No se encuentran recursos de mapeo en el idioma seleccionado.

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo para configurar IPSG para evitar que los hosts con direcciones IP estáticas cambien sus propias direcciones IP

Ejemplo para configurar IPSG para evitar que los hosts con direcciones IP estáticas cambien sus propias direcciones IP

Descripción general de IPSG

Como se muestra en Figura 12-13, un hacker (Host_2) usa las direcciones IP y MAC de Host_1, que pertenece a un ingeniero de I+D, para construir paquetes IP para atacar la intranet. El administrador de red piensa que el ingeniero de I+D es el atacante. Tales ataques pueden prevenirse configurando IPSG. En el switch de acceso, después de habilitar una tabla de vinculación estática y comprobar el paquete IP en las interfaces conectadas a los terminales, solo los paquetes que coinciden con las entradas de vinculación estática pueden acceder a la intranet e Internet, y los paquetes que no coinciden con las entradas se descartan .

Notas de configuración

Este ejemplo se aplica a todas las versiones y modelos, excepto los siguientes:
  • S2300SI de V100R006C05 no es compatible con IPSG.
  • Después de que el reenvío de Capa 3 basado en hardware para paquetes IPv4 está habilitado en las siguientes versiones, los switches no son compatibles con IPSG:
    • V200R007C00 y V200R008C00: S2350EI y S5300-10P-LI-AC
    • V200R008C10: S5300-10P-PWR-LI-AC
    • V200R009C00 y versiones posteriores: S2350EI, S5300-10P-LI-AC, y S5300-10P-PWR-LI-AC

Requisitos de red

Como se muestra en Figura 12-13, el gateway del usuario está configurado en el switch de core (Core). Una ACL está configurada en el Core para permitir que los hosts fijos puedan acceder a Internet. Los hosts conectados al switch de acceso (ACC) usan direcciones IP configuradas estáticamente. El administrador requiere que los hosts solo puedan usar direcciones IP fijas para acceder a Internet. Los usuarios no pueden cambiar sus propias direcciones IP para acceder a Internet.

Figura 12-13  Configurar IPSG para evitar que los hosts con direcciones IP estáticas cambien sus propias direcciones IP

Plan de datos

Para realizar la configuración, necesita los siguientes datos.

Tabla 12-6  Plan de datos

Ítem

Datos

Descripción

VLAN

  • ACC:

    VLAN ID: 10, incluidas las interfaces GE0/0/1, GE0/0/2 y GE0/0/3

  • Core:

    VLAN ID: 10, incluida la interfaz GE0/0/1

Ninguna

Gateway dirección IP de los hosts

VLANIF10: 10.0.0.1/24

Ninguna

Direcciones IP de los hosts permitidos para acceder a la red.

10.0.0.2, 10.0.0.3

Ninguna

Hoja de ruta de configuración

La hoja de ruta de la configuración es la siguiente:

  1. Configure una ACL en la Gateway del usuario (Core) para permitir que los hosts con direcciones IP 10.0.0.2 y 10.0.0.3 accedan a Internet.
  2. Cree entradas de vinculación estática en los hosts en el ACC para fijar los mapeos entre las direcciones IP y MAC.
  3. Habilite IPSG en las interfaces del ACC conectadas a los hosts de los usuarios para que los hosts solo puedan usar las direcciones IP fijas para acceder a la red. Host_1 puede acceder a Internet, y Host_2 no puede acceder a Internet, incluso si cambia su dirección IP.

Procedimiento

  1. Configure una ACL.

    <Quidway> system-view
    [Quidway] sysname Core
    [Core] vlan batch 10
    [Core] interface gigabitethernet 0/0/1 
    [Core-GigabitEthernet0/0/1] port link-type trunk
    [Core-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
    [Core-GigabitEthernet0/0/1] quit
    [Core] interface vlanif 10   //Configure la dirección de gateway.
    [Core-Vlanif10] ip address 10.0.0.1 255.255.255.0
    [Core-Vlanif10] quit
    [Core] acl number 3001   //Configure ACL.
    [Core-acl-adv-3001] rule permit ip source 10.0.0.2 0
    [Core-acl-adv-3001] rule permit ip source 10.0.0.3 0
    [Core-acl-adv-3001] rule deny ip source 10.0.0.0 0.0.0.255
    [Core-acl-adv-3001] quit
    [Core] traffic classifier c1   //Configure un clasificador de tráfico basado en ACL.
    [Core-classifier-c1] if-match acl 3001
    [Core-classifier-c1] quit
    [Core] traffic behavior b1   //Configure un comportamiento de tráfico.
    [Core-behavior-b1] permit
    [Core-behavior-b1] quit
    [Core] traffic policy p1   //Configure una política de tráfico.
    [Core-trafficpolicy-p1] classifier c1 behavior b1
    [Core-trafficpolicy-p1] quit
    [Core] interface gigabitethernet 0/0/2
    [Core-GigabitEthernet0/0/2] traffic-policy p1 outbound   //Aplique la política de tráfico.
    [Core-GigabitEthernet0/0/2] quit

  2. Crea entradas de vinculación estática para los hosts.

    <Quidway> system-view
    [Quidway] sysname ACC
    [ACC] vlan batch 10   //Configure una VLAN para conectarse a los hosts.
    [ACC] interface gigabitethernet 0/0/1 
    [ACC-GigabitEthernet0/0/1] port link-type access
    [ACC-GigabitEthernet0/0/1] port default vlan 10
    [ACC-GigabitEthernet0/0/1] quit
    [ACC] interface gigabitethernet 0/0/2 
    [ACC-GigabitEthernet0/0/2] port link-type access
    [ACC-GigabitEthernet0/0/2] port default vlan 10
    [ACC-GigabitEthernet0/0/2] quit
    [ACC] interface gigabitethernet 0/0/3 
    [ACC-GigabitEthernet0/0/3] port link-type trunk
    [ACC-GigabitEthernet0/0/3] port trunk allow-pass vlan 10
    [ACC-GigabitEthernet0/0/3] quit
    [ACC] user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002 interface gigabitethernet 0/0/1   //Cree una entrada de vinculación estática para Host_1.
    [ACC] user-bind static ip-address 10.0.0.5 mac-address 0005-0005-0005 interface gigabitethernet 0/0/2   //Cree una entrada de vinculación estática para Host_2.
    

  3. Habilite IPSG.

    # Habilite IPSG en GE0/0/1 conectado a Host_1.

    [ACC] interface gigabitethernet 0/0/1
    [ACC-GigabitEthernet0/0/1] ip source check user-bind enable
    [ACC-GigabitEthernet0/0/1] quit

    # Habilite IPSG en GE0/0/2 conectado a Host_2.

    [ACC] interface gigabitethernet 0/0/2
    [ACC-GigabitEthernet0/0/2] ip source check user-bind enable
    [ACC-GigabitEthernet0/0/2] quit

  4. Verifique la configuración

    Ejecute el comando display dhcp static user-bind all en el ACC para ver las entradas de vinculación estática.

    [ACC] display dhcp static user-bind all
    DHCP static Bind-table:                                                         
    Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping                          
    IP Address                      MAC Address     VSI/VLAN(O/I/P) Interface       
    --------------------------------------------------------------------------------
    10.0.0.2                        0002-0002-0002  --  /--  /--    GE0/0/1
    10.0.0.5                        0005-0005-0005  --  /--  /--    GE0/0/2
    --------------------------------------------------------------------------------
    Print count:           2          Total count:           2           

    Ejecute el comando display dhcp static user-bind all verbose en el ACC para ver el estado de IPSG. Si el estado es effective, la entrada estática ha tenido efecto.

    [ACC] display dhcp static user-bind all verbose
    DHCP static Bind-table:                                                         
    Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping                          
    --------------------------------------------------------------------------------
     IP Address  : 10.0.0.2                                                         
     MAC Address : 0002-0002-0002                                                   
     VSI         : --                                                               
     VLAN(O/I/P) : --  /--  /--                                                     
     Interface   : GE0/0/1
     IPSG Status : effective   slot: <0>                                            
    --------------------------------------------------------------------------------
     IP Address  : 10.0.0.5                                                         
     MAC Address : 0005-0005-0005                                                   
     VSI         : --                                                               
     VLAN(O/I/P) : --  /--  /--                                                     
     Interface   : GE0/0/2
     IPSG Status : effective   slot: <0>                                            
    --------------------------------------------------------------------------------
    Print count:           2          Total count:           2                      

    Host_1 puede acceder a Internet y Host_2 no puede acceder a Internet. Después de que la dirección IP de Host_2 se cambie a 10.0.0.3, Host_2 no puede acceder a Internet y a la intranet.

Archivos de configuración

  • Archivo de configuración del Core

    #
    sysname Core
    #
    vlan batch 10
    #
    acl number 3001
     rule 5 permit ip source 10.0.0.2 0
     rule 10 permit ip source 10.0.0.3 0
     rule 15 deny ip source 10.0.0.0 0.0.0.255
    #
    traffic classifier c1 operator or precedence 5
     if-match acl 3001
    #
    traffic behavior b1
     permit
    #
    traffic policy p1 match-order config
     classifier c1 behavior b1
    #
    interface Vlanif10
     ip address 10.0.0.1 255.255.255.0
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 10
    #
    interface GigabitEthernet0/0/2
     traffic-policy p1 outbound
    #
    return
  • Archivo de configuración del ACC

    #
    sysname ACC
    #
    vlan batch 10
    # 
    user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002 interface GigabitEthernet0/0/1
    user-bind static ip-address 10.0.0.5 mac-address 0005-0005-0005 interface GigabitEthernet0/0/2
    #
    interface GigabitEthernet0/0/1
     port link-type access
     port default vlan 10
     ip source check user-bind enable 
    #
    interface GigabitEthernet0/0/2
     port link-type access
     port default vlan 10
     ip source check user-bind enable
    #
    interface GigabitEthernet0/0/3
     port link-type trunk
     port trunk allow-pass vlan 10
    #
    return
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15733

Descargas: 131

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente