No se encuentran recursos de mapeo en el idioma seleccionado.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo para configurar IPSG para evitar que los hosts con direcciones IP dinámicas cambien sus propias direcciones IP

Ejemplo para configurar IPSG para evitar que los hosts con direcciones IP dinámicas cambien sus propias direcciones IP

Descripción general de IPSG

IPSG es una tecnología de filtrado de direcciones IP de origen aplicada a las interfaces de Capa 2. Filtra paquetes IP basados ​​en la tabla de vinculación de un switch. Una entrada en la tabla de vinculación contiene la dirección IP, la dirección MAC, ID de VLAN y la interfaz. Las entradas de vinculación incluyen entradas estáticas y dinámicas. Se crea manualmente una tabla de vinculación estática, una tabla de vinculación dinámica es la tabla de vinculación snooping DHCP. Cuando los hosts obtienen direcciones IP dinámicas, el switch genera automáticamente las entradas de vinculación dinámica de acuerdo con los paquetes de respuesta DHCP. Después de crear una tabla de vinculación, el switch coincide los paquetes recibidos por las interfaces habilitadas por IPSG con las entradas de vinculación. Si los paquetes coinciden con las entradas de vinculación, se reenvían; de lo contrario, son descartados. Las opciones de paquetes coincidentes pueden ser una combinación de dirección IP, dirección MAC, ID de VLAN e interfaz. Por ejemplo, el switch solo coincide con direcciones IP, direcciones IP y direcciones MAC, o una combinación de direcciones IP, direcciones MAC, ID de VLAN e interfaces de los paquetes.

Por lo tanto, IPSG proporciona dos funciones:
  • Evite que los hosts maliciosos roben las direcciones IP de los hosts autorizados para hacerse pasar por los hosts autorizados.
  • Evite que los hosts no autorizados cambien sus propias direcciones IP a direcciones IP estáticas para acceder o atacar la red.

Por ejemplo, en una red donde los hosts obtienen direcciones IP de un DHCP server, los hosts pueden acceder a la red utilizando solo las direcciones IP dinámicas y no pueden usar direcciones IP estáticas para acceder a la red, a menos que el administrador cree entradas de vinculación estática para ellos.

Notas de configuración

Este ejemplo se aplica a todas las versiones y modelos, excepto los siguientes:
  • S2300SI de V100R006C05 no es compatible con IPSG.
  • Después de que el reenvío de Capa 3 basado en hardware para paquetes IPv4 está habilitado en las siguientes versiones, los switches no son compatibles con IPSG:
    • V200R007C00 y V200R008C00: S2350EI y S5300-10P-LI-AC
    • V200R008C10: S5300-10P-PWR-LI-AC
    • V200R009C00 y versiones posteriores: S2350EI, S5300-10P-LI-AC, y S5300-10P-PWR-LI-AC

Requisitos de red

Como se muestra en Figura 12-14, los hosts acceden a la intranet a través de ACC y el Core funciona como un DHCP server para asignar direcciones IP a los hosts. La impresora usa una dirección IP estática. El gateway es el dispositivo de salida de la intranet. El administrador no quiere que los hosts accedan a la intranet usando las direcciones IP configuradas estáticamente por ellos mismos.

Figura 12-14  Configurar IPSG para evitar que los hosts con direcciones IP dinámicas cambien sus propias direcciones IP

Plan de datos

Para realizar la configuración, necesita los siguientes datos.

Tabla 12-7  Plan de datos

Ítem

Datos

Descripción

VLAN

  • ACC:

    VLAN ID: 10, incluidas las interfaces GE0/0/1, GE0/0/2, GE0/0/3 y GE0/0/4

  • Core:

    VLAN ID: 10, incluida la interfaz GE0/0/1

Ninguna

Grupo de direcciones

10.1.1.0/24

Ninguna

Dirección IP de gateway de los hosts

VLANIF10: 10.1.1.1/24

Ninguna

Hoja de ruta de configuración

La hoja de ruta de la configuración es la siguiente:

  1. Configure el DHCP server en el Core para asignar direcciones IP a los hosts.
  2. Configure DHCP snooping en el ACC para garantizar que los hosts puedan obtener direcciones IP del DHCP Server válido y el DHCP Server puede generar entradas de vinculación dinámica de DHCP snooping, que registran las vinculaciones de direcciones IP, direcciones MAC, VLAN e interfaces de hosts.
  3. Cree una entrada de vinculación estática para la impresora en el ACC para garantizar el acceso seguro de la impresora.
  4. Habilite IPSG en la VLAN a la que pertenecen los hosts en el ACC para evitar que los hosts accedan a la intranet con direcciones IP modificadas.

