華為配置IPSG限制非法主機訪問內網示例(靜態綁定)
2022-05-18 12:28:18
- 文件版本 :
組網需求
如圖12-16所示,Host通過Switch接入網絡,Gateway為企業出口網關,各Host均使用靜態配置的IP地址。管理員在Switch上做了接口限制,希望Host使用管理員分配的固定IP地址、從固定的接口上線。同時為了安全考慮,不允許外來人員的電腦隨意接入內網。
圖12-16 配置IPSG限制非法主機訪問內網(靜態綁定)組網圖
配置思路
采用如下的思路在Switch上配置IPSG功能,實現上述需求。
在Switch上配置各接口所屬VLAN。
在Switch上創建Host_1和Host_2的靜態綁定表項,固定IP地址、MAC地址、接口的綁定關系。
在Switch上配置GE1/0/4為信任接口,從該接口收到的報文不執行IPSG檢查,防止從Gateway回程報文被丟棄。
在Switch連接用戶主機的VLAN上使能IPSG功能,實現Host_1、Host_2使用固定的IP地址、從固定的接口上線,并且外來主機Host_3無法隨意接入內網。
操作步驟
配置各接口所屬VLAN
system-view
Switch[Switch] vlan batch 10
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access
[Switch-GigabitEthernet1/0/1] port default vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port default vlan 10
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] port link-type access
[Switch-GigabitEthernet1/0/3] port default vlan 10
[Switch-GigabitEthernet1/0/3] quit
[Switch] interface gigabitethernet 1/0/4
[Switch-GigabitEthernet1/0/4] port link-type trunk
[Switch-GigabitEthernet1/0/4] port trunk allow-pass vlan 10
[Switch-GigabitEthernet1/0/4] quit
創建Host_1和Host_2的靜態綁定表項
[Switch] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface gigabitethernet 1/0/1
[Switch] user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002 interface gigabitethernet 1/0/2
配置上行口GE1/0/4為信任接口
[Switch] dhcp enable[Switch] dhcp snooping enable
[Switch] interface gigabitethernet 1/0/4
[Switch-GigabitEthernet1/0/4] dhcp snooping trusted
[Switch-GigabitEthernet1/0/4] quit
在連接Host的VLAN10上使能IPSG功能
[Switch] vlan 10[Switch-vlan10] ip source check user-bind enable
[Switch-vlan10] quit
驗證配置結果
在Switch上執行display dhcp static user-bind all命令,可以查看Host_1和Host_2的綁定表信息。
[Switch] display dhcp static user-bind allDHCP static Bind-table: Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping IP Address MAC Address VSI/VLAN(O/I/P) Interface -------------------------------------------------------------------------------- 10.0.0.1 0001-0001-0001 -- /-- /-- GE1/0/1
10.0.0.2 0002-0002-0002 -- /-- /-- GE1/0/2 Print count: 2 Total count: 2
Host_1和Host_2可以正常訪問網絡,更換IP地址或者從其他接口接入后將無法訪問網絡。
將一臺外來主機Host_3配置10.0.0.3的IP地址并接入接口GE1/0/3后,Host_3仍無法訪問網絡,說明外來主機不能通過隨意設置IP地址訪問內網。如果Host_3需要訪問內網資源,需要管理員在靜態綁定表中添加Host_3的表項。
配置文件
Switch的配置文件
# sysname Switch# vlan batch 10 # dhcp enable # dhcp snooping enable user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface GigabitEthernet1/0/1 user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002 interface GigabitEthernet1/0/2# vlan 10 ip source check user-bind enable # interface GigabitEthernet1/0/1 port link-type access port default vlan 10 # interface GigabitEthernet1/0/2 port link-type access port default vlan 10 # interface GigabitEthernet1/0/3 port link-type access port default vlan 10 # interface GigabitEthernet1/0/4 port link-type trunk port trunk allow-pass vlan 10 dhcp snooping trusted # return