1 案例背景
某網絡改造項目,核心交換機為華為S5700,接入交換機為不同型號交換機,如下模擬拓撲,客戶端接入交換機1通過Access模式與核心交換機連接,該交換機下只有一個Vlan2 192.168.2.0/24;客戶端接入交換機2通過Trunk模式與核心交換機連接,該交換機下有倆個Vlan,Vlan3 192.168.3.0/24 Vlan4 192.168.4.0/24,服務器接入交換機通過Access模式與核心交換機連接,該交換機下只有一個Vlan4 192.168.4.0/24;所有客戶端、服務器網關均位於核心交換機上;
2 目前網絡存在的缺陷
由於目前網絡管理比較松散,IP管理不夠完善,客戶端可以任意接入,外單位人員將PC設備設為相應網段也即可接入,故對目前網絡照成管理困難及安全隱患,客戶希望在本次網絡改造中將所有客戶端IP與MAC綁定,未綁定的客戶端不能接入網絡,對於服務器網段不進行操作(即未操作網段不受影響);
3 解決方案
按客戶所需要求,常用方法可以在客戶端接入交換機上進行IP+MAC+端口綁定,其他未使用端口關閉,但該方法需要逐個登陸接入交換機進行操作,由於網絡建設初期距離網絡改造時間較遠,部分接入交換機賬號密碼已經遺忘,且現在為生產網絡,如果逐個交換機破解密碼,勢必會造成網絡中斷,現在網絡環境中,客戶端與服務器均有明確Vlan划分,故選擇在華為S5700核心交換機上通過DHCP Snooping的靜態綁定表來實現IP+MAC+端口綁定,具體配置思想為首先在VLAN下配置的靜態綁定表,綁定客戶端的的IP和MAC,然后在與接入交換機相連的接口上配置IP和ARP報文檢查功能。
4 配置步驟 4.1 配置模擬環境基礎網絡
Step1、 S5700核心交換機配置
Step2、 客戶端接入交換機2配置
Step3、 客戶端配置
按拓撲標志為客戶端分別配置IP地址、網關;
Client1: IP 192.168.2.2/24 GW 192.168.2.1
Client2: IP 192.168.2.3/24 GW 192.168.2.1
Client3: IP 192.168.3.2/24 GW 192.168.3.1
Client4: IP 192.168.4.2/24 GW 192.168.4.1
Client5: IP 192.168.5.2/24 GW 192.168.5.1
配置完畢通過Ping測試確認配置無誤
4.2 配置IP+MAC+端口綁定
此處模擬位於Vlan2下的Client2為非法客戶端,在信息中心台賬中無該客戶端也即在核心交換機上未對該客戶端進行綁定;
以下配置均在核心交換機華為S5700進行
Step1、 啟用DHCP Snooping功能
[Huawei]dhcp enable
[Huawei]dhcp snooping enable
//啟用DHCP Snooping功能;
結果如下
Step2、 對目標Vlan啟用Vlan檢測功能
在模擬環境下vlan2/3/4為客戶端Vlan,也即只對客戶端Vlan進行操作,不對服務器Vlan5操作;
[Huawei]vlan 2
[Huawei-vlan2] dhcp snooping enable
[Huawei-vlan2]quit
對其他目標Vlan進行相同操作結果如下
(在生產環境下測試,在Vlan下添加ip source check user-bind enable,綁定命令如下后user-bind static ip-address 192.168.3.222 mac-address 3c97-0e60-0fe1 vlan 683,可以不對端口做操作;)
Step3、 對目標端口啟用端口檢測功能
[Huawei] interface GigabitEthernet0/0/2
[Huawei-GigabitEthernet0/0/2] arp anti-attack check user-bind enable
//啟用arp 協議抗攻擊檢查綁定服務
[Huawei-GigabitEthernet0/0/2] ip source check user-bind enable
//啟用端口檢測功能
對其他目標端口進行相同操作結果如下
Step4、 綁定客戶端IP+MAC+端口
[Huawei]user-bind static ip-address 192.168.2.2 mac-address 5489-9852-137A interface GigabitEthernet 0/0/2
對其他客戶端進行相同操作結果如下
Step5、 測試結果
通過PING測試可以得到結果,漏綁的客戶端不能訪問網絡;
5 命令參考
ip source check user-bind check-item(接口視圖)
命令功能
ip source check user-bind check-item命令用來配置IP報文的檢查選項。
undo ip source check user-bind check-item命令用來恢復IP報文的檢查選項為缺省選項。
缺省情況下,IP報文檢查選項包括IP地址(IPv4地址或IPv6地址)、MAC地址、VLAN三項。
命令格式
ip source check user-bind check-item { ip-address | mac-address | vlan }*
undo ip source check user-bind check-item
參數說明
|
參數
|
參數說明
|
取值
|
|
ip-address
|
檢查IP報文的IPv4地址或IPv6地址是否匹配綁定表。
|
-
|
|
mac-address
|
檢查IP報文的MAC地址是否匹配綁定表。
|
-
|
|
vlan
|
檢查IP報文的VLAN是否匹配綁定表。
|
-
|
視圖
GE接口視圖、XGE接口視圖、端口組視圖、Eth-Trunk接口視圖
缺省級別
2:配置級
使用指南
本命令生效的前提是接口下通過ip source check user-bind enable命令使能IP Source Guard功能。
