S12700, S12700E V200R019C10 配置指南-安全
本文档介绍了安全的配置,具体包括ACL配置、自反ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、IPv6 RA Guard配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、OLC配置、业务与管理隔离配置和安全风险查询
IPSG基本原理
IPSG利用绑定表(源IP地址、源MAC地址、所属VLAN、入接口的绑定关系)去匹配检查二层接口上收到的IP报文,只有匹配绑定表的报文才允许通过,其他报文将被丢弃。
绑定表如表14-1所示,包括静态和动态两种。
绑定表类型 |
生成过程 |
适用场景 |
|---|---|---|
静态绑定表 |
使用user-bind命令手工配置。 |
针对IPv4和IPv6主机,适用于主机数较少且主机使用静态IP地址的场景。 |
DHCP Snooping动态绑定表(1) |
配置DHCP Snooping功能后,DHCP主机动态获取IP地址时,设备根据DHCP服务器发送的DHCP回复报文动态生成。 |
针对IPv4和IPv6主机,适用于主机数较多且主机从DHCP服务器获取IP地址的场景。 |
DHCP Snooping动态绑定表(2) |
802.1X用户认证过程中,设备根据认证用户的信息生成。 |
针对IPv4和IPv6主机,适用于主机数较多、主机使用静态IP地址、并且网络中部署了802.1X认证的场景。 该方式生成的表项不可靠,建议配置静态绑定表。 |
ND Snooping动态绑定表 |
配置ND Snooping功能后,设备通过侦听用户用于重复地址检测的NS(Neighbor Solicitation)报文来建立。 |
仅针对IPv6主机,适用于主机数较多的场景。 |
绑定表生成后,IPSG基于绑定表向指定的接口或者指定的VLAN下发ACL,由该ACL来匹配检查所有IP报文。主机发送的报文,只有匹配绑定表才会允许通过,不匹配绑定表的报文都将被丢弃。当绑定表信息变化时,设备会重新下发ACL。缺省情况下,如果在没有绑定表的情况下使能了IPSG,设备会允许IP协议报文通过,但是会拒绝所有的数据报文。
IPSG只匹配检查主机发送的IP报文,包括IPv4和IPv6报文,对于ARP、PPPoE等非IP报文,IPSG不做匹配检查。
IPSG原理图如图14-2所示,非法主机仿冒合法主机的IP地址发送报文到达Switch后,因报文和绑定表不匹配被Switch丢弃。
IPSG中的接口角色
IPSG仅支持在二层物理接口或者VLAN上应用,且只对使能了IPSG功能的非信任接口进行检查。对于IPSG来说,缺省所有的接口均为非信任接口,信任接口由用户指定。IPSG的信任接口/非信任接口也就是DHCP Snooping或ND Snooping中的信任接口/非信任接口,信任接口/非信任接口同样适用于基于静态绑定表方式的IPSG。
- IF1和IF2接口为非信任接口且使能IPSG功能,从IF1和IF2接口收到的报文会执行IPSG检查。
- IF3接口为非信任接口但未使能IPSG功能,从IF3接口收到的报文不会执行IPSG检查,可能存在攻击。
- IF4接口为用户指定的信任接口,从IF4接口收到的报文也不会执行IPSG检查,但此接口一般不存在攻击。在DHCP Snooping的场景下,通常把与合法DHCP服务器直接或间接连接的接口设置为信任接口。
IPSG的过滤方式
静态绑定表项包含:MAC地址、IP地址、VLAN ID、入接口。静态绑定表项中指定的信息均用于IPSG过滤接口收到的报文。
动态绑定表项包含:MAC地址、IP地址、VLAN ID、入接口。IPSG依据该表项中的哪些信息过滤接口收到的报文,由用户设置的检查项决定,缺省是四项都进行匹配检查。常见的几种检查项如表14-2所示,其他组合类似,不一一列举。
设置的检查项 |
含义 |
|---|---|
基于源IP地址过滤 |
根据源IP地址对报文进行过滤,只有源IP地址和绑定表匹配,才允许报文通过。 |
基于源MAC地址过滤 |
根据源MAC地址对报文进行过滤,只有源MAC地址和绑定表匹配,才允许报文通过。 |
基于源IP地址+源MAC地址过滤 |
根据源IP和源MAC地址对报文进行过滤,只有源IP和源MAC地址都和绑定表匹配,才允许报文通过。 |
基于源IP地址+源MAC地址+接口过滤 |
根据源IP地址、源MAC地址和接口对报文进行过滤,只有源IP、源MAC地址和接口都和绑定表匹配,才允许报文通过。 |
基于源IP地址+源MAC地址+接口+VLAN过滤 |
根据源IP地址、源MAC地址、接口和VLAN对报文进行过滤,只有源IP地址、源MAC地址、接口和VLAN都和绑定表匹配,才允许报文通过。 |