所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
IPSG基本原理

IPSG基本原理

IPSG利用绑定表(源IP地址、源MAC地址、所属VLAN、入接口的绑定关系)去匹配检查二层接口上收到的IP报文,只有匹配绑定表的报文才允许通过,其他报文将被丢弃。

绑定表如表11-1所示,包括静态和动态两种。

表11-1  绑定表

绑定表类型

生成过程

适用场景

静态绑定表

使用user-bind命令手工配置。

针对IPv4和IPv6主机,适用于主机数较少且主机使用静态IP地址的场景。

DHCP Snooping动态绑定表(1)

配置DHCP Snooping功能后,DHCP主机动态获取IP地址时,设备根据DHCP服务器发送的DHCP回复报文动态生成。

针对IPv4和IPv6主机,适用于主机数较多且主机从DHCP服务器获取IP地址的场景。

DHCP Snooping动态绑定表(2)

802.1X用户认证过程中,设备根据认证用户的信息生成。

针对IPv4和IPv6主机,适用于主机数较多、主机使用静态IP地址、并且网络中部署了802.1X认证的场景。

该方式生成的表项不可靠,建议配置静态绑定表。

ND Snooping动态绑定表

配置ND Snooping功能后,设备通过侦听用户用于重复地址检测的NS(Neighbor Solicitation)报文来建立。

仅针对IPv6主机,适用于主机数较多的场景。

绑定表生成后,IPSG基于绑定表向指定的接口或者指定的VLAN下发ACL,由该ACL来匹配检查所有IP报文。主机发送的报文,只有匹配绑定表才会允许通过,不匹配绑定表的报文都将被丢弃。当绑定表信息变化时,设备会重新下发ACL。缺省情况下,如果在没有绑定表的情况下使能了IPSG,设备会允许IP协议报文通过,但是会拒绝所有的数据报文。

说明:

IPSG只匹配检查主机发送的IP报文,包括IPv4和IPv6报文,对于ARP、PPPoE等非IP报文,IPSG不做匹配检查。

IPSG原理图如图11-2所示,非法主机仿冒合法主机的IP地址发送报文到达Switch后,因报文和绑定表不匹配被Switch丢弃。

图11-2  IPSG实现原理图

IPSG中的接口角色

IPSG仅支持在二层物理接口或者VLAN上应用,且只对使能了IPSG功能的非信任接口进行检查。对于IPSG来说,缺省所有的接口均为非信任接口,信任接口由用户指定。IPSG的信任接口/非信任接口也就是DHCP Snooping或ND Snooping中的信任接口/非信任接口,信任接口/非信任接口同样适用于基于静态绑定表方式的IPSG。

IPSG中各接口角色如图11-3所示。其中:
  • IF1和IF2接口为非信任接口且使能IPSG功能,从IF1和IF2接口收到的报文会执行IPSG检查。
  • IF3接口为非信任接口但未使能IPSG功能,从IF3接口收到的报文不会执行IPSG检查,可能存在攻击。
  • IF4接口为用户指定的信任接口,从IF4接口收到的报文也不会执行IPSG检查,但此接口一般不存在攻击。在DHCP Snooping的场景下,通常把与合法DHCP服务器直接或间接连接的接口设置为信任接口。
图11-3  IPSG中的接口角色示意图

IPSG的过滤方式

静态绑定表项包含:MAC地址、IP地址、VLAN ID、入接口。静态绑定表项中指定的信息均用于IPSG过滤接口收到的报文。

动态绑定表项包含:MAC地址、IP地址、VLAN ID、入接口。IPSG依据该表项中的哪些信息过滤接口收到的报文,由用户设置的检查项决定,缺省是四项都进行匹配检查。常见的几种检查项如表11-2所示,其他组合类似,不一一列举。

表11-2  IPSG过滤方式

设置的检查项

含义

基于源IP地址过滤

根据源IP地址对报文进行过滤,只有源IP地址和绑定表匹配,才允许报文通过。

基于源MAC地址过滤

根据源MAC地址对报文进行过滤,只有源MAC地址和绑定表匹配,才允许报文通过。

基于源IP地址+源MAC地址过滤

根据源IP和源MAC地址对报文进行过滤,只有源IP和源MAC地址都和绑定表匹配,才允许报文通过。

基于源IP地址+源MAC地址+接口过滤

根据源IP地址、源MAC地址和接口对报文进行过滤,只有源IP、源MAC地址和接口都和绑定表匹配,才允许报文通过。

基于源IP地址+源MAC地址+接口+VLAN过滤

根据源IP地址、源MAC地址、接口和VLAN对报文进行过滤,只有源IP地址、源MAC地址、接口和VLAN都和绑定表匹配,才允许报文通过。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:32567

下载量:939

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页