鸿鹄论坛 › HCIP学习资料 › 配置IPSG防止DHCP动态主机私自更改IP地址

小乔 发表于 2018-3-22 11:15:20

配置IPSG防止DHCP动态主机私自更改IP地址

IPSG简介
IPSG是一种基于二层接口的源IP地址过滤技术，它利用交换机上的绑定表对IP报文进行过滤。绑定表由IP地址、MAC地址、VLAN ID和接口组成，包括静态和动态两种。静态绑定表是用户手工创建的，动态绑定表即DHCP Snooping绑定表，它是在主机动态获取IP地址时，交换机根据DHCP回复报文自动生成的。绑定表生成后，在使能IPSG的接口收到报文后，交换机会将报文中的信息和绑定表匹配，匹配成功则允许报文通过，匹配失败则丢弃报文。匹配的内容可以是IP地址、MAC地址、VLAN ID和接口的任意组合，例如可以只匹配IP地址，或者只匹配IP地址和MAC地址，或者IP地址、MAC地址、VLAN ID和接口都匹配等。

基于此，IPSG能够防止恶意主机盗用合法主机的IP地址来仿冒合法主机，还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或者攻击网络。

例如：在主机是DHCP服务器动态分配IP地址的环境下，主机只能使用服务器动态分配的IP地址，私自配置静态IP地址将无法访问网络，除非管理员为主机创建静态绑定表项。
组网需求如图1所示，Host通过ACC接入网络，Core作为DHCP Server为Host动态分配IP地址，打印机使用静态IP地址，Gateway为企业出口网关。管理员希望Host不能私自配置静态IP地址，私自配置IP地址后将无法访问网络。图1 配置IPSG防止DHCP动态主机私自更改IP地址组网图




数据规划
在开始配置之前，需要规划好以下数据。


配置思路
采用如下的思路配置IPSG功能，实现上述需求。
在Core上配置DHCP Server功能，为Host动态分配IP地址。
在ACC上配置DHCP Snooping功能，保证Host从合法的DHCP Server获取IP地址，同时生成DHCP Snooping动态绑定表，记录Host的IP地址、MAC地址、VLAN、接口的绑定关系。
在ACC上为打印机创建静态绑定表，保证打印机的安全接入。
在ACC连接用户的VLAN上使能IPSG功能，防止Host通过私自配置IP地址的方式访问网络。


操作步骤
在Core上配置DHCP Server功能

<HUAWEI> system-view
sysname Core
vlan batch 10
interface gigabitethernet 0/0/1
port link-type trunk
port trunk allow-pass vlan 10
quit
dhcp enable
ip pool 10
network 10.1.1.0 mask 24
gateway-list 10.1.1.1
quit
interface vlanif 10
ip address 10.1.1.1 255.255.255.0
dhcp select global
quit

在ACC上配置DHCP Snooping功能

# 配置各接口所属VLAN。

<HUAWEI> system-view
sysname ACC
vlan batch 10
interface gigabitethernet 0/0/1
port link-type access
port default vlan 10
quit
interface gigabitethernet 0/0/2
port link-type access
port default vlan 10
quit
interface gigabitethernet 0/0/3
port link-type access
port default vlan 10
quit
interface gigabitethernet 0/0/4
port link-type trunk
port trunk allow-pass vlan 10
quit
# 使能DHCP Snooping功能，并将连接DHCP Server的GE0/0/4接口配置为信任接口。

dhcp enable//使能DHCP功能
dhcp snooping enable//使能DHCP Snooping功能
vlan 10
dhcp snooping enable//使能DHCP Snooping功能
dhcp snooping trusted interface gigabitethernet 0/0/4//配置信任接口
quit

创建打印机的静态绑定表项

user-bind static ip-address 10.1.1.2 mac-address 0003-0003-0003 interface gigabitethernet 0/0/3 vlan 10

在ACC的VLAN10上使能IPSG功能

vlan 10
ip source check user-bind enable//使能IPSG功能
quit

验证配置结果

Host上线后，在ACC上执行display dhcp snooping user-bind all命令，可以查看Host的动态绑定表信息。

display dhcp snooping user-bind all
DHCP Dynamic Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
IP Address       MAC Address   VSI/VLAN(O/I/P) Interface      Lease         
--------------------------------------------------------------------------------
10.1.1.254       0001-0001-000110/--/--    GE0/0/1      2014.08.17-07:31
10.1.1.253       0002-0002-000210/--/--    GE0/0/2      2014.08.17-07:34
--------------------------------------------------------------------------------
print count:      2   total count:      2在ACC上执行display dhcp static user-bind all命令，可以查看打印机的静态绑定表信息。

display dhcp static user-bind all
DHCP static Bind-table:                                                         
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping                        
IP Address                      MAC Address   VSI/VLAN(O/I/P) Interface      
--------------------------------------------------------------------------------
10.1.1.2                        0003-0003-000310/--/--    GE0/0/3
--------------------------------------------------------------------------------
Print count:         1          Total count:         1         Host使用DHCP服务器动态分配的IP地址可以正常访问网络，将Host更改为与动态获得的IP地址不一样的静态IP地址后无法访问网络。


配置文件
Core的配置文件

#
sysname Core
#
vlan batch 10
#
dhcp enable
#
ip pool 10
gateway-list 10.1.1.1
network 10.1.1.0 mask 255.255.255.0
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
dhcp select global
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10
#
returnACC的配置文件

#
sysname ACC
#
vlan batch 10
#
dhcp enable
#
dhcp snooping enable
user-bind static ip-address 10.1.1.2 mac-address 0003-0003-0003 interface GigabitEthernet0/0/3 vlan 10
#
vlan 10
dhcp snooping enable
dhcp snooping trusted interface GigabitEthernet0/0/4
ip source check user-bind enable
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 10
#
return

athruncs 发表于 2018-3-22 12:20:39

{:6_289:}{:6_289:}{:6_289:}{:6_289:}

athruncs 发表于 2018-3-22 12:20:45

{:6_298:}{:6_298:}{:6_298:}{:6_298:}{:6_298:}{:6_298:}

liyou60 发表于 2024-6-12 11:02:16

华   值    {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为   得    {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认   拥    {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证   有    {:6_285:}{:6_289:}{:6_290:}{:6_291:}
，   ！    {:6_295:}{:6_298:}{:6_299:}{:6_301:}

liyou60 发表于 2024-6-12 11:02:28

华   值    {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为   得    {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认   拥    {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证   有    {:6_285:}{:6_289:}{:6_290:}{:6_291:}
，   ！    {:6_295:}{:6_298:}{:6_299:}{:6_301:}

liyou60 发表于 2024-6-12 11:02:42

华   值    {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为   得    {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认   拥    {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证   有    {:6_285:}{:6_289:}{:6_290:}{:6_291:}
，   ！    {:6_295:}{:6_298:}{:6_299:}{:6_301:}

liyou60 发表于 2024-6-12 11:02:54

华   值    {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为   得    {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认   拥    {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证   有    {:6_285:}{:6_289:}{:6_290:}{:6_291:}
，   ！    {:6_295:}{:6_298:}{:6_299:}{:6_301:}

liyou60 发表于 2024-6-12 11:03:03

华   值    {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为   得    {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认   拥    {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证   有    {:6_285:}{:6_289:}{:6_290:}{:6_291:}
，   ！    {:6_295:}{:6_298:}{:6_299:}{:6_301:}

liyou60 发表于 2024-6-12 11:03:09

华   值    {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为   得    {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认   拥    {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证   有    {:6_285:}{:6_289:}{:6_290:}{:6_291:}
，   ！    {:6_295:}{:6_298:}{:6_299:}{:6_301:}

liyou60 发表于 2024-6-12 11:03:33

华   值    {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为   得    {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认   拥    {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证   有    {:6_285:}{:6_289:}{:6_290:}{:6_291:}
，   ！    {:6_295:}{:6_298:}{:6_299:}{:6_301:}

liyou60 发表于 2024-6-12 11:03:45

华   值    {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为   得    {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认   拥    {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证   有    {:6_285:}{:6_289:}{:6_290:}{:6_291:}
，   ！    {:6_295:}{:6_298:}{:6_299:}{:6_301:}

liyou60 发表于 2024-6-12 11:03:50

华   值    {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为   得    {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认   拥    {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证   有    {:6_285:}{:6_289:}{:6_290:}{:6_291:}
，   ！    {:6_295:}{:6_298:}{:6_299:}{:6_301:}

liyou60 发表于 2024-6-12 11:04:03

华   值    {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为   得    {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认   拥    {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证   有    {:6_285:}{:6_289:}{:6_290:}{:6_291:}
，   ！    {:6_295:}{:6_298:}{:6_299:}{:6_301:}

liyou60 发表于 2024-6-12 11:04:23

华   值    {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为   得    {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认   拥    {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证   有    {:6_285:}{:6_289:}{:6_290:}{:6_291:}
，   ！    {:6_295:}{:6_298:}{:6_299:}{:6_301:}

liyou60 发表于 2024-6-12 11:04:41

华   值    {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为   得    {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认   拥    {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证   有    {:6_285:}{:6_289:}{:6_290:}{:6_291:}
，   ！    {:6_295:}{:6_298:}{:6_299:}{:6_301:}

查看完整版本: 配置IPSG防止DHCP动态主机私自更改IP地址