Procedimiento

  1. Configure el DHCP server en el Core.

    <Quidway> system-view
    [Quidway] sysname Core
    [Core] vlan batch 10
    [Core] interface gigabitethernet 0/0/1
    [Core-GigabitEthernet0/0/1] port link-type trunk
    [Core-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
    [Core-GigabitEthernet0/0/1] quit
    [Core] dhcp enable
    [Core] ip pool 10
    [Core-ip-pool-10] network 10.1.1.0 mask 24
    [Core-ip-pool-10] gateway-list 10.1.1.1
    [Core-ip-pool-10] quit
    [Core] interface vlanif 10
    [Core-Vlanif10] ip address 10.1.1.1 255.255.255.0
    [Core-Vlanif10] dhcp select global
    [Core-Vlanif10] quit
    

  2. Configure DHCP snooping en el ACC.

    # Especifique la VLAN a la que pertenecen las interfaces.

    <Quidway> system-view
    [Quidway] sysname ACC
    [ACC] vlan batch 10
    [ACC] interface gigabitethernet 0/0/1 
    [ACC-GigabitEthernet0/0/1] port link-type access
    [ACC-GigabitEthernet0/0/1] port default vlan 10
    [ACC-GigabitEthernet0/0/1] quit
    [ACC] interface gigabitethernet 0/0/2 
    [ACC-GigabitEthernet0/0/2] port link-type access
    [ACC-GigabitEthernet0/0/2] port default vlan 10
    [ACC-GigabitEthernet0/0/2] quit
    [ACC] interface gigabitethernet 0/0/3 
    [ACC-GigabitEthernet0/0/3] port link-type access
    [ACC-GigabitEthernet0/0/3] port default vlan 10
    [ACC-GigabitEthernet0/0/3] quit
    [ACC] interface gigabitethernet 0/0/4 
    [ACC-GigabitEthernet0/0/4] port link-type trunk
    [ACC-GigabitEthernet0/0/4] port trunk allow-pass vlan 10
    [ACC-GigabitEthernet0/0/4] quit
    

    # Habilite DHCP snooping y configure GE0/0/4 conectado al DHCP server como una interfaz de confianza.

    [ACC] dhcp enable  //Habilite DHCP
    [ACC] dhcp snooping enable  //Habilite DHCP Snooping globalmente
    [ACC] vlan 10
    [ACC-vlan10] dhcp snooping enable  //Habilite DHCP Snooping en VLAN 10
    [ACC-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/4  //Configure una interfaz de confianza
    [ACC-vlan10] quit
    

  3. Cree una entrada de vinculación estática para la impresora.

    [ACC] user-bind static ip-address 10.1.1.2 mac-address 0003-0003-0003 interface gigabitethernet 0/0/3 vlan 10
    

  4. Habilite IPSG en la VLAN 10 en el ACC.

    [ACC] vlan 10
    [ACC-vlan10] ip source check user-bind enable  //Habilite IPSG
    [ACC-vlan10] quit
    

  5. Verifique la configuración

    Después de que los hosts se conecten, ejecute el comando display dhcp snooping user-bind all en el ACC para ver las entradas de vinculación dinámica de los hosts.

    [ACC] display dhcp snooping user-bind all
    DHCP Dynamic Bind-table:
    Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
    IP Address       MAC Address     VSI/VLAN(O/I/P) Interface      Lease           
    --------------------------------------------------------------------------------
    10.1.1.254       0001-0001-0001  10  /--  /--    GE0/0/1        2014.08.17-07:31
    10.1.1.253       0002-0002-0002  10  /--  /--    GE0/0/2        2014.08.17-07:34
    --------------------------------------------------------------------------------
    Print count:      2     Total count:      2

    Ejecute el comando display dhcp static user-bind all en el ACC para ver la entrada de vinculación estática de la impresora.

    [ACC] display dhcp static user-bind all
    DHCP static Bind-table:                                                         
    Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping                          
    IP Address                      MAC Address     VSI/VLAN(O/I/P) Interface       
    --------------------------------------------------------------------------------
    10.1.1.2                        0003-0003-0003  10  /--  /--    GE0/0/3
    --------------------------------------------------------------------------------
    Print count:           1          Total count:           1           

    Los hosts pueden acceder a la intranet utilizando las direcciones IP asignadas dinámicamente por el DHCP server. Después de que las direcciones IP dinámicas de los hosts se cambian a direcciones IP configuradas estáticamente que son diferentes de las dinámicas, los hosts no pueden acceder a la intranet.

Archivos de configuración

  • Archivo de configuración del Core

    #
    sysname Core
    #
    vlan batch 10
    #
    dhcp enable
    #
    ip pool 10
     gateway-list 10.1.1.1
     network 10.1.1.0 mask 255.255.255.0
    #
    interface Vlanif10
     ip address 10.1.1.1 255.255.255.0
     dhcp select global
    # 
    interface GigabitEthernet0/0/1
     port link-type trunk 
     port trunk allow-pass vlan 10
    #
    return
  • Archivo de configuración del ACC

    #
    sysname ACC
    #
    vlan batch 10
    #
    dhcp enable
    #
    dhcp snooping enable
    user-bind static ip-address 10.1.1.2 mac-address 0003-0003-0003 interface GigabitEthernet0/0/3 vlan 10
    #
    vlan 10
     dhcp snooping enable 
     dhcp snooping trusted interface GigabitEthernet0/0/4
     ip source check user-bind enable
    #
    interface GigabitEthernet0/0/1
     port link-type access  
     port default vlan 10 
    #
    interface GigabitEthernet0/0/2
     port link-type access  
     port default vlan 10 
    #
    interface GigabitEthernet0/0/3
     port link-type access  
     port default vlan 10
    #
    interface GigabitEthernet0/0/4
     port link-type trunk
     port trunk allow-pass vlan 10
    #
    return
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15603

Descargas: 131

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente