DHCP snooping + IPSG准入机制

版权声明：本文为博主原创文章，转载请指明地址。 https://blog.csdn.net/Mr_rsq/article/details/83303832

简化版拓扑图：

设备：

• 华为S2700
• 华为S5700
• PC1
  IP：10.0.0.10/24
  mac：0000-1111-2222

1 DHCP snooping

DHCP Snooping大致具有以下两方面的功能：

1. 保证DHCP客户端从合法的DHCP服务器处获取IP地址。
   为了使DHCP客户端能通过合法的DHCP服务器获取IP地址，DHCP Snooping安全机制允许将端口（可以在二层连核心的上联口）分为"信任端口"（Trusted Port）和"不信任端口"（Untrusted Port）两大类。信任端口正常转发接收到的DHCP报文；而不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后，丢弃该报文。然后把连接合法DHCP服务器和其他DHCP Snooping设备的端口设置为信任端口，其他所有端口（包括连接DHCP客户端的端口）均设置为不信任端口。目前，可以配置为DHCP Snooping信任端口的接口类型包括：二层以太网端口、二层聚合端口
2. 记录DHCP客户端IP地址与MAC地址的对应关系。
   启用DHCP Snooping功能后，通过监听非信任端口收到的DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文可以记录DHCP Snooping表项，其中包括客户端的MAC地址、获取到的IP地址、与DHCP客户端连接的端口及该端口所属的VLAN等信息。利用这些信息可以帮助实现一些其他安全功能，如ARP快速响应、ARP检测、IPSG（IP Source Guard，IP源防护）

配置dhcp snooping

[Quidway]dhcp enable 
[Quidway]dhcp snooping enable

# 若有vlan还需要在vlan中开启dhcp snooping
[Quidway]vlan 100
[Quidway-vlan100]dhcp snooping enable

# 上联口配置dhcp snooping trusted
[Quidway]int Ethernet0/0/22
[Quidway-Ethernet0/0/22]dhcp snooping trusted
[Quidway-Ethernet0/0/22]dis th
#
interface Ethernet0/0/22
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
 dhcp snooping trusted
#
return

2 IPSG（IP Source Guard）

IPSG可以防范针对源IP地址进行欺骗的攻击行为。
IP Source Guard功能是基于绑定表对IP报文进行匹配检查。当设备在转发IP报文时，将此报文中的源IP、源MAC、端口、VLAN信息和绑定表的信息进行比较，如果信息匹配，表明是合法用户，则允许报文正常转发，否则认为报文时攻击报文，并丢弃该报文。
IP Source Guard功能是基于绑定表对IP报文进行匹配检查。检查内容包括：源IP地址、源MAC地址、VLAN和接口。
常用的两种配置：

1. 配置基于VLAN的IP Source Guard
2. 配置基于接口的IP Source Guard

2.1 配置基于VLAN的IP Source Guard

最好在三层配置基于VLAN的IP Source Guard

1 开启IP报文检查功能
[HeXin]vlan 100
[HeXin-vlan100]ip source check user-bind enable

2 配置IP报文检查项（默认mac）
[HeXin-vlan100]ip source check user-bind check-item ?
  interface    Interface 
  ip-address   IP address 
  mac-address  MAC address

3 实现用户上网
[HeXin]user-bind static mac-address 0000-1111-2222

2.2 配置基于接口的IP Source Guard

可在三层交换机或二层交换机上配置

1 先在二层交换机创建一个组，把想要配置同一个vlan的接口放入此组（方便配置管理），然后开始做mac限制。
[Quidway]port-group 100		# 创建端口组
[Quidway-port-group-100]group-member Ethernet 0/0/1 to Ethernet 0/0/21	# 把1~21口划入到端口组中
[Quidway-port-group-100]port link-type access			# 端口类型改为access
[Quidway-port-group-100]port default vlan 100			# 配置默认允许的vlan
[Quidway-port-group-100]ip source check user-bind enable	# 开启准入策略
[Quidway-port-group-100]ip source check user-bind check-item mac-address  # 配置基于mac的准入策略

2 最好在核心交换机中的dhcp地址池中进行IP和mac的绑定，这样可以更好地管理人员IP和mac。
[HeXin]ip pool 100
[HeXin-ip-pool-100]static-bind ip-address 10.0.0.10 mac-address 0000-1111-2222

3 若有用户需要上网，则只需在二层系统视图下加一条命令即可
[Quidway]user-bind static mac-address 0000-1111-2222

4 取消此mac的准入
[Quidway]undo user-bind static mac-address 0000-1111-2222

5 查询mac对应哪台交换机
（1）在核心查此IP连接哪个二层交换机（即找接口连的交换机）
	dis arp dynamic | include 10.0.0.10

（2）在网络拓扑图中找到此接口对应的二层交换机，登录操作即可
	dis mac-address | include 0000-1111-2222     # 可查询此mac对应二层交换机的接口

参考文章

1）DHCP Snooping的两个主要功能
2）华为IPSG技术白皮书