No se encuentran recursos de mapeo en el idioma seleccionado.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo para configurar IPSG basado en la tabla de vinculación estática para evitar que los hosts no autorizados accedan a la intranet

Ejemplo para configurar IPSG basado en la tabla de vinculación estática para evitar que los hosts no autorizados accedan a la intranet

Descripción general de IPSG

IPSG es una tecnología de filtrado de direcciones IP de origen aplicada a las interfaces de Capa 2. Filtra paquetes IP basados ​​en la tabla de vinculación de un switch. Una entrada en la tabla de vinculación contiene la dirección IP, la dirección MAC, ID de VLAN y la interfaz. Las entradas de vinculación incluyen entradas estáticas y dinámicas. Se crea manualmente una tabla de vinculación estática, una tabla de vinculación dinámica es la tabla de vinculación snooping DHCP. Cuando los hosts obtienen direcciones IP dinámicas, el switch genera automáticamente las entradas de vinculación dinámica de acuerdo con los paquetes de respuesta DHCP. Después de crear una tabla de vinculación, el switch coincide los paquetes recibidos por las interfaces habilitadas por IPSG con las entradas de vinculación. Si los paquetes coinciden con las entradas de vinculación, se reenvían; de lo contrario, son descartados. Las opciones de paquetes coincidentes pueden ser una combinación de dirección IP, dirección MAC, ID de VLAN e interfaz. Por ejemplo, el switch solo coincide con direcciones IP, direcciones IP y direcciones MAC, o una combinación de direcciones IP, direcciones MAC, ID de VLAN e interfaces de los paquetes.

Por lo tanto, IPSG proporciona dos funciones:
  • Evite que los hosts maliciosos roben las direcciones IP de los hosts autorizados para hacerse pasar por los hosts autorizados.
  • Evite que los hosts no autorizados cambien sus propias direcciones IP a direcciones IP estáticas para acceder o atacar la red.

Por ejemplo, cuando todos los hosts en una intranet usan direcciones IP estáticas, deben usar las direcciones IP fijas asignadas por el administrador de red y acceder a la intranet a través de interfaces fijas. Para garantizar la seguridad de la intranet, los hosts externos no pueden acceder a la intranet sin permiso.

Notas de configuración

Este ejemplo se aplica a todas las versiones y modelos, excepto los siguientes:
  • S2300SI de V100R006C05 no es compatible con IPSG.
  • Después de que el reenvío de Capa 3 basado en hardware para paquetes IPv4 está habilitado en las siguientes versiones, los switches no son compatibles con IPSG:
    • V200R007C00 y V200R008C00: S2350EI y S5300-10P-LI-AC
    • V200R008C10: S5300-10P-PWR-LI-AC
    • V200R009C00 y versiones posteriores: S2350EI, S5300-10P-LI-AC, y S5300-10P-PWR-LI-AC

Requisitos de red

Como se muestra en Figura 12-15, los hosts acceden a la intranet de la empresa a través del switch. El gateway es el dispositivo de salida de la intranet de la empresa. Los hosts usan direcciones IP estáticas. El administrador ha configurado la limitación de la velocidad de interfaz en switch y requiere que los hosts usen direcciones IP fijas para acceder a la intranet a través de puertos fijos. Para garantizar la seguridad de la red, el administrador no permite que los hosts externos accedan a la intranet sin permiso.

Figura 12-15  Configuración de IPSG basada en la tabla de vinculación estática para evitar que los hosts no autorizados accedan a la intranet

Plan de datos

Para realizar la configuración, necesita los siguientes datos.

Tabla 12-8  Plan de datos

Ítem

Datos

Descripción

VLAN

  • Switch:

    VLAN ID: 10, incluidas las interfaces GE0/0/1, GE0/0/2, GE0/0/3 y GE0/0/4

  • Gateway:

    VLAN ID: 10

Ninguna

Direcciones IP de los hosts permitidos para acceder a la red.

10.0.0.1, 10.0.0.2

Ninguna

Hoja de ruta de configuración

El requisito del administrador se puede cumplir configurando IPSG en el Switch. La hoja de ruta de la configuración es la siguiente:

  1. Especifique la VLAN a la que pertenecen las interfaces.
  2. Configure entradas de vinculación estática para Host_1 y Host_2 para fijar las vinculaciones entre direcciones IP, direcciones MAC e interfaces.
  3. # Configure GE0/0/4 como interfaz de confianza. Switch no realiza una comprobación de IPSG en los paquetes recibidos por esta interfaz de confianza, por lo que los paquetes devueltos por la gateway no se descartarán.
  4. Habilite IPSG en la VLAN conectada a los hosts de usuario para que Host_1 y Host_2 accedan a la intranet utilizando direcciones IP fijas a través de puertos fijos. Además, el host externo Host_3 no puede acceder a la intranet.

Procedimiento

  1. Especifique la VLAN a la que pertenecen las interfaces.

    <Quidway> system-view
    [Quidway] sysname Switch
    [Switch] vlan batch 10
    [Switch] interface gigabitethernet 0/0/1 
    [Switch-GigabitEthernet0/0/1] port link-type access
    [Switch-GigabitEthernet0/0/1] port default vlan 10
    [Switch-GigabitEthernet0/0/1] quit
    [Switch] interface gigabitethernet 0/0/2 
    [Switch-GigabitEthernet0/0/2] port link-type access
    [Switch-GigabitEthernet0/0/2] port default vlan 10
    [Switch-GigabitEthernet0/0/2] quit
    [Switch] interface gigabitethernet 0/0/3 
    [Switch-GigabitEthernet0/0/3] port link-type access
    [Switch-GigabitEthernet0/0/3] port default vlan 10
    [Switch-GigabitEthernet0/0/3] quit
    [Switch] interface gigabitethernet 0/0/4 
    [Switch-GigabitEthernet0/0/4] port link-type trunk
    [Switch-GigabitEthernet0/0/4] port trunk allow-pass vlan 10
    [Switch-GigabitEthernet0/0/4] quit
    

  2. Cree entradas de vinculación estática para Host_1 y Host_2.

    [Switch] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface gigabitethernet 0/0/1  //Cree una entrada de vinculación estática para Host_1.
    [Switch] user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002 interface gigabitethernet 0/0/2  //Cree una entrada de vinculación estática para Host_2.
    

  3. Configure la interfaz de vínculo ascendente GE0/0/4 como una interfaz de confianza.

    [Switch] dhcp enable  //Habilite DHCP
    [Switch] dhcp snooping enable  //Habilite DHCP Snooping globalmente
    [Switch] interface gigabitethernet 0/0/4
    [Switch-GigabitEthernet0/0/4] dhcp snooping trusted  //Configure una interfaz de confianza
    [Switch-GigabitEthernet0/0/4] quit
    

  4. Habilite IPSG en VLAN 10 conectado a hosts.

    [Switch] vlan 10
    [Switch-vlan10] ip source check user-bind enable
    [Switch-vlan10] quit
    

  5. Verifique la configuración

    Ejecute el comando display dhcp static user-bind all en Switch para ver las entradas de vinculación de Host_1 y Host_2.

    [Switch] display dhcp static user-bind all
    DHCP static Bind-table:                                                         
    Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping                          
    IP Address                      MAC Address     VSI/VLAN(O/I/P) Interface       
    --------------------------------------------------------------------------------
    10.0.0.1                        0001-0001-0001  --  /--  /--    GE0/0/1
    10.0.0.2                        0002-0002-0002  --  /--  /--    GE0/0/2
    --------------------------------------------------------------------------------
    Print count:           2          Total count:           2           

    Host_1 y Host_2 pueden acceder a la intranet. Después de que las direcciones IP de los hosts se cambian o los hosts se conectan a otras interfaces, no pueden acceder a la intranet.

    Cuando Host_3 con la dirección IP 10.0.0.3 se conecta con GE0/0/3, Host_3 no puede acceder a la intranet, lo que indica que los hosts externos no pueden acceder a la intranet sin permiso. Si Host_3 necesita acceder a la intranet, agregue la entrada de Host_3 a la tabla de vinculación estática.

Archivos de configuración

Archivo de configuración del switch

#
sysname Switch
#
vlan batch 10
#
dhcp enable 
#
dhcp snooping enable
user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface GigabitEthernet0/0/1
user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002 interface GigabitEthernet0/0/2
#
vlan 10
 ip source check user-bind enable
#
interface GigabitEthernet0/0/1
 port link-type access  
 port default vlan 10 
#
interface GigabitEthernet0/0/2
 port link-type access  
 port default vlan 10 
#
interface GigabitEthernet0/0/3
 port link-type access  
 port default vlan 10 
#
interface GigabitEthernet0/0/4
 port link-type trunk
 port trunk allow-pass vlan 10
 dhcp snooping trusted
#
return
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15505

Descargas: 129

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente