24 |
您所在的位置:网站首页 › h3c ip绑定 › 24 |
目 录 1 IP-MAC绑定 1.1 IP-MAC绑定简介 1.1.1 工作原理 1.1.2 绑定表项生成方式 1.2 配置限制和指导 1.3 IP-MAC绑定配置任务简介 1.4 开启全局IP-MAC绑定功能 1.5 开启接口IP-MAC绑定功能 1.6 手工创建IP-MAC绑定表项 1.7 批量生成IP-MAC绑定表项 1.8 配置IP-MAC绑定的缺省动作 1.9 IP-MAC绑定显示和维护 1.10 IP-MAC绑定典型配置举例 1.10.1 IPv4-MAC绑定配置举例 1.10.2 IPv6-MAC绑定配置举例 1 IP-MAC绑定 1.1 IP-MAC绑定简介 IP-MAC绑定是指通过在设备上建立IP地址与MAC地址绑定表项实现对报文的过滤控制。该功能适用于防御主机仿冒攻击,可有效过滤攻击者通过仿冒合法用户主机的IP地址或者MAC地址向设备发送的伪造IP报文。 1.1.1 工作原理配置IP-MAC绑定功能的设备接收到用户报文后,会提取报文头中的源IP地址和源MAC地址,并与IP-MAC绑定表项进行匹配,如图1-1所示。 图1-1 IP-MAC绑定功能示意图
设备在进行IP-MAC绑定表项匹配时,对不同的匹配结果采用不同的报文处理方式,具体说明如表1-1所示。 表1-1 不同匹配结果报文的处理方式 匹配结果 对报文的处理 IP+MAC地址完全匹配 放行报文 IP地址匹配,MAC地址不匹配 丢弃报文 IP地址不匹配,MAC地址匹配 丢弃报文 IP地址和MAC地址都无匹配项 缺省情况下放行报文,可以通过ip-mac binding no-match action deny命令将未匹配到IP-MAC绑定表项的报文的动作设置为丢弃 1.1.2 绑定表项生成方式 IP-MAC绑定表项中定义了设备允许转发报文的IP地址和MAC地址的绑定关系。IP-MAC绑定表项可以通过手工创建和批量生成两种方式进行创建。两种方式生成的绑定表项都是全局生效。 1. 手工创建绑定表项手工创建绑定表项是指通过手工方式逐条配置IP-MAC绑定表项。该方式适用于局域网络中主机较少且IP地址固定的情况。 2. 批量生成绑定表项批量生成绑定表项是指通过指定接口下的ARP表项或ND表项生成对应的IP-MAC绑定表项。其中ARP表项用于生成IPv4地址与MAC地址的绑定关系;ND表项用于生成IPv6地址与MAC地址的绑定关系。该方式适用于局域网络中主机较多的情况。 在利用ARP/ND表生成IP-MAC绑定表项时,遵从如下规则: · 一条ARP/ND表项的IP地址和MAC地址均不在地址绑定表中,此时会在地址绑定表中生成一条IP地址和MAC地址均唯一的表项。 · 一条ARP/ND表项的MAC地址在地址绑定表中,但IP地址不在绑定表中,此时会在地址绑定表中生成一条新的IP-MAC绑定表项,即在地址绑定表中允许一个MAC地址对应多个IP地址。 · 一条ARP/ND表项的IP地址已在地址绑定表中,则此条ARP/ND表项不会生成IP-MAC绑定表项。 批量生成的IP-MAC绑定表项是静态表项,在执行绑定操作后,不会随原接口下ARP/ND表项的变化而变化。 1.2 配置限制和指导· IP-MAC绑定关系属于静态配置,所以只适用于IP地址固定的场景。如果采用DHCP方式进行IP地址的动态分配,则不建议使用本功能。否则,可能会导致合法主机无法通信。 · 一个IP地址只能绑定一个MAC地址,一个MAC地址可以绑定多个IP地址。当需要修改某个表项中IP地址绑定的MAC地址时,需要先将原来的表项删除再重新添加新的表项;当需要修改某个表项中MAC地址绑定的IP地址时,可以新增一条新的绑定表项,原有的表项可以根据实际情况删除或保留。 1.3 IP-MAC绑定配置任务简介IP-MAC绑定配置任务如下: (1) 开启接口IP-MAC绑定功能 (2) 配置IP-MAC绑定表项 请至少选择其中一项进行配置: ¡ 手工创建IP-MAC绑定表项 ¡ 批量生成IP-MAC绑定表项 (3) 配置IP-MAC绑定的缺省动作 1.4 开启全局IP-MAC绑定功能 1. 功能简介开启全局IP-MAC绑定功能后,设备会对所有接口上收到的入方向报文进行IP地址与MAC地址绑定关系的检测,与IP-MAC绑定表项不一致的报文将会被丢弃。 2. 配置步骤(1) 进入系统视图。 system-view (2) 开启全局IP-MAC绑定功能。 ip-mac binding enable 缺省情况下,全局IP-MAC绑定功能处于关闭状态。 1.5 开启接口IP-MAC绑定功能 1. 功能简介开启接口IP-MAC绑定功能后,设备会对该接口上入方向的报文进行IP地址与MAC地址绑定关系的检测,与IP-MAC绑定表项不一致的报文将会被丢弃。 2. 配置步骤(1) 进入系统视图。 system-view (2) 进入接口视图。 interface interface-type interface-number (3) 开启接口IP-MAC绑定功能。 ip-mac binding enable 缺省情况下,接口下的IP-MAC绑定功能处于关闭状态。 1.6 手工创建IP-MAC绑定表项(1) 进入系统视图。 system-view (2) 配置IP-MAC绑定表项。 (IPv4网络) ip-mac binding ipv4 ipv4-address mac-address mac-address [ vlan vlan-id | vpn-instance vpn-instance-name ] (IPv6网络) ip-mac binding ipv6 ipv6-address mac-address mac-address [ vlan vlan-id | vpn-instance vpn-instance-name ] 1.7 批量生成IP-MAC绑定表项 1. 功能简介IP-MAC绑定表项可以利用ARP/ND表批量生成。 2. 配置步骤(1) 进入系统视图。 system-view (2) 批量生成IP-MAC绑定表项。 ip-mac binding interface interface-type interface-number 1.8 配置IP-MAC绑定的缺省动作 1. 功能简介开启IP-MAC绑定功能后,对于IP地址和MAC地址与IP-MAC绑定表项都无匹配的报文,可通过配置缺省动作,使设备允许该报文通过或者丢弃该报文。 2. 配置步骤(1) 进入系统视图。 system-view (2) 配置IP-MAC绑定的缺省动作为丢弃。 ip-mac binding no-match action deny 缺省情况下,允许未匹配到IP-MAC绑定表项的报文通过。 1.9 IP-MAC绑定显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后IP-MAC的运行情况,通过查看显示信息验证配置的效果。 在用户视图下,执行reset命令可以清除IP-MAC绑定功能过滤报文的统计信息。 表1-2 IP-MAC显示和维护 操作 命令 显示IPv4-MAC绑定表项 display ip-mac binding ipv4 [ ipv4-address ] [ mac-address mac-address ] [ vlan vlan-id | vpn-instance vpn-instance-name ] 显示IPv6-MAC绑定表项 display ip-mac binding ipv6 [ ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id | vpn-instance vpn-instance-name ] 显示IP-MAC绑定功能过滤报文的统计信息 (独立运行模式) display ip-mac binding statistics [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display ip-mac binding statistics [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] 显示IP-MAC绑定功能状态 display ip-mac binding status 清除IP-MAC绑定功能过滤报文的统计信息 (独立运行模式) reset ip-mac binding statistics [ slot slot-number [ cpu cpu-number ] ] (IRF模式) reset ip-mac binding statistics [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] 1.10 IP-MAC绑定典型配置举例 1.10.1 IPv4-MAC绑定配置举例 1. 组网需求 如图1-2所示,在某子网中各主机与服务器均使用静态IPv4地址。其中,Host A、Host B为合法主机,通过网关Device实现与Server的互访。Host C为非法接入该子网的主机,网络管理员希望能够阻断其对Server的访问。 · Host A的MAC地址为0001-0203-0404、IPv4地址为192.168.0.1。 · Host B的MAC地址为0001-0203-0405、IPv4地址为192.168.0.2。 · Server的MAC地址为0001-0203-0407、IPv4地址为192.168.1.3。 2. 组网图图1-2 配置IPv4-MAC绑定组网图 3. 配置步骤(1) 配置接口IP地址 # 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。 system-view [Device] interface gigabitethernet 1/0/1 [Device-GigabitEthernet1/0/1] ip address 192.168.0.254 255.255.255.0 [Device-GigabitEthernet1/0/1] quit 请参考以上步骤配置其他接口的IP地址,具体配置步骤略。 (2) 配置接口加入安全域。 # 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。 [Device] security-zone name trust [Device-security-zone-Trust] import interface gigabitethernet 1/0/1 [Device-security-zone-Trust] quit [Device] security-zone name dmz [Device-security-zone-DMZ] import interface gigabitethernet 1/0/2 [Device-security-zone-DMZ] quit (3) 配置安全策略 # 配置名称为trust-dmz的安全策略规则,使Host可以正常访问Server,具体配置步骤如下。 [Device] security-policy ip [Device-security-policy-ip] rule name trust-dmz [Device-security-policy-ip-1-trust-dmz] source-zone trust [Device-security-policy-ip-1-trust-dmz] destination-zone dmz [Device-security-policy-ip-1-trust-dmz] source-ip-subnet 192.168.0.0 24 [Device-security-policy-ip-1-trust-dmz] destination-ip-subnet 192.168.1.0 24 [Device-security-policy-ip-1-trust-dmz] action pass [Device-security-policy-ip-1-trust-dmz] quit # 配置名称为dmz-trust的安全策略规则,使Host可以正常访问内网服务器,具体配置步骤如下。 [Device-security-policy-ip] rule name dmz-trust [Device-security-policy-ip-2-dmz-trust] source-zone dmz [Device-security-policy-ip-2-dmz-trust] destination-zone trust [Device-security-policy-ip-2-dmz-trust] source-ip-subnet 192.168.1.0 24 [Device-security-policy-ip-2-dmz-trust] destination-ip-subnet 192.168.0.0 24 [Device-security-policy-ip-2-dmz-trust] action pass [Device-security-policy-ip-2-dmz-trust] quit [Device-security-policy-ip] quit (4) 配置IP-MAC绑定 # 在接口上开启IP-MAC绑定功能。 [Device] interface gigabitethernet 1/0/1 [Device-GigabitEthernet1/0/1] ip-mac binding enable [Device-GigabitEthernet1/0/1] quit [Device] interface gigabitethernet 1/0/2 [Device-GigabitEthernet1/0/2] ip-mac binding enable [Device-GigabitEthernet1/0/2] quit # 配置IPv4-MAC绑定表项,使Device只允许来自Host A、Host B和Sever的报文通过。 [Device] ip-mac binding ip 192.168.0.1 mac-address 0001-0203-0404 [Device] ip-mac binding ip 192.168.0.2 mac-address 0001-0203-0405 [Device] ip-mac binding ip 192.168.1.3 mac-address 0001-0203-0407 # 配置未匹配IP-MAC绑定表项的报文的动作为丢弃。 [Device] ip-mac binding no-match action deny 4. 验证配置# 查看已添加的IPv4-MAC绑定表项。 display ip-mac binding ipv4 Total entries: 1 IP address MAC address VPN instance VLAN ID 192.168.0.1 0001-0203-0404 public N/A 192.168.0.2 0001-0203-0405 public N/A 192.168.1.3 0001-0203-0407 public N/A # 在Host C上ping服务器,发现服务器不可达,说明IP-MAC绑定功能已生效。 C:\> ping 192.168.1.3
Pinging 192.168.1.3 with 32 bytes of data:
Request timed out. Request timed out. Request timed out. Request timed out.
Ping statistics for 192.168.1.3: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), 1.10.2 IPv6-MAC绑定配置举例 1. 组网需求如图1-3所示,在某子网中各主机与服务器均使用静态IPv6地址。其中,Host A、Host B为合法主机,通过网关Device实现与Server的互访。Host C为非法接入该子网的主机,网络管理员希望能够阻断其对Server的访问。 · Host A的MAC地址为0001-0203-0404、IPv6地址为2000::1/64。 · Host B的MAC地址为0001-0203-0405、IPv6地址为2000::2/64。 · Server的MAC地址为0001-0203-0407、IPv6地址为2001::3/64 2. 组网图图1-3 配置IPv6-MAC绑定组网图 3. 配置步骤(1) 配置接口IP地址 # 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。 system-view [Device] interface gigabitethernet 1/0/1 [Device-GigabitEthernet1/0/1] ipv6 address 2000::4 64 [Device-GigabitEthernet1/0/1] quit 请参考以上步骤配置其他接口的IP地址,具体配置步骤略。 (2) 配置接口加入安全域。 # 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。 [Device] security-zone name trust [Device-security-zone-Trust] import interface gigabitethernet 1/0/1 [Device-security-zone-Trust] quit [Device] security-zone name dmz [Device-security-zone-DMZ] import interface gigabitethernet 1/0/2 [Device-security-zone-DMZ] quit (3) 配置安全策略 # 配置名称为trust-dmz的安全策略规则,使Host可以正常访问Server,具体配置步骤如下。 [Device] security-policy ipv6 [Device-security-policy-ipv6] rule name trust-dmz [Device-security-policy-ipv6-1-trust-dmz] source-zone trust [Device-security-policy-ipv6-1-trust-dmz] destination-zone dmz [Device-security-policy-ipv6-1-trust-dmz] source-ip-subnet 2000::1 64 [Device-security-policy-ipv6-1-trust-dmz] destination-ip-subnet 2001::1 64 [Device-security-policy-ipv6-1-trust-dmz] action pass [Device-security-policy-ipv6-1-trust-dmz] quit # 配置名称为dmz-trust的安全策略规则,使Host可以正常访问内网服务器,具体配置步骤如下。 [Device-security-policy-ipv6] rule name dmz-trust [Device-security-policy-ipv6-2-dmz-trust] source-zone dmz [Device-security-policy-ipv6-2-dmz-trust] destination-zone trust [Device-security-policy-ipv6-2-dmz-trust] source-ip-subnet 2001::1 64 [Device-security-policy-ipv6-2-dmz-trust] destination-ip-subnet 2000::1 64 [Device-security-policy-ipv6-2-dmz-trust] action pass [Device-security-policy-ipv6-2-dmz-trust] quit [Device-security-policy-ipv6] quit (4) 配置IP-MAC绑定 # 在接口上开启IP-MAC绑定功能。 [Device] interface gigabitethernet 1/0/1 [Device-GigabitEthernet1/0/1] ip-mac binding enable [Device-GigabitEthernet1/0/1] quit [Device] interface gigabitethernet 1/0/2 [Device-GigabitEthernet1/0/2] ip-mac binding enable [Device-GigabitEthernet1/0/2] quit # 配置IPv6-MAC绑定表项,使Device只允许来自Host A、Host B和Sever的报文通过。 [Device] ip-mac binding ipv6 2000::1 mac-address 0001-0203-0404 [Device] ip-mac binding ipv6 2000::2 mac-address 0001-0203-0405 [Device] ip-mac binding ipv6 2001::3 mac-address 0001-0203-0407 # 配置未匹配IP-MAC绑定表项的报文的动作为丢弃。 [Device] ip-mac binding no-match action deny 4. 验证配置# 查看已添加的IPv6-MAC绑定表项。 display ip-mac binding ipv6 Total entries: 1 IP address MAC address VPN instance VLAN ID 2000::1 0001-0203-0404 public N/A 2000::2 0001-0203-0405 public N/A 2001::3 0001-0203-0407 public N/A # 在Host C上ping服务器,发现服务器不可达,说明IP-MAC绑定功能已生效。 C:\> ping 2001::3
Pinging 2001::3 with 32 bytes of data:
Request timed out. Request timed out. Request timed out. Request timed out.
Ping statistics for 2001::3: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |