关于动态生成绑定表项ip verify source ip-address mac-address

1.1 IP Source Guard简介1.1.1 概述IP Source Guard功能用于对接口收到的报文进行过滤控制，通常配置在接入用户侧的接口上，以防止非法用户报文通过，从而限制了对网络资源的非法使用（比如非法主机仿冒合法用户IP接入网络），提高了接口的安全性。

IP Source Guard绑定表项可以通过手工配置和动态获取两种方式生成。

图1-1 IP Source Guard功能示意图1.6 IP Source Guard典型配置举例1.6.1 IPv4静态绑定表项配置举例1. 组网需求如图1-2所示，Host A、Host B分别与Device B的接口GigabitEthernet2/0/2、GigabitEthernet2/0/1相连；Host C与Device A的接口GigabitEthernet2/0/2相连。

Device B接到Device A的接口GigabitEthernet2/0/1上。

各主机均使用静态配置的IP地址。

要求通过在Device A和Device B上配置IPv4静态绑定表项，满足以下各项应用需求：∙ Device A的接口GigabitEthernet2/0/2上只允许Host C发送的IP报文通过。

∙ Device A的接口GigabitEthernet2/0/1上只允许Host A发送的IP报文通过。

∙ Device B的接口GigabitEthernet1/0/1上允许Host B发送的IP报文通过。

2. 组网图图1-2 配置静态绑定表项组网图3. 配置步骤(1) 配置Device A# 配置各接口的IP地址（略）。

# 在接口GigabitEthernet2/0/2上配置IPv4接口绑定功能，绑定源IP地址和MAC 地址。

<DeviceA> system-view[DeviceA] interface gigabitethernet 2/0/2[DeviceA-GigabitEthernet2/0/2] ip verify source ip-address mac-address# 配置IPv4静态绑定表项，在Device A的GigabitEthernet1/0/2上只允许MAC地址为0001-0203-0405、IP地址为192.168.0.3的数据终端Host C发送的IP报文通过。

RGOS™命令参考手册IPv6配置命令第一章配置IPv6命令1.1 配置相关命令IPv6配置包括以下相关命令：ping ipv6ipv6 addressipv6 enableipv6 hop-limitipv6 neighboripv6 source-routeipv6 routeipv6 ns-linklocal-srcipv6 nd ns-intervalipv6 nd reachable-timeipv6 nd prefixipv6 nd ra-lifetimeipv6 nd ra-intervalipv6 nd ra-hoplimitipv6 nd ra-mtuipv6 nd managed-config-flagipv6 nd other-config-flagipv6 nd dad attemptsipv6 nd suppress-raipv6 redirectsclear ipv6 neighborstunnel mode ipv6iptunnel destinationtunnel sourcetunnel ttl1.1.1 ping ipv6该命令用来诊断IPV6网络的连通性。

ping ipv6 [ipv6-address]【参数说明】ipv6-address ：被诊断的目的地址【命令模式】特权模式【使用指南】当在命令中不输入目的地址时则进入用户交互模式，可以指定具体的各种参数。

在执行时ping返回的各种符号的含义如下：符号含义! 表示每个发出的请求收到相应的应答了. 表示发出底请求在规定时间内没有收到应答U 表示设备没有路由到达目的主机R 表示参数出错F 表示系统没有资源A 表示报文源地址未能选择D 表示网络接口处于Down状态或者是该网络接口的IPV6功能被禁用(如检测到地址冲突)? 表示未知错误【举例】Ruijie# ping ipv6fec0::11.1.2 ipv6 address为网络接口配置一个IPV6 的地址,使用该命令的no形式删除配置的地址。

默认情况下，交换机在二层接口上转发数据时，只查看数据包的MAC地址，并不会查看数据包的IP地址，如果要让交换机根据数据包的IP或者同时根据IP与MAC做出转发决定，有多种方法可以实现。

如根据IP 转发，可以通过在接口上应用Port ACL来实现，如果要根据MAC转发，可以通过应用port-security来实现，但无论是Port ACL还是port-security，都存在一些局限性，下面介绍一种扩展性较高的安全防护特性- IP Source Guard，IP Source Guard可以根据数据包的IP地址或IP与MAC地址做出转发决定，如果数据包的IP或MAC是不被允许的，那么数据包将做丢弃处理。

因为IP Source Guard需要根据数据包的IP或者同时根据IP与MAC做出转发决定，所以IP Source Guard 在工作时，需要有一张IP和MAC的转发表，在这张表中，明确记录着哪些IP是可以转发的，哪些MAC可以被转发，其它不能被转发的统统丢弃。

这表转发表称为IP source binding table，并且只能被IP source guard使用。

而IP source binding table表，只有在交换机上开启DHCP snooping功能后，才会生成。

IP Source Guard的这张转发表的条目可以自动学习，也可以手工静态添加，如果是自动学习，是靠DHCP snooping功能学习的，所以只有客户端是通过DHCP请求获得地址，并且DHCP服务器的回复是经过交换机时，才能被DHCP snooping学习到。

当在交换机上同时开启了IP Source Guard与DHCP snooping后，交换机将在开启了的接口上拒绝所有流量通过，只放行DHCP流量，并且会自动应用一条ACL到接口上，也只有ACL允许的IP才能通过，这条ACL无法在正常配置中查看，只能通过表的方式查看。

DHCP+IP SOURCE GUARD的配置实例在正常开启DHCP Snooping的情况下：Ruijie(config-FastEthernet 0/1)#ip verify sourceRuijie#ping 192.168.1.2Sending 5, 100-byte ICMP Echoes to 192.168.1.2, timeout is 2 seconds:< press Ctrl+C to break >…..Success rate is 0 percent (0/5)此情况证明此端口已经应用了根防护，所以端口下得主机自己配置了地址之后无法通过端口。

之后在全局下配置：Ruijie(config)#ip source binding 0025.6454.b680 vlan 1 192.168.1.2 int f 0/1Ruijie#ping 192.168.1.2Sending 5, 100-byte ICMP Echoes to 192.168.1.2, timeout is 2 seconds:< press Ctrl+C to break >Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms此现象表明，在全局下绑定了端口信息之后，既可以通过。

此绑定信息是通过IP MAC VLAN 端口等四元组来确定信息的。

Ruijie#sh ip verify sourceInterface Filter-type Filter-mode Ip-address Mac-address VLAN-------------------- ----------- ----------- --------------- -------------- --------FastEthernet 0/1 ip active 192.168.1.2 1FastEthernet 0/1 ip active deny-allRuijie#sh ip verRuijie#sh ip soRuijie#sh ip source binRuijie#sh ip source bindingMacAddress IpAddress Lease(sec) Type VLAN Interface------------------ --------------- ------------ ------------- ----- --------------------0025.6454.b680 192.168.1.2 infinite static 1 FastEthernet 0/1Total number of bindings: 1Ruijie#sh ip verify sourceInterface Filter-type Filter-mode Ip-address Mac-address VLAN-------------------- ----------- ----------- --------------- -------------- --------FastEthernet 0/1 ip active 192.168.1.2 1FastEthernet 0/1 ip active deny-all。

您好：感谢您使用H3C的系列产品和长期以来对我们工作的支持！！推荐您使用ip源防护来防止ARP攻击比较好：如果您网络内使用DHCP分配，则使用动态ip源防护；如果您网络内的PC都是使用手工分配IP地址，这推荐您使用静态源防护，具体操作请参考以下内容:1.1 IP Source Guard简介通过IP Source Guard绑定功能，可以对端口转发的报文进行过滤控制，防止非法IP地址和MAC地址的报文通过端口，提高了端口的安全性。

端口接收到报文后查找IP Source Guard绑定表项，如果报文中的特征项与绑定表项中记录的特征项匹配，则端口转发该报文，否则做丢弃处理。

IP Source Guard支持的报文特征项包括：源IP地址、源MAC地址，可支持端口与如下特征项的组合（下文简称绑定表项）：●源IP●源MAC●源IP＋源MAC该特性提供两种绑定机制：一种是通过手工配置方式提供绑定表项，称为静态绑定；另外一种由DHCP Snooping提供绑定表项，称为动态绑定。

而且，绑定是针对端口的，一个端口被绑定后，仅该端口被限制，其他端口不受该绑定影响。

注意：IP Source Guard功能与端口加入聚合组互斥。

1.2 配置静态绑定表项表1-1 配置静态绑定表项说明：●绑定策略：不支持一个端口上相同表项的重复绑定；相同的表项可以在多个端口上绑定。

●合法绑定表项的MAC地址不能为全0、全F（广播MAC）和组播MAC，IP地址必须为A、B、C三类地址之一，不能为127.x.x.x和0.0.0.0。

1.3 配置动态绑定功能端口上使能动态绑定功能后，根据设备对各动态绑定类型的支持情况，IP Source Guard会选择接收并处理相应的DHCP Snooping表项。

表项内容包括MAC地址、IP地址、VLAN信息、端口信息及表项类型。

IP Source Guard把这些动态获取的表项添加到动态绑定表项中，实现过滤端口转发报文的功能。

H3C-E152B-接入交换机-配置模板-v1.0说明：1.每台交换机需要手工配置的参数：黄色字体部分2.1-48口为用户口，50口为级联上联口3.老学生区：49口配置为与1-48口相同的用户口4.蓝旗营、荷清苑：49口配置为级联下联口（最后一台没有级联下联的交换机的49口需配置为与1-48口相同的用户口）5.使用console线复制粘贴时可能会丢配置命令，需要小段粘贴，并认真检查。

Interface range命令只能逐条配置，不可复制粘贴#模板Sysname ××××××#clock timezone china add 08:00:00#super password level 3 cipher ××××××#ipv6 nd snooping enable globalipv6 nd snooping enable link-local#ipv6#telnet server enable#port-security enableport-security timer autolearn aging 30//设置Sticky MAC地址的老化时间为30分钟。

#loopback-detection enable//允许环路检测loopback-detection multi-port-mode enable//允许多端口环路检测#undo ip http enable//关闭HTTP服务#mac-address timer aging 200//MAC地址动态表项的老化时间为200秒#vlan 1ipv6 nd detection enableipv6 nd snooping enable#local-user adminpassword cipher ×××××××service-type telnet#interface Vlan-interface1ip address ×××.×××.×××.××× 255.255.×××.×××#interface rang e1/0/1 to e1/0/48loopback-detection enable//允许环路检测loopback-detection action shutdown//开启自动关闭环回端口功能mac-address max-mac-count 4//端口可以学习的最大 MAC地址数为4port-isolate enable//开启端口隔离ip verify source ip-address mac-address//配置IPv4动态绑定功能，绑定源IP地址和MAC地址ipv6 verify source ipv6-address mac-address//配置IPv6动态绑定功能，绑定源IP地址和MAC 地址#interface GigabitEthernet1/0/49（级联下联口，用于蓝旗营、荷清苑）loopback-detection enableport-security max-mac-count 1000port-security port-mode autolearn//设置端口安全模式为autoLearnport-security mac-address dynamicport-isolate enable#interface GigabitEthernet1/0/50（combo enable fiber光纤连接需要配置此命令）//开启combo口的光口port-security max-mac-count 1000port-security port-mode autolearnport-security mac-address dynamicdhcp-snooping trust//开启为DHCP-Snooping的信任端口ipv6 nd detection trust#dhcp-snooping#ip route-static 0.0.0.0 0.0.0.0 ×××.×××.×××.×××#ntp-service unicast-server 166.111.8.28#user-interface vty 0 15authentication-mode scheme#save。

DAI(动态ARP监控技术)和IP Source Guard一、ARP Poisoning(ARP毒化技术)正常情况下PC-A是正常PC，路由器是我们的网关，正常情况下PC-A作一个ARP Request请问10.1.1.1这个网关的MAC地址是多少，网关正常就会回网关是10.1.1.1，MAC地址是 C.C.C.C，PC-A会有一个正常的ARP条目:这样PC-A就可以正常把流量交给网关了就上网了，但是现在PC-B这个攻击者作了ARP毒化的处理，它会伪装网关给PC-A 发送一个免费ARP毒化PC-A的ARP的映射表项，让PC-A的ARP映射表项映射为这个时候PC-A上网的流量就会送给PC-B，然后PC-B代理交给服务器，同样PC-B还会作一个毒化ARP的映射去毒化网关的ARP说10.1.1.2的MAC地址是B.B.B.B，这样网关回的包也会绕到PC-B，这样去回的包都要受攻击者来控制。

