IP Source Guard技术原理与应用
目录
IP Source Guard概述
IP Source Guard源数据表项
IP Source Guard源数据-静态添加
IP Source Guard查看
IP Source Guard使用注意事项
IP Source Guard概述
- 局域网IP冲突给网络的运维带来很大困扰存在以下风险:
- 使用手工配置IP地址的方式上网,如果配置为 172.16.1.254或者172.16.1.200,都将会导 致网络异常;
- 另一台主机可能进行伪造源IP地址的扫描,将导致内网用户大规模的IP地址冲突,无法正常 上网
- 面对风险,IP Source Guard技术应运而生
- IP Source Guard功能通过检测报文中的源IP或源IP+源MAC,只放行合法报文
- 关键:检查基线+过滤规则
IP Source Guard源数据表项
- DHCP Snooping表项,记录了mac地址、IP地址、VLAN号和接口信息
- DHCP Snooping表项提供了完美的用于数据包过滤的源数据信息,即检查基线。端口下配置数据包过滤规则:
- Ruijie(config)#interface range gigabitEthernet 0/10-11
- Ruijie(config-if-range)#ip verify source [ exclude-vlan | port-security
- 注释:exclude-vlan,指定例外VLAN,该VLAN接受的报文不受IP Source Guard控制 port-security,配置即意味着基于IP+MAC进行检查 <cr> ,直接回车意味着检查规则是ip-only,只对IP进行检查
- 私设的IP地址的终端,由于其相关信息不符合DHCP Snooping绑定表, 数据包被丢弃。实现了防止IP地址私设的功能需求
IP Source Guard源数据-静态添加
- 全局手工配置静态绑定条目的方式,添加IP Source Guard源数据
Ruijie(config)# ip source binding 0000.0000.0001 vlan 1 172.16.1.1 interface Gi 0/10 ---
-
接口
+IP
添加
Ruijie(config)# ip source binding 0000.0000.0001 vlan 1 172.16.1.1 ip-mac ----IP+Mac
添加
Ruijie(config)# ip source binding 0000.0000.0001 vlan 1 172.16.1.1 ip-only ----
仅
IP
添加
- 接口下开启 ip verify source (IP-Only或IP+Mac方式)
- 配置建议:全局绑定的方式和端口过滤的规则保持一致,即全局ip+mac 添加源数据,则端 口下要基于ip+mac过滤(如不一致,最终生效的规则以全局配置为准)
- 全局和端口下不同组合的生效情况
IP Source Guard查看
- show ip source binding ——查看IP Source Guard源数据信息
- show ip verify source ——查看配置了IP Source Guard的端口以及对应的检测类型
IP Source Guard使用注意事项
- 打开 IP Source Guard 功能可能会影响 IP 报文的转发,一般情况下,该功能需要结合 DHCP Snooping 功能使用,IP Source Guard和DHCP Snooping功能配置的先后顺序不做限制;
- 无法在 DHCP Snooping 信任端口上配置 IP Source Guard 功能;
- 无法在全局 IP+MAC 的例外口配置 IP Source Guard 功能;
- 有线环境下,只能在交换口、2 层 AP 口、2 层封装子接口下配置开启