、组网需求

用户网关在核心交换机上,核心交换机创建DHCP Server,接入交换机下联PC使用动态DHCP获取IP地址,为了防止内网用户私设IP,需要实施IP Source Guard功能,对于私设IP地址的用户不让访问外网。

 

二、配置要点

1、在核心交换机上开启DHCP Server功能

2、在接入交换机上全局开启dhcp snooping功能,并且在上联核心的端口开启DHCP Snooping信任口

3、在接入交换机连接用户的端口开启IP Source Guard功能

4、网络中存在个别用户使用静态IP,配置IP Source Guard功能后也能实现安全控制。

 

 

三、网络拓扑

 

四、配置步骤  
*此功能不支持Web界面,只能在CLI中进行配置。

 

动态环境下IP Source Guard使用:

核心交换机配置:

开启核心设备的DHCP服务功能

 

接入交换机配置:

1)在接入交换机上开启dhcp snooping功能

Ruijie(config)#ip dhcp snooping ------>开启DHCP snooping功能

Ruijie(config)#ip dhcp snooping vlan 1

2)连接DHCP服务器的接口配置为可信任口

Ruijie(config)#interface Gi 0/10

Ruijie(config-if)#ip dhcp snooping trust --------开启DHCP snooping的交换机所有接口缺省为untrust口,交换机只转发从trust口收到的DHCP响应报文(offer、ACK)

3)连接用户的接口开启IP Source Guard功能

Ruijie(config)#interface range Gi 0/1-2 ------>同时进入1口和2口接口配置模式

Ruijie(config-if-range)#ip verify source vlan dhcp-snooping ip-mac------>开启源IP+MAC的报文检测,将DHCP Snooping形成的snooping表写入地址绑定数据库中

注意:如果交换机下还有级联交换机,则不要在级联交换机端口配置IP Source guard,而应该在接入交换机上部署IP Source Guard方案。避免二个设备都进行硬件绑定用户的IP+MAC,导致消耗设备硬件资源表项。

 

静态环境下IP Source Guard使用:

1)配置静态绑定用户,这些用户希望采用静态IP地址,也能实现安全检查,避免端口下其他用户私用IP地址。

Ruijie(config)#ip source binding  00-00-00-01-01-01  vlan 1 192.168.1.111 interface Gi 0/2

Ruijie(config)#interface Gi 0/2

Ruijie(config-if)#ip verify source vlan dhcp-snooping ip-mac------>开启源IP+MAC的报文检测

 

保存配置

Ruijie#copy running-config startup-config    ------> 确认配置正确,保存配置

 

 

五、功能验证

       1)查看IP Source Guard相关信息

       Ruijie(config)#show ip verify source

 

       Interface       Filter-type Filter-mode IP address      MAC address       VLAN

       ---------       ----------- ----------- --------------- ----------------- ----

       Gi0/1        ip-mac      active      192.168.1.110  00-1C-F0-0C-83-15 1  

       Gi0/2        ip-mac      active      192.168.1.111  00-00-00-01-01-01 1  

 

       Total Entries: 2

2)PC1 ping接入交换机192.168.1.200,确认ping成功(PC1的IP&MAC&Port在绑定数据库中)

2)PC2 ping接入交换机192.168.1.200,确认ping失败(PC2的IP&MAC&Port并不在绑定数据库中)