網絡安全之IPSG防止DHCP動態主機私自更改IP地址

組網圖形

　　　　

IPSG簡介

• IPSG是一種基於二層接口的源IP地址過濾技術，它利用交換機上的綁定表對IP報文進行過濾。綁定表由IP地址、MAC地址、VLAN ID和接口組成，包括靜態和動態兩種。靜態綁定表是用戶手工建立的，動態綁定表即DHCP Snooping綁定表，它是在主機動態獲取IP地址時，交換機根據DHCP回覆報文自動生成的。綁定表生成後，在使能IPSG的接口收到報文後，交換機會將報文中的信息和綁定表匹配，匹配成功則容許報文經過，匹配失敗則丟棄報文。匹配的內容能夠是IP地址、MAC地址、VLAN ID和接口的任意組合，例如能夠只匹配IP地址，或者只匹配IP地址和MAC地址，或者IP地址、MAC地址、VLAN ID和接口都匹配等。
• 基於此，IPSG可以防止惡意主機盜用合法主機的IP地址來仿冒合法主機，還能確保非受權主機不能經過本身指定IP地址的方式來訪問網絡或者攻擊網絡。
• 例如：在主機是DHCP服務器動態分配IP地址的環境下，主機只能使用服務器動態分配的IP地址，私自配置靜態IP地址將沒法訪問網絡，除非管理員爲主機建立靜態綁定表項。

組網需求

• 如圖1所示，Host經過ACC接入網絡，Core做爲DHCP Server爲Host動態分配IP地址，打印機使用靜態IP地址，Gateway爲企業出口網關。管理員但願Host不能私自配置靜態IP地址，私自配置IP地址後將沒法訪問網絡。

配置思路

• 1.在Core上配置DHCP Server功能，爲Host動態分配IP地址。
• 2.在ACC上配置DHCP Snooping功能，保證Host從合法的DHCP Server獲取IP地址，同時生成DHCP Snooping動態綁定表，記錄Host的IP地址、MAC地址、VLAN、接口的綁定關係。
• 3.在ACC上爲打印機建立靜態綁定表，保證打印機的安全接入。
• 4.在ACC鏈接用戶的VLAN上使能IPSG功能，防止Host經過私自配置IP地址的方式訪問網絡。

操做步驟

• 1.在Core上配置DHCP Server功能

<HUAWEI> system-view
[HUAWEI] sysname Core
[Core] vlan batch 10
[Core] interface gigabitethernet 0/0/1
[Core-GigabitEthernet0/0/1] port link-type trunk
[Core-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[Core-GigabitEthernet0/0/1] quit
[Core] dhcp enable
[Core] ip pool 10
[Core-ip-pool-10] network 10.1.1.0 mask 24
[Core-ip-pool-10] gateway-list 10.1.1.1
[Core-ip-pool-10] quit
[Core] interface vlanif 10
[Core-Vlanif10] ip address 10.1.1.1 255.255.255.0
[Core-Vlanif10] dhcp select global
[Core-Vlanif10] quit

•  2.在ACC上配置DHCP Snooping功能

　　# 配置各接口所屬VLAN。

<HUAWEI> system-view
[HUAWEI] sysname ACC
[ACC] vlan batch 10
[ACC] interface gigabitethernet 0/0/1 
[ACC-GigabitEthernet0/0/1] port link-type access
[ACC-GigabitEthernet0/0/1] port default vlan 10
[ACC-GigabitEthernet0/0/1] quit
[ACC] interface gigabitethernet 0/0/2 
[ACC-GigabitEthernet0/0/2] port link-type access
[ACC-GigabitEthernet0/0/2] port default vlan 10
[ACC-GigabitEthernet0/0/2] quit
[ACC] interface gigabitethernet 0/0/3 
[ACC-GigabitEthernet0/0/3] port link-type access
[ACC-GigabitEthernet0/0/3] port default vlan 10
[ACC-GigabitEthernet0/0/3] quit
[ACC] interface gigabitethernet 0/0/4 
[ACC-GigabitEthernet0/0/4] port link-type trunk
[ACC-GigabitEthernet0/0/4] port trunk allow-pass vlan 10
[ACC-GigabitEthernet0/0/4] quit

 　　# 使能DHCP Snooping功能，並將鏈接DHCP Server的GE0/0/4接口配置爲信任接口。

[ACC] dhcp enable  //使能DHCP功能
[ACC] dhcp snooping enable  //使能DHCP Snooping功能
[ACC] vlan 10
[ACC-vlan10] dhcp snooping enable  //使能DHCP Snooping功能
[ACC-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/4  //配置信任接口
[ACC-vlan10] quit

•  3.建立打印機的靜態綁定表項

[ACC] user-bind static ip-address 10.1.1.2 mac-address 0003-0003-0003 interface gigabitethernet 0/0/3 vlan 10

•  4.在ACC的VLAN10上使能IPSG功能

[ACC] vlan 10
[ACC-vlan10] ip source check user-bind enable  //使能IPSG功能
[ACC-vlan10] quit

•  5.驗證配置結果

　　Host上線後，在ACC上執行display dhcp snooping user-bind all命令，能夠查看Host的動態綁定表信息。

[ACC] display dhcp snooping user-bind all
DHCP Dynamic Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
IP Address       MAC Address     VSI/VLAN(O/I/P) Interface      Lease           
--------------------------------------------------------------------------------
10.1.1.254       0001-0001-0001  10  /--  /--    GE0/0/1        2014.08.17-07:31
10.1.1.253       0002-0002-0002  10  /--  /--    GE0/0/2        2014.08.17-07:34
--------------------------------------------------------------------------------
print count:      2     total count:      2

 　　在ACC上執行display dhcp static user-bind all命令，能夠查看打印機的靜態綁定表信息。

[ACC] display dhcp static user-bind all
DHCP static Bind-table:                                                         
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping                          
IP Address                      MAC Address     VSI/VLAN(O/I/P) Interface       
--------------------------------------------------------------------------------
10.1.1.2                        0003-0003-0003  10  /--  /--    GE0/0/3
--------------------------------------------------------------------------------
Print count:           1          Total count:           1          

　　 Host使用DHCP服務器動態分配的IP地址能夠正常訪問網絡，將Host更改成與動態得到的IP地址不同的靜態IP地址後沒法訪問網絡。