所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
(可选)配置设备自动生成静态IP用户的DHCP Snooping绑定表

(可选)配置设备自动生成静态IP用户的DHCP Snooping绑定表

背景信息

网络中存在非法用户,将自己的MAC地址修改为合法用户的MAC地址,当合法用户通过802.1X认证上线后,非法用户就可以获取与合法用户相同的身份认证,达到不认证就上网的目的,这无疑造成了认证和计费的漏洞。非法用户上线后,还可以发起ARP欺骗攻击,发送伪造合法用户的ARP报文,使设备记录错误的ARP表项,严重影响合法用户之间的正常通信。利用IPSG功能和DAI功能,可以预防以上非法用户的攻击。IPSG功能和DAI功能是基于绑定表实现的。对于静态IP用户,可以通过命令user-bind static配置静态绑定表。但是,如果静态IP用户较多,通过以上命令逐条配置静态绑定表的工作量较大。

为减少工作量,可以配置设备自动生成静态IP用户的DHCP Snooping绑定表功能。配置该功能后,802.1X认证成功的静态IP用户,通过EAP报文触发生成用户信息表,根据用户信息表中记录的MAC地址、IP地址、接口信息等,在设备上自动生成对应的DHCP Snooping绑定表。

配置设备自动生成静态IP用户的DHCP Snooping绑定表之前,必须已经通过命令dot1x enabledhcp snooping enable使能了全局和接口的802.1X认证功能和DHCP Snooping功能。

说明:
  • 由于EAP协议没有规定标准的属性来携带IP地址信息,对于EAP请求报文中不携带IP地址信息的静态IP用户,DHCP Snooping绑定表中的IP地址信息是从用户发送的ARP请求报文(用户认证成功后发送的第一个与用户信息表中MAC地址相同的ARP请求报文)中提取的。由于网络中可能存在非法用户伪造合法用户的MAC地址向设备发起ARP欺骗攻击的情况,生成的DHCP Snooping绑定表可能不可靠,所以不建议用户开启此功能,建议通过命令user-bind static配置静态绑定表。

  • 对于DHCP方式分配IP地址的用户,设备上无需配置命令dot1x trigger dhcp-binding,直接通过DHCP Snooping功能就能够自动生成DHCP Snooping绑定表。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令interface interface-type interface-number,进入接口视图。
  3. 执行命令dot1x trigger dhcp-binding,配置静态IP用户802.1X认证成功后,设备自动生成对应的DHCP Snooping绑定表。

    缺省情况下,静态IP用户802.1X认证成功后,设备不会自动生成对应的DHCP Snooping绑定表。

检查配置结果

执行命令display dhcp snooping user-bind,可以查看静态IP用户802.1X认证成功后,设备自动生成的DHCP Snooping绑定表。该功能生成的DHCP Snooping绑定表在用户下线后会自动删除。

后续处理

DHCP Snooping绑定表生成之后,需要结合IPSG和DAI功能,防止非法用户攻击。
  • 接口视图下,执行命令ip source check user-bind enable,使能IPSG功能。

  • 接口视图下,执行命令arp anti-attack check user-bind enable,使能DAI功能。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:30464

下载量:1231

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页