毒化的过程（1）ARP这种解析是后到者优先，当你们正常合法的映射已经完成时，攻击者就会作一个免费ARP的Replies来毒化你们的ARP的缓存。

（2）免费ARP：免费ARP有好处，也有坏处的。

免费ARP好处：比如我一个PC的地址设置为1.1.1.1，当我开机的时候可能会弹出一个报错，什么MAC地址跟我的IP址重叠，这是怎么发现的呢？比如PC开机就会发送一个免费ARP，免费ARP的内容是请问1.1.1.1的MAC地址是多少，自己问自己IP地址的MAC地址是多少，它不希望任何人可以回应这个，如果没有人回应MAC地址就没有重叠，如果有人回应了说我是1.1.1.1我的MAC地址是什么什么，这时PC就会报一个错说这个MAC地址它的IP地址和我的重叠了，这是免费ARP的好处。

免费ARP的坏处：ARP这种解析是后到者优先，当你们正常合法的映射已经完成时，攻击者就会作一个免费ARP的Replies来毒化你们的ARP 的缓存。

二、启用DAI动态ARP监控技术能够抵御这种ARP毒化攻击（1）能保护ARP毒化的攻击（2）DAI技术需要使用DHCP Snooping的绑定表，就是利用这个绑定表的资源来判断这个ARP是正确的，还是有问题的（3）这个绑定表是通过来追踪整个DHCP一个过程构建起来的，了解到是合法IP和MAC地址的映射，这样我基于这个绑定表作DAI抵御ARP的欺骗。

H3C S12500 IP Source Guard配置举例Copyright © 2013 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

目录1 简介 (1)2 配置前提 (1)3 使用限制 (1)4 静态绑定表项配置举例 (1)4.1 组网需求 (1)4.2 使用版本 (2)4.3 配置注意事项 (2)4.4 配置步骤 (2)4.4.1 Switch A的配置 (2)4.4.2 Switch B的配置 (2)4.5 验证配置 (3)4.6 配置文件 (3)5 动态生成绑定表项配置举例 (4)5.1 组网需求 (4)5.2 使用版本 (4)5.3 配置注意事项 (4)5.4 配置步骤 (4)5.5 验证配置 (5)5.6 配置文件 (5)6 相关资料 (5)1 简介本文档介绍IP Source Guard的配置举例。

IP Source Guard功能用于对端口收到的报文进行过滤控制，以防止非法用户报文通过。

配置了IP Source Guard功能的端口只转发与绑定表项匹配的报文。

IP Source Guard绑定表项可以通过手工配置（命令行手工配置产生静态绑定表项）和动态获取（根据DHCP的相关表项动态生成绑定表项）两种方式生成。

2 配置前提本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解本文档中的IP Source Guard特性。

3 使用限制当设备上存在EB/EC2类单板（丝印后缀为EB/EC2）且这类单板工作在ACL标准模式时，该类单板上的接口不支持MAC绑定表项、IP＋MAC绑定表项、MAC＋VLAN绑定表项和IP＋MAC＋VLAN绑定表项。

华为交换机绑定IP和MAC地址IPSG（IP和MAC绑定）配置功能介绍：IPSG可以防⽌恶意主机伪造合法主机的IP地址仿冒合法主机来访问⽹络或攻击⽹络它是利⽤交换机上的绑定表过滤⾮法主机发送的报⽂，以阻⽌⾮法主机访问⽹络或者攻击⽹络绑定表分为静态绑定表和DHCP Snooping动态绑定表静态绑定表：通过user-bind命令⼿⼯配置。

该⽅法使⽤于局域⽹络中主机数较少，且主机使⽤静态配置Ip地址的⽹络环境DHCP Snooping动态绑定表：配置DHCP Snooping功能后，DHCP主机动态获取IP地址时，设备根据DHCP服务器发送的DHCP回复报⽂动态⽣成。

该⽅式适⽤于局域⽹络中主机较多，且主机使⽤DHCP动态获取Ip地址的⽹络环境下⾯来看静态配置⽰例：需求：1、某公司员⼯通过交换机连接⽹络，研发⼈员ip地址为10.0.0.1，⼈⼒资源员⼯ip地址为10.0.0.11，设备上配置ACL，只允许⼈⼒资源员⼯10.0.0.11可以访问internet2、在⼈⼒资源员⼯出差关机的情况下，研发员⼯也不能通过私⾃将ip地址更改为10.0.0.11访问internet配置思路：1、在switch上创建研发员⼯和⼈⼒资源员⼯的绑定表2、在Switch的GE0/0/1和GE0/0/2接⼝下使能IPSG检查功能操作步骤：system-view //进⼊系统视图user-bind static ip-address 10.0.0.1 mac 0000-0000-0001 //创建研发⼈员绑定表项user-bind static ip-address 10.0.0.11 mac 0000-0000-0002 //创建⼈⼒资源员⼯的绑定表项interface g0/0/1 //进⼊GE0/0/1接⼝视图ip source check user-bind enable //使能GE0/0/1接⼝的IPSG检查功能interface g0/0/2 //进⼊GE0/0/2接⼝视图ip source check user-bind enable //使能GE0/0/2接⼝的IPSG检查功能动态配置⽰例：需求：公司某部门员⼯IP地址均通过DHCP⽅式获取，通过部署IPSG实现员⼯只能使⽤DHCP Server分配的IP地址，不允许私⾃配置静态IP地址，如果私⾃制定IP地址将⽆法访问⽹络配置思路1、在switch上配置DHCP Snooping功能，⽣成DHCP snooping 动态绑定表2、在switch连接员⼯主机的vlan10上使能IPSG功能跳过dhcp配置，假设pc 通过DHCP⽅式动态获取到IP地址system-view //进⼊系统视图dhcp enable //全局使能DHCP功能dhcp snooping //全局使能DHCP Snooping 功能vlan10 // 进⼊vlan10视图dhcp Snooping enable //在vlan视图下使能DHCP Snooping功能dhcp Snooping trusted interface g0/0/3 //将连接DHCP server的g0/0/3接⼝配置为信任接⼝ip source check user-bind enable //基于vlan使能IPSG检查功能。

交换机IP Source Guard功能一、IP地址盗用IP地址的盗用方法多种多样，其常用方法主要有以下几种：1、静态修改IP地址对于任何一个TCP/IP实现来说，IP地址都是其用户配置的必选项。

如果用户在配置TCP/IP或修改TCP/IP配置时，使用的不是授权分配的IP地址，就形成了IP地址盗用。

由于IP地址是一个逻辑地址，因此无法限制用户对于其主机IP地址的静态修改。

2、成对修改IP-MAC地址对于静态修改IP地址的问题，现在很多单位都采用IP与MAC绑定技术加以解决。

针对绑定技术，IP盗用技术又有了新的发展，即成对修改 IP-MAC地址。

现在的一些兼容网卡，其MAC地址可以使用网卡配置程序进行修改。

如果将一台计算机的 IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址，其同样可以接入网络。

另外，对于那些MAC地址不能直接修改的网卡来说，用户还可以采用软件的办法来修改MAC地址，即通过修改底层网络软件达到欺骗上层网络软件的目的。

3、动态修改IP地址某些攻击程序在网络上收发数据包，可以绕过上层网络软件，动态修改自己的 IP地址（或IP-MAC 地址对），以达到IP欺骗。

二、IP Source Guard技术介绍IP源防护（IP Source Guard，简称IPSG）是一种基于IP/MAC的端口流量过滤技术，它可以防止局域网内的IP地址欺骗攻击。

IPSG能够确保第2层网络中终端设备的IP地址不会被劫持，而且还能确保非授权设备不能通过自己指定IP地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。

交换机内部有一个IP源绑定表（IP Source Binding Table）作为每个端口接受到的数据包的检测标准，只有在两种情况下，交换机会转发数据：∙所接收到的IP包满足IP源绑定表中Port/IP/MAC的对应关系∙所接收到的是DHCP数据包其余数据包将被交换机做丢弃处理。

