Пример настройки IPSG для предотвращения изменения собственных IP-адресов хостами

154 0 0 1

 

Обзор IPSG

Как показано на рисунке ниже, хакер (Host_2) использует IP-адреса и MAC-адреса Host_1, принадлежащие инженеру отдела исследований и разработок, в целях создания IP- пакетов для атаки внутренней сети. Сетевой администратор считает, что инженер отдела исследований и разработок является злоумышленником. Такие атаки можно предотвратить, настроив IPSG. В коммутаторе доступа после настройки таблицы статической привязки и проверки IP-пакетов на интерфейсах, подключенных к терминалам, только пакеты, соответствующие записям статической привязки, могут подключаться к интрасети и Интернету, а пакеты, не соответствующие данным, отбрасываются.

Требования к сети

Как показано на рисунке ниже, пользовательский шлюз настроен на базовом коммутаторе (Core switch). ACL сконфигурирован на базовом коммутаторе, чтобы позволить фиксированным хостам получать доступ к Интернету. Хосты, подключенные к коммутатору доступа (ACC), используют статически настроенные IP-адреса. Администратор требует, чтобы хосты могли использовать только фиксированные IP-адреса для доступа в Интернет. Пользователям не разрешается изменять собственные IP-адреса для доступа в Интернет.

pic

                                              

Схема настройки

Схема настройки выглядит следующим образом:

1. Настройте ACL на шлюзе доступа, чтобы разрешить хостам с IP-адресами 10.0.0.2 и 10.0.0.3 подключаться к Интернету.

2. Создайте записи статической привязки для хостов на ACC, чтобы зафиксировать сопоставления между IP-адресами и MAC-адресами.

3. Включите IPSG на интерфейсах ACC, подключенных к пользовательским хостам, чтобы хосты могли использовать только фиксированные IP-адреса для доступа к сети. Host_1 может получить доступ к Интернету, а Host_2 не может получить доступ к Интернету, даже если он изменяет свой IP-адрес.

Настройка.

Шаг 1 Настройте ACL.

 

<HUAWEI> system-view
[HUAWEI] sysname Core
[Core] vlan batch 10
[Core] interface gigabitethernet 0/0/1
[Core-GigabitEthernet0/0/1] port link-type trunk
[Core-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[Core-GigabitEthernet0/0/1] quit
[Core] interface vlanif 10 //Настройте адрес шлюза.
[Core-Vlanif10] ip address 10.0.0.1 255.255.255.0
[Core-Vlanif10] quit
[Core] acl number 3001 //Настройте ACL.
[Core-acl-adv-3001] rule permit ip source 10.0.0.2 0
[Core-acl-adv-3001] rule permit ip source 10.0.0.3 0
[Core-acl-adv-3001] rule deny ip source 10.0.0.0 0.0.0.255
[Core-acl-adv-3001] quit
[Core] traffic classifier c1 //Настройте классификатор трафика на основе ACL.
[Core-classifier-c1] if-match acl 3001
[Core-classifier-c1] quit
[Core] traffic behavior b1 //Настройте поведение трафика.
[Core-behavior-b1] permit
[Core-behavior-b1] quit
[Core] traffic policy p1 //Настройте политику трафика.
[Core-trafficpolicy-p1] classifier c1 behavior b1
[Core-trafficpolicy-p1] quit
[Core] interface gigabitethernet 0/0/2
[Core-GigabitEthernet0/0/2] traffic-policy p1 outbound //Примените политики
трафика.
[Core-GigabitEthernet0/0/2] quit

 

Шаг 2 Создайте записи статической привязки для хостов.

 

<HUAWEI> system-view
[HUAWEI] sysname ACC
[ACC] vlan batch 10 //Настройте VLAN для подключения к хостам.
[ACC] interface gigabitethernet 0/0/1
[ACC-GigabitEthernet0/0/1] port link-type access
[ACC-GigabitEthernet0/0/1] port default vlan 10
[ACC-GigabitEthernet0/0/1] quit
[ACC] interface gigabitethernet 0/0/2
[ACC-GigabitEthernet0/0/2] port link-type access
[ACC-GigabitEthernet0/0/2] port default vlan 10
[ACC-GigabitEthernet0/0/2] quit
[ACC] interface gigabitethernet 0/0/3
[ACC-GigabitEthernet0/0/3] port link-type trunk
[ACC-GigabitEthernet0/0/3] port trunk allow-pass vlan 10
[ACC-GigabitEthernet0/0/3] quit
[ACC] user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002 interface gigabitethernet 0/0/1 //Создайте запись статической привязки для Host_1.
[ACC] user-bind static ip-address 10.0.0.5 mac-address 0005-0005-0005 interface gigabitethernet 0/0/2 //Создайте запись статического привязки для Host_2.

 

Шаг 3 Включите IPSG.

 

# Включить IPSG на GE0/0/1, подключенном к Host_1.
[ACC] interface gigabitethernet 0/0/1
[ACC-GigabitEthernet0/0/1] ip source check user-bind enable
[ACC-GigabitEthernet0/0/1] quit
# Включить IPSG на GE0/0/2, подключенном к Host_2.
[ACC] interface gigabitethernet 0/0/2
[ACC-GigabitEthernet0/0/2] ip source check user-bind enable
[ACC-GigabitEthernet0/0/2] quit

 

Шаг 4 Проверьте конфигурацию.

Запустите команду display dhcp static user-bind all на ACC, чтобы просмотреть записи статической привязки.

[

ACC] display dhcp static user-bind all
DHCP static Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
IP Address MAC Address VSI/VLAN(O/I/P) Interface
--------------------------------------------------------------------------------
10.0.0.2 0002-0002-0002 -- /-- /-- GE0/0/1
10.0.0.5 0005-0005-0005 -- /-- /-- GE0/0/2
--------------------------------------------------------------------------------
Print count: 2 Total count: 2

 

Запустите команду display dhcp static user-bind all verbose ACC для просмотра статуса IPSG. Если статус effective, статическая запись вступила в силу.

 

[ACC] display dhcp static user-bind all verbose
DHCP static Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
--------------------------------------------------------------------------------
IP Address : 10.0.0.2
MAC Address : 0002-0002-0002
VSI : --
VLAN(O/I/P) : -- /-- /--
Interface : GE0/0/1
IPSG Status : effective slot: <0>
--------------------------------------------------------------------------------
IP Address : 10.0.0.5
MAC Address : 0005-0005-0005
VSI : --
VLAN(O/I/P) : -- /-- /--
Interface : GE0/0/2
IPSG Status : effective slot: <0>
--------------------------------------------------------------------------------
Print count: 2 Total count: 2

 

Host_1 может получить доступ к Интернету, а Host_2 не может получить доступ к Интернет. После изменения IP-адреса Host_2 на 10.0.0.3, Host_2 не может

подключиться к Интернету и внутренней сети.

 

  • x

Комментарий

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход