(可选)配置设备自动生成静态IP用户的DHCP Snooping绑定表
背景信息
网络中存在非法用户,将自己的MAC地址修改为合法用户的MAC地址,当合法用户通过802.1X认证上线后,非法用户就可以获取与合法用户相同的身份认证,达到不认证就上网的目的,这无疑造成了认证和计费的漏洞。非法用户上线后,还可以发起ARP欺骗攻击,发送伪造合法用户的ARP报文,使设备记录错误的ARP表项,严重影响合法用户之间的正常通信。利用IPSG功能和DAI功能,可以预防以上非法用户的攻击。IPSG功能和DAI功能是基于绑定表实现的。对于静态IP用户,可以通过命令user-bind static配置静态绑定表。但是,如果静态IP用户较多,通过以上命令逐条配置静态绑定表的工作量较大。
为减少工作量,可以配置设备自动生成静态IP用户的DHCP Snooping绑定表功能。配置该功能后,802.1X认证成功的静态IP用户,通过EAP报文触发生成用户信息表,根据用户信息表中记录的MAC地址、IP地址、接口信息等,在设备上自动生成对应的DHCP Snooping绑定表。
配置设备自动生成静态IP用户的DHCP Snooping绑定表之前,必须已经通过命令dot1x enable和dhcp snooping enable使能了全局和接口的802.1X认证功能和DHCP Snooping功能。
由于EAP协议没有规定标准的属性来携带IP地址信息,对于EAP请求报文中不携带IP地址信息的静态IP用户,DHCP Snooping绑定表中的IP地址信息是从用户发送的ARP请求报文(用户认证成功后发送的第一个与用户信息表中MAC地址相同的ARP请求报文)中提取的。由于网络中可能存在非法用户伪造合法用户的MAC地址向设备发起ARP欺骗攻击的情况,生成的DHCP Snooping绑定表可能不可靠,所以不建议用户开启此功能,建议通过命令user-bind static配置静态绑定表。
对于DHCP方式分配IP地址的用户,设备上无需配置命令dot1x trigger dhcp-binding,直接通过DHCP Snooping功能就能够自动生成DHCP Snooping绑定表。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令interface interface-type interface-number,进入接口视图。
- 执行命令dot1x trigger dhcp-binding,配置静态IP用户802.1X认证成功后,设备自动生成对应的DHCP
Snooping绑定表。
缺省情况下,静态IP用户802.1X认证成功后,设备不会自动生成对应的DHCP Snooping绑定表。