IP源绑定表可以由用户在交换机上静态添加，或者由交换机从DHCP监听绑定表（DHCP Snooping Bi nding Table）自动学习获得。

NBS交换机汇总考试试卷一、选择题1、PoEIegaCy的作用是（）*［单选题］*A.兼容性供电，避免无法给非POE标准的受电设备供电√B.强制供电,用于解决无法上电的POE受电设备C.必敲命令，否则POE交换机无法给POE受电设备供电2、POE交换机上面的poe按钮（1ED模式按钮）是起什么作用的（）*［单选题*A.指示灯显示切换√B.开启POE功能C.设备关机3、以下哪种技术能防止私设小路由器?（）*［单选题］*A.DHCPsnooping配置VB.DHCP中继配置CDHCP配置D.IP+MAC绑定；4、不作为DHCP服务器的接入交换机上面开启DHCPsnooping,哪些是配置DHCPsnooping的必配部分（）*［多选题］*A.全局配置ipdhcpsnooping√B.接口下配置ipdhcpsnoopingtrust√C.全局配置ipdhcpsnoopingv1an*,*表示v1an编号D.全局酉己置ipdhcpsnoopingcheck-giaddr5、下面关于DHCPsnooping中判定为非法报文是()*侈选题］*A.非信任口收至I」的DHCP服务器响应报文，包括DHCPACK、DHCPNAK、DHCPoFFER等;√B.在开启DHCP-Snooping源MAC校验功能时，如果C1ient发出的DHCP报文中所携带的C1ientMAC字段值与报文链路层头部源MAC地址不一致,则视为非法报文;√6、下面关于DHCPsnooping中屏蔽非法DHCP服务器转发规则正确的是()*侈选题］*A.对于DHCP客户端请求报文，设备仅将其转发至信任口'B对于DHCP客户端请求报文，设备仅将其转发至非信任口；C.对于DHCP服务器回应报文，设备仅会在信任口转发；D.对于DHCP服务器回应报文，设备能在所有接口转发;√7、下面关于DHCPsnooping中数据库表项的描述正确的是()*［多选题］*A.交换机关于DHCPsnooping表项容量，默认无限大；B.交换机关于DHCPsnooping表项容量,不同的交换机参数不一样，具体看spec表;√C.当达到交换机DHCPsnooping表项容量,交换机下继续增加终端，终端将无法获取地址ND.交换机关于DHCPsnooping表项容量，交换机下继续增加终端，终端可以获取地址，但是无法做到防止小路由器功能；8、以下DHCP动态获取IP地址上网的环境下防止ARP欺骗方案中,哪些采用了ipdhcpsnooping技术()*［多选题］*A.IPSourceguard+ARP-CheCk方案√BQAI防ARP欺骗方案√C.Port-security+ARP-check方案D.802.1X授权绑定+ARP-Check9、下面关于在非DHCP服务器的交换机上配置了ipdhcpsnooping,描述正确的是()*［多选题］*A.全局开启ipdhcpsnooping,不设置信任口，交换机下联设备无法通过DHCP获取地址;√B.全局开启ipdhcpsnooping,不设置信任口,交换机dhcpsnooping没有开启，交换机下联设备可以DHCP获取i½⅛C.将在指定的V1AN内打开DHCPSnooping功能，其他的V1an不受限制，也可以正常通过交换机获取地址ND将在指定的V1AN内打开DHCPSnooping功能，仅有指定的v1an可以获取地址，其他的v1an都不能获取地址；10、showipdhcpbinding可以查看到以下哪些信息()*［多选题］*A.用户mac地址√B.用户IP地址√C.用户所属v1an√D.用户连接接口√11、DHCP-Snooping+ARP-CheCk方案中接入交换机需要配置哪些()*［多选题］*A.全局模式开启ipdhcpsnooping√B.设置连接dhcp服务器的接口设置为可信任口√C.连接用户的接口配置ipverifysourceport-security√D.连接用户的接口配置arp-check√12、DHCPSnooping+DAI防ARP欺骗方案，接入交换需要配置哪些()*侈选题］*A.全局开启ipdhcpsnooping√B.上联接口设置ipdhcpsnoopingtrust√C.上联口设置不进行DAI检测iparpinspectiontrust√D.开启DAIiparpinspectionv1anv1an-id√E∙连接用户接口ipverifysourceport-security√13、关于基于DHCPSn。

DHCP和网络安全应用方案1.概述本文所提到的攻击和欺骗行为主要针对链路层和网络层。

在网络实际环境中，其来源可概括为两个途径：人为实施、病毒或蠕虫。

人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探，获取管理账户和相关密码，在网络上中安插木马，从而进行进一步窃取机密文件。

攻击和欺骗过程往往比较隐蔽和安静，但对于信息安全要求高的企业危害是极大的。

而来自木马或者病毒及蠕虫的攻击和往往会偏离攻击和欺骗本身的目的，现象有时非常直接，会带来网络流量加大、设备CPU利用率过高、二层生成树环路直至网络瘫痪。

目前这类攻击和欺骗工具已经非常成熟和易用，而目前这方面的防范还存在很多不足，有很多工作要做。

瑞斯康达针对这类攻击已有较为有效的解决方案，主要基于下面的几个关键的技术：DHCP SnoopingDynamic ARP InspectionIP Source Guard目前这类攻击和欺骗中有如下几种类型,下面分别介绍。

1.1网关仿冒ARP病毒通过发送错误的网关MAC对应关系给其他受害者，导致其他终端用户不能正常访问网关。

这种攻击形式在校园网中非常常见。

见下图：图1-1 网关仿冒攻击示意图如上图所示，攻击者发送伪造的网关ARP报文，欺骗同网段内的其它主机。

从而网络中主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。

通过DHCP Snooping 和Dynamic ARP Inspection的结合使用，接入交换机丢弃攻击者B发出的仿冒网关的ARP欺骗报文，从而使正常用户不会收到欺骗报文，即可以防御这种ARP欺骗。

1.2欺骗网关攻击者发送错误的终端用户的IP＋MAC的对应关系给网关，导致网关无法和合法终端用户正常通信。

这种攻击在校园网中也有发生，但概率和“网关仿冒”攻击类型相比，相对较少。

见下图：图1-2 欺骗网关攻击示意图如上图，攻击者伪造虚假的ARP报文，欺骗网关相同网段内的某一合法用户的MAC地址已经更新。

H3C S5130-EI 跨网段动态分配IP 地址典型配置举例目录1 简介 (1)2 配置前提 (1)3 跨网段动态分配IP地址配置举例 (1)3.1 组网需求 (1)3.2 配置思路 (2)3.3 使用版本 (2)3.4 配置步骤 (2)3.5 验证配置 (5)3.6 配置文件 (5)4 相关资料 (7)1 简介本文档介绍了通过 DHCP 服务器和 DHCP 中继为用户动态分配 IP 地址的配置举例。

2 配置前提本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解 DHCP 相关特性。

3 跨网段动态分配IP 地址配置举例3.1 组网需求如 图 1 所示，公司总部和分支机构处于不同的网段，网关DeviceA 充当DHCP 服务器，要求：• 为总部分配 10.1.1.2～10.1.1.100 之间的 IP 地址；• 为分支机构分配 10.1.3.2～10.1.3.100 之间的 IP 地址，其中 10.1.3.2～10.1.3.48 之间的 IP地址分配给分支机构 1，10.1.3.49～10.1.3.100 之间的 IP 地址分配给分支机构 2；• 指定 DNS 服务器的固定 IP 地址为 10.1.1.3/24，TFTP 服务器的固定 IP 地址为 10.1.1.4/24； •分配 DNS 服务器、TFTP 服务器和网关等配置信息。

网关 DeviceB 充当 DHCP 中继，要求：• 通过配置 DHCP 中继功能，使得 DHCP 服务器能够为分支机构分配 IP 地址、DNS 服务器、TFTP 服务器和网关等配置信息；• 防止分支机构中存在非法主机配置静态 IP 地址访问网络； •为每个区域分配特定范围内的 IP 地址。

图1 跨网段动态分配 IP 地址配置组网图设备接口 IP 地址 设备 接口 IP 地址DNS TFTP serverserver10.1.1.3/24 10.1.1.4/24branch1Vlan-int3 GE1/0/1Vlan-int2 GE1/0/2Vlan-int2 GE1/0/2Vlan-int3 GE1/0/1 Device A DHCP server Device B DHCP relayVlan-int3 GE1/0/3headquartersbranch23.2 配置思路•DHCP Server 分配IP 地址时，不能将DNS Server 和TFTP Server 的IP 地址分配出去，所以需要将这两台服务器的IP 地址配置为不参与自动分配的IP 地址。