【华为】配置IPSG防止静态主机私自更改IP地址案例

于 2024-09-25 18:06:27 发布
阅读量942 收藏 28
点赞数 21
分类专栏: 华为网络工程师-HCIA/HCIP/HCIE 文章标签: 华为 tcp/ip 网络 ip 信息与通信 网络协议 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49224830/article/details/142529904
版权

原创  厦门微思网络

IPSG简介

如图1所示,黑客(Host_2主机)私自修改自己的IP地址,使用研发部员工(Host_1主机)的IP地址和MAC地址,伪造合法的IP报文去攻击网络,但是网络管理员却以为是研发部员工在攻击网络。为了避免这种情况发生,在接入交换机上配置静态绑定表,并在连接终端的接口开启IP报文检查功能,只有符合静态绑定表项的报文才能正常访问内外网,不符合静态绑定表的报文给丢掉。

组网需求

如图1所示,用户网关在核心交换机Core上,在Core上部署了ACL指定固定主机可以访问外网,接入交换机ACC连接的Host通过静态方式配置IP地址。管理员希望Host使用管理员分配的固定IP地址上网,不允许私自修改IP地址非法获取外网访问权限。

图1IPSG防止静态主机私自更改IP地址组网图

图片

配置思路

采用如下思路配置IPSG:

  1. 在用户网关Core上配置ACL,只允许IP地址为10.0.0.2和10.0.0.3的主机访问外网。

  2. 在接入交换机ACC上创建Host的静态绑定表,固定IP和MAC的绑定关系。

  3. 在接入交换机ACC上连接用户主机的接口使能IPSG,使Host只能使用管理员分配的固定IP地址上网。即:Host_1可以正常访问外网,Host_2无法访问外网,并且Host_2也无法通过私自修改IP地址来访问外网。

操作步骤

  1. 配置ACL

<HUAWEI> system-view
[HUAWEI] sysname Core
[Core] vlan batch 10
[Core] interface gigabitethernet 0/0/1
[Core-GigabitEthernet0/0/1] port link-type trunk
[Core-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[Core-GigabitEthernet0/0/1] quit
[Core] interface vlanif 10   //配置网关地址
[Core-Vlanif10] ip address 10.0.0.1 255.255.255.0
[Core-Vlanif10] quit
[Core] acl number 3001   //配置ACL
[Core-acl-adv-3001] rule permit ip source 10.0.0.2 0
[Core-acl-adv-3001] rule permit ip source 10.0.0.3 0
[Core-acl-adv-3001] rule deny ip source 10.0.0.0 0.0.0.255
[Core-acl-adv-3001] quit
[Core] traffic classifier c1   //配置基于ACL的流分类
[Core-classifier-c1] if-match acl 3001
[Core-classifier-c1] quit
[Core] traffic behavior b1   //配置流行为
[Core-behavior-b1] permit
[Core-behavior-b1] quit
[Core] traffic policy p1   //配置流策略
[Core-trafficpolicy-p1] classifier c1 behavior b1
[Core-trafficpolicy-p1] quit
[Core] interface gigabitethernet 0/0/2
[Core-GigabitEthernet0/0/2] traffic-policy p1 outbound   //应用流策略
[Core-GigabitEthernet0/0/2] quit

  1. 创建Host的静态绑定表项

<HUAWEI> system-view
[HUAWEI] sysname ACC
[ACC] vlan batch 10   //配置VLAN,接入主机
[ACC] interface gigabitethernet 0/0/1
[ACC-GigabitEthernet0/0/1] port link-type access
[ACC-GigabitEthernet0/0/1] port default vlan 10
[ACC-GigabitEthernet0/0/1] quit
[ACC] interface gigabitethernet 0/0/2
[ACC-GigabitEthernet0/0/2] port link-type access
[ACC-GigabitEthernet0/0/2] port default vlan 10
[ACC-GigabitEthernet0/0/2] quit
[ACC] interface gigabitethernet 0/0/3
[ACC-GigabitEthernet0/0/3] port link-type trunk
[ACC-GigabitEthernet0/0/3] port trunk allow-pass vlan 10
[ACC-GigabitEthernet0/0/3] quit
[ACC] user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002 interface gigabitethernet 0/0/1   //创建Host_1的静态绑定表项
[ACC] user-bind static ip-address 10.0.0.5 mac-address 0005-0005-0005 interface gigabitethernet 0/0/2   //创建Host_2的静态绑定表项

