H3C S3110的IP Source Grande与DHCP Snooping配合绑定

2024-04-13 05:38

本文主要是介绍H3C S3110的IP Source Grande与DHCP Snooping配合绑定,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、概述

通过在设备接入用户侧的端口上启用IP Source Guard功能,可以对端口收到的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了端口的安全性。
IP Source Guard在端口上用于过滤报文的特征项包括:源IP地址、源MAC地址。这些特征项可单独或组合起来与端口进行绑定,形成绑定表项,具体包括:IP、MAC、IP+MAC、IP+VLAN、MAC+VLAN和IP+MAC+VLAN。

二、组网具体应用需求如下:

Host通过DHCP server获取IP地址。
Device上使能DHCP snooping功能,记录Host的DHCP snooping表项。
在端口Ethernet1/0/1上启用IPv4端口绑定功能,利用记录的DHCP snooping表项过滤端口转发的报文,仅允许通过DHCP server动态获取IP地址的客户端可以接入网络。

三、配置步骤

(1)配置DHCP snooping
# 开启DHCP snooping功能。
<Device> system-view
[Device] dhcp-snooping
# 设置与DHCP server相连的端口Ethernet1/0/2为信任端口。其他端口默认为不信任端口
[Device] interface ethernet 1/0/2
[Device-Ethernet1/0/2] dhcp-snooping trust
[Device-Ethernet1/0/2] quit
(2)配置IPv4端口绑定功能
# 配置端口Ethernet1/0/1的IPv4端口绑定功能,绑定源IP地址和MAC地址。
[Device] interface ethernet 1/0/1
[Device-Ethernet1/0/1] ip verify source ip-address mac-address
[Device-Ethernet1/0/1] quit

四、验证配置结果(如果Ethernet1/0/1端口Host主机自己手动设置IP地址,是无法正常上网

# 显示端口Ethernet1/0/1上的绑定表项信息。

[Device]display  ip source binding 
Total entries found: 1
 MAC Address     IP Address                      VLAN  Interface     Type
 9829-a60a-7760  192.168.3.55                    3     Eth1/0/1      DHCP-SNP

# 显示DHCP snooping已有的动态表项,查看其是否和端口Ethernet1/0/1获取的动态表项一致。
[Device]display  dhcp-snooping 
 DHCP Snooping is enabled.
 The client binding table for all untrusted ports.
 Type : D--Dynamic , S--Static , R--Recovering
 Type IP Address      MAC Address    Lease        VLAN SVLAN Interface
 ==== =============== ============== ============ ==== ===== =================
 D    192.168.3.55    9829-a60a-7760 172075       3    N/A   Eth1/0/1
---   1 dhcp-snooping item(s) found   ---
从以上显示信息可以看出,端口Ethernet1/0/1在配置IPv4端口绑定功能之后根据获取的DHCP snooping表项产生了端口绑定表项。

上面实现了交换机端口必须是通过DHCP服务器获取到的IP地址的主机才能上网,防止客户端自己手动输入静态IP,导致DHCP服务器异常,也防止非法接入类似傻瓜路由器设备,因为傻瓜路由器一般都会带有HDCP服务,避免客户端获取到傻瓜路由器的IP有无法上网。另外如果需要更进一步实现接入用户的控制,可以在此基础上加入动态MAC地址学习数量并绑定端口

一、操作步骤

[Device]port-security enable #使能端口安全
[Device]interface  Ethernet  1/0/1 
[Device-Ethernet1/0/1]port-security max-mac-count 1 #最多允许1个MAC地址
[Device-Ethernet1/0/1]port-security port-mode autolearn #端口安全模式
[Device-Ethernet1/0/1]port-security intrusion-mode disableport #入侵检测,并执行对应操作

二、验证配置结果

[Device]display  port-security 
 Equipment port-security is enabled
 Intrusion trap is enabled
 AutoLearn aging time is 0 minutes
 Disableport Timeout: 20s
 OUI value:

 Ethernet1/0/1 is link-up
   Port mode is secure
   NeedToKnow mode is disabled
   Intrusion Protection mode is DisablePort
   Max MAC address number is 1
   Stored MAC address number is 1
   Authorization is permitted
   Security MAC address learning mode is sticky
   Security MAC address aging type is absolute

[Device]display  current-configuration  interface  Ethernet  1/0/1
#
interface Ethernet1/0/1
 port access vlan 3
 port-security max-mac-count 1
 port-security port-mode autolearn
 port-security intrusion-mode disableport
 port-security mac-address security sticky 9829-a60a-7760 vlan 3
 ip verify source ip-address mac-address

当前Ethernet  1/0/1只允许一个MAC地址,如果检测到第二个MAC接入,就会触发入侵检测,端口自动down,

1、告警如:

#Feb 15 14:59:04:121 2019 SW36 PORTSEC/4/VIOLATION: Trap1.3.6.1.4.1.25506.2.26.1.3.2<hh3cSecureViolation> 
 An intrusion occurs! 
 IfIndex: 18743296 
 Port: 18743296 
 MAC Addr: 98:29:A6:0A:77:06 
 VLAN ID: 3 
 IfAdminStatus: 2 
%Feb 15 14:59:04:415 2019 SW36 PORTSEC/5/PORTSEC_VIOLATION: -IfName=Ethernet1/0/1-MACAddr=98:29:A6:0A:77:06-VlanId=-3-IfStatus=Down; Intrusion detected.

2、查看Eth1/0/1端口down原因,可以看到是触发了端口安全的入侵检测。Eth1/0/2是正常down状态

[SW36]display  interface  brief down 
The brief information of interface(s) under bridge mode:
Link: ADM - administratively down; Stby - standby
Interface            Link Cause
Eth1/0/1             DOWN  Port Security Disabled
Eth1/0/2             DOWN Not connected

 

这篇关于H3C S3110的IP Source Grande与DHCP Snooping配合绑定的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/899264

相关文章

使用Python实现IP地址和端口状态检测与监控

《使用Python实现IP地址和端口状态检测与监控》在网络运维和服务器管理中,IP地址和端口的可用性监控是保障业务连续性的基础需求,本文将带你用Python从零打造一个高可用IP监控系统,感兴趣的小伙... 目录概述:为什么需要IP监控系统使用步骤说明1. 环境准备2. 系统部署3. 核心功能配置系统效果展

Go语言开发实现查询IP信息的MCP服务器

《Go语言开发实现查询IP信息的MCP服务器》随着MCP的快速普及和广泛应用,MCP服务器也层出不穷,本文将详细介绍如何在Go语言中使用go-mcp库来开发一个查询IP信息的MCP... 目录前言mcp-ip-geo 服务器目录结构说明查询 IP 信息功能实现工具实现工具管理查询单个 IP 信息工具的实现服

Python中使用正则表达式精准匹配IP地址的案例

《Python中使用正则表达式精准匹配IP地址的案例》Python的正则表达式(re模块)是完成这个任务的利器,但你知道怎么写才能准确匹配各种合法的IP地址吗,今天我们就来详细探讨这个问题,感兴趣的朋... 目录为什么需要IP正则表达式?IP地址的基本结构基础正则表达式写法精确匹配0-255的数字验证IP地

解决SpringBoot启动报错:Failed to load property source from location 'classpath:/application.yml'

《解决SpringBoot启动报错:Failedtoloadpropertysourcefromlocationclasspath:/application.yml问题》这篇文章主要介绍... 目录在启动SpringBoot项目时报如下错误原因可能是1.yml中语法错误2.yml文件格式是GBK总结在启动S

基于@RequestParam注解之Spring MVC参数绑定的利器

《基于@RequestParam注解之SpringMVC参数绑定的利器》:本文主要介绍基于@RequestParam注解之SpringMVC参数绑定的利器,具有很好的参考价值,希望对大家有所帮助... 目录@RequestParam注解:Spring MVC参数绑定的利器什么是@RequestParam?@

Linux系统中配置静态IP地址的详细步骤

《Linux系统中配置静态IP地址的详细步骤》本文详细介绍了在Linux系统中配置静态IP地址的五个步骤,包括打开终端、编辑网络配置文件、配置IP地址、保存并重启网络服务,这对于系统管理员和新手都极具... 目录步骤一:打开终端步骤二:编辑网络配置文件步骤三:配置静态IP地址步骤四:保存并关闭文件步骤五:重

Linux配置IP地址的三种实现方式

《Linux配置IP地址的三种实现方式》:本文主要介绍Linux配置IP地址的三种实现方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录环境RedHat9第一种安装 直接配置网卡文件第二种方式 nmcli(Networkmanager command-line

WiFi6时代来临! 华三H3C NX54路由器还值得购买吗?

《WiFi6时代来临!华三H3CNX54路由器还值得购买吗?》WiFi6时代已经来临,众多路由器厂商也纷纷推出了兼容WiFi6协议的路由器,今天我们将深入体验H3CNX54路由器,这款由知名企业... 随着科技的发展,WiFi6逐渐走进了我们的日常生活之中,相比WiFi5来说,WiFi6拥有更高的带宽、更高

Linux虚拟机不显示IP地址的解决方法(亲测有效)

《Linux虚拟机不显示IP地址的解决方法(亲测有效)》本文主要介绍了通过VMware新装的Linux系统没有IP地址的解决方法,主要步骤包括:关闭虚拟机、打开VM虚拟网络编辑器、还原VMnet8或修... 目录前言步骤0.问题情况1.关闭虚拟机2.China编程打开VM虚拟网络编辑器3.1 方法一:点击还原VM

Nginx实现动态封禁IP的步骤指南

《Nginx实现动态封禁IP的步骤指南》在日常的生产环境中,网站可能会遭遇恶意请求、DDoS攻击或其他有害的访问行为,为了应对这些情况,动态封禁IP是一项十分重要的安全策略,本篇博客将介绍如何通过NG... 目录1、简述2、实现方式3、使用 fail2ban 动态封禁3.1 安装 fail2ban3.2 配