使能IP Source Guard功能后,再配置本命令可以設置檢查IP報文時基於哪幾項進行匹配。
如果有大量綁定表存在,執行本命令可能需要一些時間,請耐心等待。
說明:
本命令只對動態綁定表生效,對靜態綁定表不生效。
使用實例
# 使能GE0/0/1接口的IP Source Guard功能,檢查IP報文的IPv4地址或IPv6地址是否匹配綁定表。
system-view
[Quidway] interface gigabitethernet 0/0/1
[Quidway-GigabitEthernet0/0/1] ip source check user-bind enable
[Quidway-GigabitEthernet0/0/1] ip source check user-bind check-item ip-address
[Quidway-GigabitEthernet0/0/1] arp anti-attack check user-bind enable
[Quidway-GigabitEthernet0/0/1] arp anti-attack check user-bind alarm enable
Info: Change permit rule for dynamic snooping bind-table, please wait a minute!
ip source check user-bind check-item(VLAN視圖)
命令功能
ip source check user-bind check-item命令用來配置VLAN下IP報文的檢查選項。
undo ip source check user-bind check-item命令用來恢復IP報文的檢查選項為缺省選項。
缺省情況下,VLAN下IP報文檢查選項包括IP地址(IPv4地址或IPv6地址)、MAC地址和接口。
命令格式
ip source check user-bind check-item { ip-address | mac-address | interface }*
undo ip source check user-bind check-item
參數說明
|
參數
|
參數說明
|
取值
|
|
ip-address
|
檢查IP報文的IPv4地址或IPv6地址是否匹配綁定表。
|
-
|
|
mac-address
|
檢查IP報文的MAC地址是否匹配綁定表。
|
-
|
|
interface
|
檢查IP報文的接口是否匹配綁定表。
|
-
|
視圖
VLAN視圖
缺省級別
2:配置級
使用指南
本命令生效的前提是VLAN下通過ip source check user-bind enable命令使能IP Source Guard功能。
使能IP Source Guard功能后,再配置本命令可以設置檢查IP報文時基於哪幾項進行匹配。
如果有大量綁定表存在,執行本命令可能需要一些時間,請耐心等待。
說明:
本命令只對動態綁定表生效,對靜態綁定表不生效。
使用實例
# 使能VLAN100的IP Source Guard功能,檢查IP報文的IPv4地址或IPv6地址是否匹配綁定表。
system-view
[Quidway] vlan 100
[Quidway-vlan100] ip source check user-bind enable
[Quidway-vlan100] ip source check user-bind check-item ip-address
Info: Change permit rule for dynamic snooping bind-table, please wait a minute!
6 案例參考
http://support.huawei.com/ecommunity/bbs/10232127.html?p=1#p10439637
http://support.huawei.com/ecommunity/bbs/10174371.html?p=1#p10275725
http://support.huawei.com/ecommunity/bbs/10154485.html
7.驗證配置結果
# 執行命令display arp anti-attack configuration check user-bind interface,查看各接口下動態ARP檢測的配置信息,以GE1/0/1為例。
[SwitchA] display arp anti-attack configuration check user-bind interface gigabitethernet 1/0/1 arp anti-attack check user-bind enable
arp anti-attack check user-bind alarm enable
# 執行命令display arp anti-attack statistics check user-bind interface,查看各接口下動態ARP檢測的ARP報文丟棄計數,以GE1/0/1為例。
[SwitchA] display arp anti-attack statistics check user-bind interface gigabitethernet 1/0/1 Dropped ARP packet number is 966
Dropped ARP packet number since the latest warning is 605
由顯示信息可知,接口GE1/0/1下產生了ARP報文丟棄計數,表明防ARP中間人攻擊功能已經生效。
當在各接口下多次執行命令display arp anti-attack statistics check user-bind interface時,管理員可根據顯示信息中“Dropped ARP packet number is”字段值的變化來了解ARP中間人攻擊頻率和范圍