IP Source Guard简介

您好：
感谢您使用H3C的系列产品和长期以来对我们工作的支持！！
推荐您使用ip源防护来防止ARP攻击比较好：如果您网络内使用DHCP分配，则使用动态ip源防护；如果您网络内的PC都是使用手工分配IP地址，这推荐您使用静态源防护，具体操作请参考以下内容:
1.1 IP Source Guard简介
通过IP Source Guard绑定功能，可以对端口转发的报文进行过滤控制，防止非法IP地址和MAC地址的报文通过端口，提高了端口的安全性。

端口接收到报文后查找IP Source Guard绑定表项，如果报文中的特征项与绑定表项中记录的特征项匹配，则端口转发该报文，否则做丢弃处理。

IP Source Guard支持的报文特征项包括：源IP地址、源MAC地址，可支持端口与如下特征项的组合（下文简称绑定表项）：
●源IP
●源MAC
●源IP＋源MAC
该特性提供两种绑定机制：一种是通过手工配置方式提供绑定表项，称为静态绑定；另外一种由DHCP Snooping提供绑定表项，称为动态绑定。

而且，绑定是针对端口的，一个端口被绑定后，仅该端口被限制，其他端口不受该绑定影响。

注意：
IP Source Guard功能与端口加入聚合组互斥。

1.2 配置静态绑定表项
表1-1 配置静态绑定表项
说明：
●绑定策略：不支持一个端口上相同表项的重复绑定；相同的表项可以在多个端口上绑定。

●合法绑定表项的MAC地址不能为全0、全F（广播MAC）和组播MAC，IP地址必须为
A、B、C三类地址之一，不能为127.x.x.x和0.0.0.0。

1.3 配置动态绑定功能
端口上使能动态绑定功能后，根据设备对各动态绑定类型的支持情况，IP Source Guard会选择接收并处理相应的DHCP Snooping表项。

表项内容包括MAC地址、IP地址、VLAN信息、端口信息及表项类型。

IP Source Guard把这些动态获取的表项添加到动态绑定表项中，实现过滤端口转发报文的功能。

表1-2 配置动态绑定功能
1.4 IP Source Guard显示
在完成上述配置后，在任意视图下执行display命令可以显示配置后IP Source Guard的运行情况，通过查看显示信息验证配置的效果。

表1-3 IP Source Guard显示
1.5 IP Source Guard典型配置举例
1.5.1 静态绑定表项配置举例
1. 组网需求
2台交换机（Switch A、Switch B）、3台数据终端（Host A、Host B、Host C）接入到以太网中互相通信。

Host A与Host B分别接到Switch B的端口GigabitEthernet1/0/1、GigabitEthernet1/0/2上；Host C接到Switch A的端口GigabitEthernet1/0/2上。

Switch B接到Switch A的端口
GigabitEthernet1/0/1上。

具体应用需求如下：
●在Switch A的GigabitEthernet1/0/2上只允许MAC地址为00-01-02-03-04-05与IP地址为192.168.0.3的数据终端Host C发送的IP报文通过。

●Switch A的GigabitEthernet1/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。

●在Switch B的GigabitEthernet1/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。

●在Switch B的GigabitEthernet1/0/2上只允许MAC地址为00-01-02-03-04-07与IP地址为192.168.0.2的数据终端Host B发送的IP报文通过。

2. 组网图
图1-1 配置静态绑定表项组网图
3. 配置步骤
(1)配置Switch A
# 配置各接口的IP地址（略）。

# 配置在Switch A的GigabitEthernet1/0/2上只允许MAC地址为
00-01-02-03-04-05与IP地址为192.168.0.3的数据终端Host C发送的IP报文通过。

<SwitchA> system-view
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] user-bind ip-address 192.168.0.3 mac-address
0001-0203-0405
[SwitchA-GigabitEthernet1/0/2] quit
# 配置在Switch A的GigabitEthernet1/0/1上只允许MAC地址为
00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。

[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] user-bind ip-address 192.168.0.1 mac-address
0001-0203-0406
(2)配置Switch B
# 配置各接口的IP地址（略）。

# 配置在Switch B的GigabitEthernet1/0/1上只允许MAC地址为
00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。

<SwitchB> system-view
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] user-bind ip-address 192.168.0.1 mac-address
0001-0203-0406
[SwitchB-GigabitEthernet1/0/1] quit
# 配置在Switch B的GigabitEthernet1/0/2上只允许MAC地址为
00-01-02-03-04-07与IP地址为192.168.0.2的数据终端Host B发送的IP报文通过。

[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] user-bind ip-address 192.168.0.2 mac-address
0001-0203-0407
(3)验证配置结果
# 在Switch A上显示静态绑定表项配置成功。

<SwitchA> display user-bind
The following user address bindings have been configured:
MAC IP Vlan Port Status
0001-0203-0405 192.168.0.3 N/A GigabitEthernet1/0/2 Static
0001-0203-0406 192.168.0.1 N/A GigabitEthernet1/0/1 Static
------------------2 binding entries queried, 2 listed------------------
# 在Switch B上显示静态绑定表项配置成功。

<SwitchB> display user-bind
The following user address bindings have been configured:
MAC IP Vlan Port Status
0001-0203-0406 192.168.0.1 N/A GigabitEthernet1/0/1 Static
0001-0203-0407 192.168.0.2 N/A GigabitEthernet1/0/2 Static
------------------2 binding entries queried, 2 listed------------------
1.5.2 动态绑定功能配置举例
1. 组网需求
Switch A通过端口GigabitEthernet1/0/1和GigabitEthernet1/0/2分别与客户端Client A和DHCP Server相连。

Switch A上使能DHCP Snooping功能。

具体应用需求如下：
●Client A（MAC地址为00-01-02-03-04-06）通过DHCP Server获取IP地址。

●在Switch A上生成Client A的DHCP Snooping表项。

●在端口GigabitEthernet1/0/1上启用动态绑定功能，防止客户端使用伪造的不同源IP地址对服务器进行攻击。

说明：
DHCP Server的具体配置请参考本手册中的“DHCP操作”部分。

2. 组网图
图1-2 配置动态绑定功能组网图
3. 配置步骤
(1)配置Switch A
# 配置端口GigabitEthernet1/0/1的动态绑定功能。

<SwitchA> system-view
[SwitchA] interface GigabitEthernet1/0/1
[SwitchA-GigabitEthernet1/0/1] ip check source ip-address mac-address
[SwitchA-GigabitEthernet1/0/1] quit
# 开启DHCP Snooping功能。

[SwitchA] dhcp-snooping
# 设置与DHCP服务器相连的端口GigabitEthernet1/0/2为信任端口。

[SwitchA] interface GigabitEthernet1/0/2
[SwitchA-GigabitEthernet1/0/2] dhcp-snooping trust
[SwitchA-GigabitEthernet1/0/2] quit
(2)验证配置结果
# 显示端口GigabitEthernet1/0/1从DHCP Snooping获取的动态表项。

<SwitchA> display ip check source
The following user address bindings have been configured:
MAC IP Vlan Port Status
0001-0203-0406 192.168.0.1 1 GigabitEthernet1/0/1 DHCP-SNP
-----------------1 binding entries queried, 1 listed------------------
# 显示DHCP Snooping已有的动态表项，查看其是否和端口
GigabitEthernet1/0/1获取的动态表项一致。

<SwitchA> display dhcp-snooping
DHCP Snooping is enabled.
The client binding table for all untrusted ports.
Type : D--Dynamic , S--Static
Type IP Address MAC Address Lease VLAN Interface
==== =============== ============== ============ ==== =================
D 192.168.0.1 0001-0203-0406 86335 1 GigabitEthernet1/0/1
从以上显示信息可以看出，端口GigabitEthernet1/0/1在配置动态绑定功能之后获取了DHCP Snooping产生的动态表项。

1.6 常见配置错误举例
1.6.1 静态绑定表项配置和动态绑定功能配置失败
1. 故障现象
在端口上配置静态绑定表项、配置动态绑定功能均失败。

2. 故障分析
IP Source Guard功能跟聚合端口互斥。

在聚合端口下不能配置静态绑定表项，也不能配置动态绑定功能。

3. 处理过程
去掉端口的聚合状态，并将端口从聚合组中删除。

祝您身体健康！！工作愉快！！
此致
敬礼
杭州华三通信技术有限公司
HangZhou H3C Technologies Co.,Ltd.
Tel：400-810-0504/800-810-0504
（#1:售前参数选配咨询；#2:备件维修维保查询；#3:技术问题配置咨询；#4:培训业务相关；#5:表扬投诉建议；#6：非技术问题license申请）
***********************************************************************************
本邮件及其附件含有华三公司的保密信息，仅限于发送给上面地址中列出的个人或群组。

禁止任何其他人以任何形式使用（包括但不限于全部或部分地泄露、复制、或散发）本邮件中的信息。

如果您错收了本邮件，请您立即电话或邮件通知发件人并删除本邮件！
***********************************************************************************
This e-mail and its attachments contain confidential information from H3C, which isintended only for the person or entity whose address is listed above. Any use of the information contained here in any way (including, but not limited to, total or partial disclosure, reproduction,or dissemination) by persons other than the intended recipient(s) is prohibited. If you receive this e-mail in error, please notify the sender。