Обзор IPSG
Как показано на рисунке ниже, хакер (Host_2) использует IP-адреса и MAC-адреса Host_1, принадлежащие инженеру отдела исследований и разработок, в целях создания IP- пакетов для атаки внутренней сети. Сетевой администратор считает, что инженер отдела исследований и разработок является злоумышленником. Такие атаки можно предотвратить, настроив IPSG. В коммутаторе доступа после настройки таблицы статической привязки и проверки IP-пакетов на интерфейсах, подключенных к терминалам, только пакеты, соответствующие записям статической привязки, могут подключаться к интрасети и Интернету, а пакеты, не соответствующие данным, отбрасываются.
Требования к сети
Как показано на рисунке ниже, пользовательский шлюз настроен на базовом коммутаторе (Core switch). ACL сконфигурирован на базовом коммутаторе, чтобы позволить фиксированным хостам получать доступ к Интернету. Хосты, подключенные к коммутатору доступа (ACC), используют статически настроенные IP-адреса. Администратор требует, чтобы хосты могли использовать только фиксированные IP-адреса для доступа в Интернет. Пользователям не разрешается изменять собственные IP-адреса для доступа в Интернет.
Схема настройки
Схема настройки выглядит следующим образом:
1. Настройте ACL на шлюзе доступа, чтобы разрешить хостам с IP-адресами 10.0.0.2 и 10.0.0.3 подключаться к Интернету.
2. Создайте записи статической привязки для хостов на ACC, чтобы зафиксировать сопоставления между IP-адресами и MAC-адресами.
3. Включите IPSG на интерфейсах ACC, подключенных к пользовательским хостам, чтобы хосты могли использовать только фиксированные IP-адреса для доступа к сети. Host_1 может получить доступ к Интернету, а Host_2 не может получить доступ к Интернету, даже если он изменяет свой IP-адрес.
Настройка.
Шаг 1 Настройте ACL.
<HUAWEI> system-view [HUAWEI] sysname Core [Core] vlan batch 10 [Core] interface gigabitethernet 0/0/1 [Core-GigabitEthernet0/0/1] port link-type trunk [Core-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 [Core-GigabitEthernet0/0/1] quit [Core] interface vlanif 10 //Настройте адрес шлюза. [Core-Vlanif10] ip address 10.0.0.1 255.255.255.0 [Core-Vlanif10] quit [Core] acl number 3001 //Настройте ACL. [Core-acl-adv-3001] rule permit ip source 10.0.0.2 0 [Core-acl-adv-3001] rule permit ip source 10.0.0.3 0 [Core-acl-adv-3001] rule deny ip source 10.0.0.0 0.0.0.255 [Core-acl-adv-3001] quit [Core] traffic classifier c1 //Настройте классификатор трафика на основе ACL. [Core-classifier-c1] if-match acl 3001 [Core-classifier-c1] quit [Core] traffic behavior b1 //Настройте поведение трафика. [Core-behavior-b1] permit [Core-behavior-b1] quit [Core] traffic policy p1 //Настройте политику трафика. [Core-trafficpolicy-p1] classifier c1 behavior b1 [Core-trafficpolicy-p1] quit [Core] interface gigabitethernet 0/0/2 [Core-GigabitEthernet0/0/2] traffic-policy p1 outbound //Примените политики трафика. [Core-GigabitEthernet0/0/2] quit
Шаг 2 Создайте записи статической привязки для хостов.
<HUAWEI> system-view [HUAWEI] sysname ACC [ACC] vlan batch 10 //Настройте VLAN для подключения к хостам. [ACC] interface gigabitethernet 0/0/1 [ACC-GigabitEthernet0/0/1] port link-type access [ACC-GigabitEthernet0/0/1] port default vlan 10 [ACC-GigabitEthernet0/0/1] quit [ACC] interface gigabitethernet 0/0/2 [ACC-GigabitEthernet0/0/2] port link-type access [ACC-GigabitEthernet0/0/2] port default vlan 10 [ACC-GigabitEthernet0/0/2] quit [ACC] interface gigabitethernet 0/0/3 [ACC-GigabitEthernet0/0/3] port link-type trunk [ACC-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 [ACC-GigabitEthernet0/0/3] quit [ACC] user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002 interface gigabitethernet 0/0/1 //Создайте запись статической привязки для Host_1. [ACC] user-bind static ip-address 10.0.0.5 mac-address 0005-0005-0005 interface gigabitethernet 0/0/2 //Создайте запись статического привязки для Host_2.
Шаг 3 Включите IPSG.
# Включить IPSG на GE0/0/1, подключенном к Host_1. [ACC] interface gigabitethernet 0/0/1 [ACC-GigabitEthernet0/0/1] ip source check user-bind enable [ACC-GigabitEthernet0/0/1] quit # Включить IPSG на GE0/0/2, подключенном к Host_2. [ACC] interface gigabitethernet 0/0/2 [ACC-GigabitEthernet0/0/2] ip source check user-bind enable [ACC-GigabitEthernet0/0/2] quit
Шаг 4 Проверьте конфигурацию.
Запустите команду display dhcp static user-bind all на ACC, чтобы просмотреть записи статической привязки.
[
ACC] display dhcp static user-bind all DHCP static Bind-table: Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping IP Address MAC Address VSI/VLAN(O/I/P) Interface -------------------------------------------------------------------------------- 10.0.0.2 0002-0002-0002 -- /-- /-- GE0/0/1 10.0.0.5 0005-0005-0005 -- /-- /-- GE0/0/2 -------------------------------------------------------------------------------- Print count: 2 Total count: 2
Запустите команду display dhcp static user-bind all verbose ACC для просмотра статуса IPSG. Если статус effective, статическая запись вступила в силу.
[ACC] display dhcp static user-bind all verbose DHCP static Bind-table: Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping -------------------------------------------------------------------------------- IP Address : 10.0.0.2 MAC Address : 0002-0002-0002 VSI : -- VLAN(O/I/P) : -- /-- /-- Interface : GE0/0/1 IPSG Status : effective slot: <0> -------------------------------------------------------------------------------- IP Address : 10.0.0.5 MAC Address : 0005-0005-0005 VSI : -- VLAN(O/I/P) : -- /-- /-- Interface : GE0/0/2 IPSG Status : effective slot: <0> -------------------------------------------------------------------------------- Print count: 2 Total count: 2
Host_1 может получить доступ к Интернету, а Host_2 не может получить доступ к Интернет. После изменения IP-адреса Host_2 на 10.0.0.3, Host_2 не может
подключиться к Интернету и внутренней сети.