  1. 使能IPSG功能

# 在连接Host_1的GE0/0/1接口使能IPSG功能。

[ACC] interface gigabitethernet 0/0/1
[ACC-GigabitEthernet0/0/1] ip source check user-bind enable
[ACC-GigabitEthernet0/0/1] quit

# 在连接Host_2的GE0/0/2接口使能IPSG功能。

[ACC] interface gigabitethernet 0/0/2
[ACC-GigabitEthernet0/0/2] ip source check user-bind enable
[ACC-GigabitEthernet0/0/2] quit

  1. 验证配置结果

在ACC上执行display dhcp static user-bind all命令,可以查看静态绑定表信息。

[ACC] display dhcp static user-bind all
DHCP static Bind-table:                                                        
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping                          
IP Address                      MAC Address     VSI/VLAN(O/I/P) Interface      
--------------------------------------------------------------------------------
10.0.0.2                        0002-0002-0002  --  /--  /--    GE0/0/1
10.0.0.5                        0005-0005-0005  --  /--  /--    GE0/0/2
--------------------------------------------------------------------------------
Print count:           2          Total count:           2

在ACC上执行display dhcp static user-bind all verbose命令,可以查看IPSG的状态,effective表示该条静态表项已生效。

[ACC] display dhcp static user-bind all verbose
DHCP static Bind-table:                                                        
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping                          
--------------------------------------------------------------------------------
IP Address  : 10.0.0.2                                                        
MAC Address : 0002-0002-0002                                                  
VSI         : --                                                              
VLAN(O/I/P) : --  /--  /--                                                    
Interface   : GE0/0/1
IPSG Status : effective   slot: <0>                                            
--------------------------------------------------------------------------------
IP Address  : 10.0.0.5                                                        
MAC Address : 0005-0005-0005                                                  
VSI         : --                                                              
VLAN(O/I/P) : --  /--  /--                                                    
Interface   : GE0/0/2
IPSG Status : effective   slot: <0>                                            
--------------------------------------------------------------------------------
Print count:           2          Total count:           2

Host_1可以访问外网,Host_2无法访问外网。将Host_2的IP地址更改为可以上网的IP地址10.0.0.3后依然无法访问外网,并且内网也无法访问。

详细配置文件

  • Core的配置文件

#
sysname Core
#
vlan batch 10
#
acl number 3001
rule 5 permit ip source 10.0.0.2 0
rule 10 permit ip source 10.0.0.3 0
rule 15 deny ip source 10.0.0.0 0.0.0.255
#
traffic classifier c1 operator or precedence 5
if-match acl 3001
#
traffic behavior b1
permit
#
traffic policy p1 match-order config
classifier c1 behavior b1
#
interface Vlanif10
ip address 10.0.0.1 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10
#
interface GigabitEthernet0/0/2
traffic-policy p1 outbound
#
return

  • ACC的配置文件

#
sysname ACC
#
vlan batch 10
#
user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002 interface GigabitEthernet0/0/1
user-bind static ip-address 10.0.0.5 mac-address 0005-0005-0005 interface GigabitEthernet0/0/2
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
ip source check user-bind enable
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
ip source check user-bind enable
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10
#
return

图片

END

微思网络,始于2002年

专业IT认证培训22年,面向全国招生!

微思-主要课程有:

*网络技术:华为HCIA/ HCIP/HCIE;思科CCNA/CCNP/CCIE

*Linux技术:红帽 RHCE/RHCA

*K8S&容器:CKA/CKS

*数据库:ORACLE OCP/ OCM ;MySQL ;达梦数据库

*虚拟化:VMware VCP/VCAP

*安全认证:CISP体系/CISSP/ CISA;CCSK;CISAW体系

*管理类:PMP 项目管理;软考中/高项;ITIL体系;Togaf

其他课程如:ACP;Azure...

— 年度热文 —

新生代网工必看:华为模拟器eNSP安装教程(附下载链接)

【超详细】思科模拟器EVE的安装与使用,附下载链接

一款功能齐全的网管软件:Ip-tools

收藏!超详细的Oracle 19c安装步骤!

超强linux学习笔记,值得一看(附PDF下载)

K8S认证工程师(CKA)备考与学习指南

《鸟哥Linux私房菜》全新完整中文版PDF

xmweisi
关注
专栏目录
DHCP高阶应用系列之《dhcp-snooping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址
weixin_44645270的博客
07-18 2630
DHCP高阶操作系列之《dhcp-snoping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址
配置IPSG防止DHCP动态主机私自更改IP地址示例.pdf
06-18
通过上述步骤的实施,管理员可以利用IPSG技术有效地防止DHCP动态主机私自更改IP地址,保障网络的安全性和稳定性。这项技术对于那些依赖于动态IP地址分配的网络环境来说尤其重要,它帮助网络管理员减轻了安全风险,...
配置IPSG防止主机私自更改IP地址示例(静态绑定)
Jian Sun_的博客
05-13 2267
IP 源防护(IP Source Guard,简称 IPSG华为交换机配置文件 Switch的配置文件 # sysname Switch #创建Host_1和Host_2的静态绑定表项 user-bind static ip-address 10.0.0.1 mac-address xxxx-xxxx-xxx1 user-bind static ip-address 10.0.0.11 mac-address xxxx-xxxx-xxx2 #使能IPSG并设置丢弃报文上报告警功能 #在连接
华为交换机配置IPSG防止DHCP动态主机私自更改IP地址
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
06-16 3967
IPSG简介 IPSG是一种基于二层接口的源IP地址过滤技术,它利用交换机上的绑定表对IP报文进行过滤。绑定表由IP地址、MAC地址、VLAN ID和接口组成,包括静态和动态两种。静态绑定表是用户手工创建的,动态绑定表即DHCP Snooping绑定表,它是在主机动态获取IP地址时,交换机根据DHCP回复报文自动生成的。绑定表生成后,在使能IPSG的接口收到报文后,交换机会将报文中的信息和绑定表匹配,匹配成功则允许报文通过,匹配失败则丢弃报文。匹配的内容可以是IP地址、MAC地址、VLAN ID和接口的任意
IPSG绑定表
weixin_46041124的博客
02-22 809
IPSG是基于绑定表(DHCP Snooping动态绑定表和静态绑定表)对IP报文进行匹配检查。绑定表是IPSG进行IP报文检查的基础。当设备在转发IP报文时,将此IP报文中的。源IP、源MAC(Media Access Control)、接口、VLAN(Virtual Local Area Network)信息和绑定表的信息进行比较。,如果信息匹配,表明是合法用户,则允许此报文正常转发,否则认为是攻击报文,并丢弃该IP报文。
华为eNsp S5700组网配置
爱意随风起,人生不可弃。
06-26 6703
文章目录网络拓扑网络规划网络配置Core交换机Telnet配置ACC1 配置CORE配置VLAN互通CORE ACC1配置DHCP服务器关闭接口的生成树协议配置连接终端设备的交换机接口为边缘端口Core配置静态路由出口路由器 配置ACC1 配置DHCP Snooping和IPSG保存配置 网络拓扑 在小型园区中,S2700&S3700通常部署在网络的接入层,S5700&S6700通常部署在网络的核心,出口路由器一般选用AR系列路由器。 接入交换机与核心交换机通过Eth-Trunk组网保证
华为设备配置小型园区网
Tony_long7483的博客
10-28 1752
1.配置LSW2 (1)[LSW2]vlan batch 10 //创建业务VLAN 10 (2)配置连接AR1的Eth-Trunk1,透传A的VLAN [LSW2]int Eth-Trunk 1 [LSW2-Eth-Trunk1]port link-type trunk [LSW2-Eth-Trunk1]port trunk allow-pass vlan 10 [LSW2-Eth-Trunk1]mode lacp [LSW2-Ethernet0/0/2]eth-trunk 1 [LSW2-Ether.
