所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置基于动态绑定表的IPSG

配置基于动态绑定表的IPSG

配置基于动态绑定表的IPSG,实现对非信任接口上接收的IP报文进行过滤控制,防止恶意主机盗用合法主机的IP地址来仿冒合法主机,获取网络资源的使用权限。

背景信息

该方式适用于局域网络中主机较多,或者主机使用DHCP动态获取IP地址的情况。

配置流程

图11-11  基于动态绑定表的IPSG配置流程图

请在接入用户的设备上进行如下配置。

操作步骤

  1. 创建动态绑定表项

    动态绑定表项包括IPv4和IPv6两种绑定表项,请根据网络环境选择配置。

    • 通过DHCP方式获取IP地址的IPv4或者IPv6主机,可以配置DHCP Snooping生成DHCP Snooping动态绑定表项

      1. 执行命令system-view,进入系统视图。
      2. 执行命令dhcp enable,使能DHCP功能。

        缺省情况下,未使能DHCP功能。

      3. 执行命令dhcp snooping enable,全局使能DHCP Snooping功能。

        缺省情况下,全局未使能DHCP Snooping功能。

      4. 进入VLAN或者接口视图。
        • 执行命令vlan vlan-id,进入VLAN视图。
        • 执行命令interface interface-type interface-number,进入接口视图。
      5. 执行命令dhcp snooping enable,使能VLAN或者接口的DHCP Snooping功能。

        缺省情况下,VLAN和接口下未使能DHCP Snooping功能。

      6. 配置信任接口,以下任务二选一。
        • 在VLAN视图下执行命令dhcp snooping trusted interface interface-type interface-number,配置加入该VLAN的接口为信任状态。
        • 在接口视图下执行命令dhcp snooping trusted,配置该接口为信任状态。

        缺省情况下,使能DHCP Snooping功能后,接口为非信任状态。

        说明:

        一般将与DHCP服务器直接或间接相连的接口配置为信任接口,IPSG对于从信任接口收到的报文不做匹配检查,直接允许通过。

      有关DHCP Snooping的详细配置,请参见DHCP Snooping配置

    • 通过静态方式获取IP地址的IPv4或者IPv6主机,如果网络中部署了802.1X认证功能,可以配置生成静态主机的DHCP Snooping动态绑定表项

      该方式生成的表项可能不可靠,建议配置静态绑定表。

      1. 执行命令system-view,进入系统视图。
      2. 执行命令dhcp enable,使能DHCP功能。

        缺省情况下,未使能DHCP功能。

      3. 执行命令dhcp snooping enable,全局使能DHCP Snooping功能。

        缺省情况下,全局未使能DHCP Snooping功能。

      4. 执行命令interface interface-type interface-number,进入接口视图。
      5. 执行命令dhcp snooping enable,使能接口的DHCP Snooping功能。

        缺省情况下,接口下未使能DHCP Snooping功能。

      6. 执行命令dot1x trigger dhcp-binding(传统模式)或者dot1x trigger dhcp-binding(统一模式),配置静态主机802.1X认证成功后,设备自动生成对应的DHCP Snooping绑定表。

        传统模式下配置该功能前,必须已经通过命令dot1x enable使能了全局和接口的802.1X认证功能。

        缺省情况下,静态主机802.1X认证成功后,设备不会自动生成对应的DHCP Snooping绑定表。

      有关802.1X认证的相关配置,请参见《S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证》 NAC配置(传统模式) 或 NAC配置(统一模式)。

    • 对于IPv6主机,也可以配置ND Snooping功能生成ND Snooping动态绑定表项
      1. 执行命令system-view,进入系统视图。
      2. 执行命令nd snooping enable,全局使能ND Snooping功能。

        缺省情况下,全局未使能ND Snooping功能。

      3. 进入VLAN或者接口视图。
        1. 执行命令vlan vlan-id,进入VLAN视图。
        2. 执行命令interface interface-type interface-number,进入接口视图。
      4. 执行命令nd snooping enable,使能VLAN或者接口的ND Snooping功能。

        缺省情况下,VLAN和接口下未使能ND Snooping功能。

      5. 配置信任接口,以下任务二选一。
        1. 在VLAN视图下执行命令nd snooping trusted interface interface-type interface-number,配置加入该VLAN的接口为ND Snooping信任接口。
        2. 在接口视图下执行命令nd snooping trusted,配置接口为ND Snooping信任接口。

        缺省情况下,使能ND Snooping功能后,所有接口为非信任状态。

      有关ND Snooping的详细配置,请参见ND Snooping配置

  2. 使能IPSG功能

    绑定表创建后,IPSG并未生效,只有在指定接口(接入用户侧的接口)或在指定VLAN上使能IPSG后才生效。以下两种方式二选一。
    • 基于接口使能IPSG:该接口接收的所有的报文均进行IPSG检查。如果用户只希望在某些不信任的接口上进行IPSG检查,而信任其他接口,可以选择此方式。并且,当接口属于多个VLAN时,基于接口使能IPSG更方便,无需在每个VLAN上使能。

    • 基于VLAN使能IPSG:属于该VLAN的所有接口接收的报文均进行IPSG检查。如果用户只希望在某些不信任VLAN上进行IPSG检查,而信任其他VLAN,可以选择此方式。并且,当多个接口属于相同的VLAN时,基于VLAN使能IPSG更方便,无需在每个接口上使能。

    说明:
    • 接口上使能仅对该接口生效,其它接口不会执行IPSG检查。
    • VLAN上使能仅对该VLAN生效,其它VLAN不会执行IPSG检查。
    1. 进入接口或VLAN视图。
      • 执行命令interface interface-type interface-number,进入接口视图。
      • 执行命令vlan vlan-id,进入VLAN视图。
    2. 执行命令ip source check user-bind enable,使能接口或者VLAN的IP报文检查功能。

      缺省情况下,接口和VLAN上未使能IP报文检查功能。

  3. (可选)配置IP报文检查项

    • 如果基于VLAN使能IPSG,在VLAN视图下执行命令ip source check user-bind check-item { ip-address | mac-address | interface } *,配置IP报文检查项。
    • 如果基于接口使能IPSG,在接口视图下执行命令ip source check user-bind check-item { ip-address | mac-address | vlan } *,配置IP报文检查项。

    缺省情况下,IP报文检查项包括IP地址、MAC地址、VLAN和接口。如果用户信任某些检查项,或者某些项目不固定(例如客户端的流量可能从不同的接口进入设备),可以选择配置此步骤。一般采用缺省值。

  4. (可选)配置IP报文检查告警功能

    仅当步骤2中基于接口使能IPSG,本步骤才生效。配置此功能后,当丢弃的IP报文超过告警阈值时,会产生告警提醒用户。

    1. 执行命令system-view,进入系统视图。

    2. 执行命令interface interface-type interface-number,进入接口视图。

    3. 执行命令ip source check user-bind alarm enable,使能IP报文检查告警功能。

      缺省情况下,没有使能IP报文检查告警功能。

    4. 执行命令ip source check user-bind alarm threshold threshold,配置IP报文检查告警阈值。

      缺省情况下,IP报文检查告警阈值为100。

检查配置结果

  • 查看指定接口的IPSG配置

    执行命令display ip source check user-bind interface interface-type interface-number,查看接口下IPSG的配置信息。

  • 查看生成的动态绑定表项及状态

    • 执行命令display dhcp snooping user-bind { { interface interface-type interface-number | ip-address ip-address | mac-address mac-address | vlan vlan-id } * | all } [ verbose ],查看DHCP Snooping动态绑定表信息。
    • 执行命令display dhcpv6 snooping user-bind { { interface interface-type interface-number | ipv6-address { ipv6-address | all } | mac-address mac-address | vlan vlan-id } * | all } [ verbose ],查看DHCPv6 Snooping动态绑定表信息。
    • 执行命令display nd snooping user-bind all [ verbose ]或display nd snooping user-bind { ipv6-address ipv6-address | mac-address mac-address | interface interface-type interface-number | vlan vlan-id }* [ verbose ],查看ND Snooping动态绑定表信息。
    verbose参数可以查看到IPSG的状态。
    • 如果IPSG Status显示为“effective”,表示该条表项的IPSG已生效。
    • 如果IPSG Status显示为“ineffective”,表示该条表项的IPSG未生效,这可能因硬件ACL资源不足导致。
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:33771

下载量:972

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页