见招拆招,使用IPSG技术防止主机私自更改IP地址上网,让溯源不再头疼!
见招拆招,使用IPSG技术防止主机私自更改IP地址上网,让溯源不再头疼!
背景
组网:
现网是一个比较小型的组网环境,核心交换机既做数据交换也做DHCP服务器,当然也可以防火墙做DHCP服务器,下联接入PC和服务器。现场要求仅允许从DHCP服务器获取到IP的用户入网,网络管理员通过手动指定静态IP+MAC的用户入网。对此可以用以下方式实现要求。
IPSG原理介绍
IP源防攻击(IP Source Guard,简称IPSG)是一种基于二层接口的源IP地址过滤技术。
IPSG的主要目的是防止恶意主机伪造合法主机的IP地址来仿冒合法主机,以及确保非授权主机不能通过自己指定IP地址的方式来访问网络或发起攻击。
IPSG通过维护一张绑定表,记录网络中主机的IP地址、MAC地址等信息的绑定关系。这张绑定表可以是由管理员手动创建的静态绑定表,也可以是由交换机根据DHCP回复报文自动生成的动态绑定表,即DHCP Snooping绑定表。
在使能IPSG的接口收到报文后,交换机会将报文中的信息与绑定表进行匹配。这个匹配过程可以是IP地址、MAC地址、VLAN ID和接口的任意组合。例如,匹配可以仅限于IP地址,也可以是IP地址加MAC地址的组合,或者是IP地址、MAC地址、VLAN ID和接口的全部组合。
如果报文信息与绑定表匹配成功,则报文被允许通过;如果匹配失败,则报文将被丢弃。这种机制有效地增强了网络的安全性,防止了IP地址仿冒等攻击行为。
配置步骤
采用如下步骤配置IPSG功能,实现上述需求。
静态绑定配置:在交换机或路由器上创建静态绑定表项,将特定的IP地址与MAC地址进行绑定。这可以通过使用命令如user-bind static ip-address MAC-address来实现,其中MAC-address是特定主机的物理地址。通过这种方式,可以确保只有绑定了特定MAC地址的主机才能使用该IP地址。
接口配置:进入接口视图,使能IPSG检查功能。这可以通过命令如ip source check user-bind enable实现,以确保只有绑定了特定IP和MAC地址的主机能够通过该接口访问网络。
动态配置:如果主机的IP地址是通过DHCP动态分配的,可以在交换机或路由器上全局使能DHCP Snooping功能。这有助于防止主机从非法的DHCP服务器获取IP地址,同时保证只有合法的DHCP服务器能够分配IP地址给主机。
信任接口配置:在某些情况下,可能需要配置一个或多个接口为信任接口,这些接口收到的报文不执行IPSG检查,以防止从网关回程的报文被错误地丢弃。
操作步骤
一、在核心交换机上使能DHCP Server功能脚本
vlan batch 1000 2000
#
dhcp enable
#
dhcp server database enable
#
interface Vlanif1000
ip address 192.168.1.2 255.255.255.252
#
interface Vlanif2000
ip address 192.168.2.1 255.255.252.0
dhcp select interface
dhcp server dns-list 223.5.5.5 114.114.114.114
#
二、在核心交换上配置DHCP Snooping功能
1)配置各接口所属VLAN脚本。
vlan batch 1000 2000
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 1000
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 2000
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 2000
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 2000
#
2)使能DHCP Snooping功能,并将连接DHCP Server的GE0/0/2,GE0/0/3,GE0/0/4接口配置为信任接口。
[hexin]dhcp snooping enable //全局DHCP Snooping功能
[hexin]vlan 2000
[hexin-vlan2000]dhcp snooping enable //在vlan 2000下开启 DHCP Snooping功能
[hexin-vlan2000]dhcp snooping trusted interface GigabitEthernet 0/0/2 // 配置信任接口2
[hexin-vlan2000]dhcp snooping trusted interface GigabitEthernet 0/0/3 // 配置信任接口3
[hexin-vlan2000]dhcp snooping trusted interface GigabitEthernet 0/0/4 // 配置信任接口4
[hexin-vlan2000]quit三、对终端MAC进行静态绑定
[hexin] user-bind static ip-address 192.168.3.254 mac-address 0003-0003-0f03 interface gigabitethernet 0/0/2 vlan 2000四、在核心交换机的VLAN2000上启动IPSG功能
[hexin] vlan 2000
[hexin] ip source check user-bind enable //开启IPSG功能
[hexin] quit五、检验配置效果
1)终端上线后,在核心交换机上执行display dhcp snooping user-bind all命令,可以查看终端的动态绑定表信息。
[hexin] display dhcp snooping user-bind all
DHCP Dynamic Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
IP Address MAC Address VSI/VLAN(O/I/P) Interface Lease
--------------------------------------------------------------------------------
192.168.3.254 0003-0003-0f03 2000 /-- /-- GE0/0/2 2024.08.17-07:31
192.168.2.253 0002-0002-0002 2000 /-- /-- GE0/0/3 2024.08.17-07:34
--------------------------------------------------------------------------------
Print count: 2 Total count: 22)在核心交换机上执行display dhcp static user-bind all命令,可以查看终端的静态绑定表信息。
[hexin] display dhcp static user-bind all
DHCP static Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
IP Address MAC Address VSI/VLAN(O/I/P) Interface
--------------------------------------------------------------------------------
192.168.3.254 0003-0003-0f03 2000 /-- /-- GE0/0/2
--------------------------------------------------------------------------------
Print count: 1 Total count: 13)将终端的IP更改和DHCP服务器分配不一致的IP,将不能访问网络。
腾讯云开发者