华为中小企业组网
陪我养猪吧的博客
06-17 1913
中小企业网络架构
华为eNsp模拟OSPF组网实验(2)
爱意随风起,人生不可弃。
06-26 2904
文章目录网络拓扑网络配置管理IP及Telnet配置网络互通配置接入层交换机配置汇聚/核心层交换机配置出口路由器的接口地址静态路由配置VRRP主备备份实现虚拟网关冗余配置出口路由器实现内网共享上网配置DHCP配置DHCP服务器关闭接口的生成树协议配置连接终端设备的交换机接口为边缘端口配置DHCP Snooping和IPSGOSPF配置配置可靠性和负载分担配置负载分担配置链路聚合 网络拓扑 核心交换机配置VRRP保证网络可靠性,配置负载分担有效利用资源。 每个部门业务划分到一个VLAN中,部门间的业务在CO
华为路由与交换 DHCP协议原理与配置 学习笔记
weixin_42463871的博客
06-03 1291
本次博客主要是介绍关于DHCP协议原理与配置。 一个网络如果要正常地运行,则网络中的主机(Host)必需要知道某些重要的网络参数,如IP地址网络掩码、网关地址、DNS服务器地址(域名解析)、网络打印机地址等等。显然,在每台主机上都采用手工方式来配置这些参数是非常困难的、或是根本不可能的,如果是五台十台,对于公司的管理员来说,这些参数采用静态的手工方式配置的话,完全没有问题,但是如果是上千台的话,对于这上千台的主机都采用手工的方式配置的话,这个管理员他辞职不香吗? 网关:相同网段的主机进行通信的时候,是
DHCP SNOOPING + IPSG配置示例.docx
11-17
在本例中,我们将在接入交换机上配置 DHCP SNOOPING 功能,生成动态绑定表,同时在业务 VLAN 上使能 IPSG 功能,防止主机私自配置 IP 地址来访问网络配置思路可以分为四步: 1. 在网关上配置 DHCP 中继功能,为...
华为S系列园区交换机快速配置.pdf
09-27
此外,核心交换机还会扮演DHCPServer的角色,为园区内的用户分配IP地址,而接入交换机则通过配置DHCP Snooping功能来防止内网用户私接小路由器分配IP地址,并通过配置IPSG功能来防止内网用户私自更改IP地址。...
华为---以太网静态路由配置使用下一跳通信正常,而使用出接口无法通信
lehe99的专栏
09-22 1088
1. 实验环境以太网静态路由配置使用下一跳跨网段通信正常,而使用出接口无法跨网段通信,以下图网络拓扑为例进行分析说明。
华为FreeBuds 6i怎么佩戴不容易掉?
techSista的博客
09-24 308
华为FreeBuds 6i佩戴技巧大公开!学会这几个佩戴方法,耳机狂甩都不会掉!
【观察】华为:构筑先进AI存力底座,引领时代更创造时代
申耀的科技观察
09-24 1068
知名科技杂志《连线》创始主编凯文·凯利曾预测:“在未来的 100 年里,人工智能将超越任何一种人工力量,将人类引领到一个前所未有的时代。”确实如此,犹如历史上蒸汽机、电力、计算机和互联网等通用技术一样,近20年来,AI正以史无前例的速度和深度改变着人类社会和经济,为释放人类创造力和促进经济增长提供了巨大的机会,同时也成为了驱动新一轮科技和产业变革的重要动力源泉。特别是随着千亿级参数大模型的不断涌现...
聚观早报 | 豆包视频生成大模型发布;华为纯血鸿蒙将开启公测
Juguan365的博客
09-25 753
聚观早报每日整理最值得关注的行业重点事件,帮助大家及时了解最新行业动态,每日读报,就读聚观365资讯简报。整理丨Cutie9月25日消息豆包视频生成大模型发布华为纯血鸿蒙将开启公测高德地图将发放百亿补贴12306上线“车内换座”新功能小米两款新车细节曝光。
华为vxlan
最新发布
qq_25467441的博客
09-25 298
VXLAN是什么?VXLAN与VLAN之间有何不同? - 华为
华为】用策略路由解决双出口运营商问题
Richardlygo的博客
09-24 592
不同网段访问互联网资源时,走不同的出口,即PC1走电信出口,PC2走移动出口。客户在内网接口下应用策略路由后往往出现无法访问内网管理地址的现象,该举例给出解决办法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值