- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
24-IP-MAC綁定配置
本章節下載: 24-IP-MAC綁定配置 (258.83 KB)
目 錄
IP-MAC綁定是指通過在設備上建立IP地址與MAC地址綁定表項實現對報文的過濾控製。該功能適用於防禦主機仿冒攻擊,可有效過濾攻擊者通過仿冒合法用戶主機的IP地址或者MAC地址向設備發送的偽造IP報文。
配置IP-MAC綁定功能的設備接收到用戶報文後,會提取報文頭中的源IP地址和源MAC地址,並與IP-MAC綁定表項進行匹配,如圖1-1所示。
圖1-1 IP-MAC綁定功能示意圖
設備在進行IP-MAC綁定表項匹配時,對不同的匹配結果采用不同的報文處理方式,具體說明如表1-1所示。
表1-1 不同匹配結果報文的處理方式
|
匹配結果 |
對報文的處理 |
|
IP+MAC地址完全匹配 |
放行報文 |
|
IP地址匹配,MAC地址不匹配 |
丟棄報文 |
|
IP地址不匹配,MAC地址匹配 |
丟棄報文 |
|
IP地址和MAC地址都無匹配項 |
缺省情況下放行報文,可以通過ip-mac binding no-match action deny命令將未匹配到IP-MAC綁定表項的報文的動作設置為丟棄 |
IP-MAC綁定表項中定義了設備允許轉發報文的IP地址和MAC地址的綁定關係。IP-MAC綁定表項可以通過手工創建和批量生成兩種方式進行創建。兩種方式生成的綁定表項都是全局生效。
手工創建綁定表項是指通過手工方式逐條配置IP-MAC綁定表項。該方式適用於局域網絡中主機較少且IP地址固定的情況。
批量生成綁定表項是指通過指定接口下的ARP表項或ND表項生成對應的IP-MAC綁定表項。其中ARP表項用於生成IPv4地址與MAC地址的綁定關係;ND表項用於生成IPv6地址與MAC地址的綁定關係。該方式適用於局域網絡中主機較多的情況。
在利用ARP/ND表生成IP-MAC綁定表項時,遵從如下規則:
· 一條ARP/ND表項的IP地址和MAC地址均不在地址綁定表中,此時會在地址綁定表中生成一條IP地址和MAC地址均唯一的表項。
· 一條ARP/ND表項的MAC地址在地址綁定表中,但IP地址不在綁定表中,此時會在地址綁定表中生成一條新的IP-MAC綁定表項,即在地址綁定表中允許一個MAC地址對應多個IP地址。
· 一條ARP/ND表項的IP地址已在地址綁定表中,則此條ARP/ND表項不會生成IP-MAC綁定表項。
批量生成的IP-MAC綁定表項是靜態表項,在執行綁定操作後,不會隨原接口下ARP/ND表項的變化而變化。
· IP-MAC綁定關係屬於靜態配置,所以隻適用於IP地址固定的場景。如果采用DHCP方式進行IP地址的動態分配,則不建議使用本功能。否則,可能會導致合法主機無法通信。
· 一個IP地址隻能綁定一個MAC地址,一個MAC地址可以綁定多個IP地址。當需要修改某個表項中IP地址綁定的MAC地址時,需要先將原來的表項刪除再重新添加新的表項;當需要修改某個表項中MAC地址綁定的IP地址時,可以新增一條新的綁定表項,原有的表項可以根據實際情況刪除或保留。
IP-MAC綁定配置任務如下:
(1) 開啟IP-MAC綁定功能
(2) 配置IP-MAC綁定表項
請至少選擇其中一項進行配置:
(3) 配置IP-MAC綁定的缺省動作
開啟IP-MAC綁定功能後,設備會對報文進行IP地址與MAC地址綁定關係的檢測,與IP-MAC綁定表項不一致的報文將會被丟棄。
(1) 進入係統視圖。
system-view
(2) 開啟IP-MAC綁定功能。
ip-mac binding enable
缺省情況下,IP-MAC綁定功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 配置IP-MAC綁定表項。
(IPv4網絡)
ip-mac binding ipv4 ipv4-address mac-address mac-address [ vlan vlan-id | vpn-instance vpn-instance-name ]
(IPv6網絡)
ip-mac binding ipv6 ipv6-address mac-address mac-address [ vlan vlan-id | vpn-instance vpn-instance-name ]
IP-MAC綁定表項可以利用ARP/ND表批量生成。
(1) 進入係統視圖。
system-view
(2) 批量生成IP-MAC綁定表項。
ip-mac binding interface interface-type interface-number
開啟IP-MAC綁定功能後,對於IP地址和MAC地址與IP-MAC綁定表項都無匹配的報文,可通過配置缺省動作,使設備允許該報文通過或者丟棄該報文。
(1) 進入係統視圖。
system-view
(2) 配置IP-MAC綁定的缺省動作為丟棄。
ip-mac binding no-match action deny
缺省情況下,允許未匹配到IP-MAC綁定表項的報文通過。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後IP-MAC的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,執行reset命令可以清除IP-MAC綁定功能過濾報文的統計信息。
表1-2 IP-MAC顯示和維護
|
操作 |
命令 |
|
顯示IPv4-MAC綁定表項 |
display ip-mac binding ipv4 [ ipv4-address ] [ mac-address mac-address ] [ vlan vlan-id | vpn-instance vpn-instance-name ] |
|
顯示IPv6-MAC綁定表項 |
display ip-mac binding ipv6 [ ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id | vpn-instance vpn-instance-name ] |
|
顯示IP-MAC綁定功能過濾報文的統計信息 |
display ip-mac binding statistics [ slot slot-number ] |
|
顯示IP-MAC綁定功能狀態 |
display ip-mac binding status |
|
清除IP-MAC綁定功能過濾報文的統計信息 |
reset ip-mac binding statistics [ slot slot-number ] |
如圖1-2所示,在某子網中各主機與服務器均使用靜態IPv4地址。其中,Host A、Host B為合法主機,通過網關Device實現與Server的互訪。Host C為非法接入該子網的主機,網絡管理員希望能夠阻斷其對Server的訪問。
· Host A的MAC地址為0001-0203-0404、IPv4地址為192.168.0.1。
· Host B的MAC地址為0001-0203-0405、IPv4地址為192.168.0.2。
· Server的MAC地址為0001-0203-0407、IPv4地址為192.168.1.3。
圖1-2 配置IPv4-MAC綁定組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.0.254 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/2
[Device-security-zone-DMZ] quit
(3) 配置安全策略
# 配置名稱為trust-dmz的安全策略規則,使Host可以正常訪問Server,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-dmz
[Device-security-policy-ip-1-trust-dmz] source-zone trust
[Device-security-policy-ip-1-trust-dmz] destination-zone dmz
[Device-security-policy-ip-1-trust-dmz] source-ip-subnet 192.168.0.0 24
[Device-security-policy-ip-1-trust-dmz] destination-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-1-trust-dmz] action pass
[Device-security-policy-ip-1-trust-dmz] quit
# 配置名稱為dmz-trust的安全策略規則,使Host可以正常訪問內網服務器,具體配置步驟如下。
[Device-security-policy-ip] rule name dmz-trust
[Device-security-policy-ip-2-dmz-trust] source-zone dmz
[Device-security-policy-ip-2-dmz-trust] destination-zone trust
[Device-security-policy-ip-2-dmz-trust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-2-dmz-trust] destination-ip-subnet 192.168.0.0 24
[Device-security-policy-ip-2-dmz-trust] action pass
[Device-security-policy-ip-2-dmz-trust] quit
[Device-security-policy-ip] quit
(4) 配置IP-MAC綁定
# 開啟IP-MAC綁定功能。
[Device] ip-mac binding enable
# 配置IPv4-MAC綁定表項,使Device隻允許來自Host A、Host B和Sever的報文通過。
[Device] ip-mac binding ip 192.168.0.1 mac-address 0001-0203-0404
[Device] ip-mac binding ip 192.168.0.2 mac-address 0001-0203-0405
[Device] ip-mac binding ip 192.168.1.3 mac-address 0001-0203-0407
# 配置未匹配IP-MAC綁定表項的報文的動作為丟棄。
[Device] ip-mac binding no-match action deny
# 查看已添加的IPv4-MAC綁定表項。
<Device> display ip-mac binding ipv4
Total entries: 1
IP address MAC address VPN instance VLAN ID
192.168.0.1 0001-0203-0404 public N/A
192.168.0.2 0001-0203-0405 public N/A
192.168.1.3 0001-0203-0407 public N/A
# 在Host C上ping服務器,發現服務器不可達,說明IP-MAC綁定功能已生效。
C:\> ping 192.168.1.3
Pinging 192.168.1.3 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 192.168.1.3:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
如圖1-3所示,在某子網中各主機與服務器均使用靜態IPv6地址。其中,Host A、Host B為合法主機,通過網關Device實現與Server的互訪。Host C為非法接入該子網的主機,網絡管理員希望能夠阻斷其對Server的訪問。
· Host A的MAC地址為0001-0203-0404、IPv6地址為2000::1/64。
· Host B的MAC地址為0001-0203-0405、IPv6地址為2000::2/64。
· Server的MAC地址為0001-0203-0407、IPv6地址為2001::3/64
圖1-3 配置IPv6-MAC綁定組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ipv6 address 2000::4 64
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/2
[Device-security-zone-DMZ] quit
(3) 配置安全策略
# 配置名稱為trust-dmz的安全策略規則,使Host可以正常訪問Server,具體配置步驟如下。
[Device] security-policy ipv6
[Device-security-policy-ipv6] rule name trust-dmz
[Device-security-policy-ipv6-1-trust-dmz] source-zone trust
[Device-security-policy-ipv6-1-trust-dmz] destination-zone dmz
[Device-security-policy-ipv6-1-trust-dmz] source-ip-subnet 2000::1 64
[Device-security-policy-ipv6-1-trust-dmz] destination-ip-subnet 2001::1 64
[Device-security-policy-ipv6-1-trust-dmz] action pass
[Device-security-policy-ipv6-1-trust-dmz] quit
# 配置名稱為dmz-trust的安全策略規則,使Host可以正常訪問內網服務器,具體配置步驟如下。
[Device-security-policy-ipv6] rule name dmz-trust
[Device-security-policy-ipv6-2-dmz-trust] source-zone dmz
[Device-security-policy-ipv6-2-dmz-trust] destination-zone trust
[Device-security-policy-ipv6-2-dmz-trust] source-ip-subnet 2001::1 64
[Device-security-policy-ipv6-2-dmz-trust] destination-ip-subnet 2000::1 64
[Device-security-policy-ipv6-2-dmz-trust] action pass
[Device-security-policy-ipv6-2-dmz-trust] quit
[Device-security-policy-ipv6] quit
(4) 配置IP-MAC綁定
# 開啟IP-MAC綁定功能。
[Device] ip-mac binding enable
# 配置IPv6-MAC綁定表項,使Device隻允許來自Host A、Host B和Sever的報文通過。
[Device] ip-mac binding ipv6 2000::1 mac-address 0001-0203-0404
[Device] ip-mac binding ipv6 2000::2 mac-address 0001-0203-0405
[Device] ip-mac binding ipv6 2001::3 mac-address 0001-0203-0407
# 配置未匹配IP-MAC綁定表項的報文的動作為丟棄。
[Device] ip-mac binding no-match action deny
# 查看已添加的IPv6-MAC綁定表項。
<Device> display ip-mac binding ipv6
Total entries: 1
IP address MAC address VPN instance VLAN ID
2000::1 0001-0203-0404 public N/A
2000::2 0001-0203-0405 public N/A
2001::3 0001-0203-0407 public N/A
# 在Host C上ping服務器,發現服務器不可達,說明IP-MAC綁定功能已生效。
C:\> ping 2001::3
Pinging 2001::3 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 2001::3:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
