首页
/
每日頭條
/
科技
/
網絡安全桌面演練ip地址沖突簡報
網絡安全桌面演練ip地址沖突簡報
更新时间:2024-11-26 11:29:06

網絡安全應用之終端IP地址沖突管控

最近客戶那邊反應局域網絡中經常有IP地址沖突現象,影響正常的業務通訊。

客戶提出讓所有員工電腦的IP地址都使用自動獲取,禁止私自手工配置IP地址。打印機要通過網絡共享,所以要使用固定的IP地址。

根據需求,給出的實施方案是将所有員工電腦的IP地址都設置為通過DHCP方式獲取,再通過部署IPSG,實現員工隻能使用DHCP Server分配的IP地址,才能正常聯網,如果私自指定IP地址将無法訪問網絡。網絡拓撲如下圖

網絡安全桌面演練ip地址沖突簡報(網絡安全應用之終端IP地址沖突管控)1

網關設備作為DHCP示意圖

IPSG,IP 源防護(IP Source Guard)是一種基于 IP/MAC 的端口流量過濾技術,它可以防止局域網内的 IP 地址欺騙攻擊。

通過在設備接入用戶側的端口上啟用IPSG功能, 能夠對端口收到的報文進行過濾控制,防止非法報文通過端口,從而限制了非授權的設備非法使用網絡資源(比如非法主機仿冒合法用戶IP接入網絡),提高了網絡的安全性。

IPSG應用生産環境:

在網絡中經常出現利用仿冒合法用戶IP/MAC等信息的報文訪問或攻擊網絡的情況,導緻合法用戶無法獲得穩定、安全的網絡服務。配置IP報文檢查功能,可以防範上述情況的發生。當使能了IP報文的檢查功能後,默認會對IP報文中的IP、MAC、VLAN、接口信息進行綁定表匹配檢查,隻有與綁定表匹配的IP報文才能被轉發,否則被丢棄。

IPSG實施條件:

由于該功能是基于綁定表進行匹配檢查的,因此:

1)對于DHCP環境中的用戶,需要使能DHCP Snooping自動生成動态綁定表。

2)對于無DHCP環境,靜态配置IP的用戶,需要手工配置靜态綁定。

IPSG實施步驟:

1、在接入交換機上配置DHCP Snooping功能,生成DHCP Snooping動态綁定表。

DHCP Snooping功能實施在“數據通訊之電腦網絡連接時不時上不了網”一文已經詳細說明,這裡不再闡述。

網絡安全桌面演練ip地址沖突簡報(網絡安全應用之終端IP地址沖突管控)2

dhcp snooping相關配置命令參考

2、接入交換機上連接員工主機的接口上使能IPSG功能。

網絡安全桌面演練ip地址沖突簡報(網絡安全應用之終端IP地址沖突管控)3

IPSG配置命令參考

3、打印機配置固定IP地址

根據實施文檔為打印機配置規劃好的IP地址信息

總結:通過以上IPSG配置後,終端電腦在自動獲得IP地址後,交換機就會生成dhcp snooping 用戶信息動态綁定表(display dhcp snooping user-bind all)。此時如果員工再手動設置IP地址就無法正常使用網絡了,即使手動設置的IP地址就是自動獲取的IP地址,也無法使用網絡。

本文介紹所實現的功能是僅限制終端電腦不能手動更改IP地址,并不限制終端接入網絡的位置,即隻要是在網絡服務範圍内,且能正常自動獲取IP地址信息,都是允許使用網絡的。

IPSG實施常見問題:

1、彙聚交換機要不要配置ip source check user-bind enable,如圖中彙聚交換機的g0/0/8口有終端接入。

這裡說明一下實施的思路,我們在對某個工具某個命令作配置時,首先要弄明白,此工具命令的作用是什麼,可以實現什麼功能,可能會造成什麼後果。

ip source check user-bind enable命令是啟動IP報文的檢查功能,包括IP、MAC、VLAN、接口編号等信息,功能是比對讀上來的這些信息和表裡的信息是否匹配,目的是過濾非法的終端,後果是造成非法的終端無法使用網絡。所以答案出來了,此接口如果接的是需要管控的電腦終端,就需要配置此命令,否則不需要配置此命令。

2、配置完ip source check user-bind enable,交換機卡了,或是訪問不了互聯網了。

1)上行口配置了ip source check user-bind enable,上行口不能配置IPSG檢查功能。

2)在接入交換機的vlan下配置了ip source check user-bind enable,而上行口也包含此vlan,導緻接入交換機無法和此vlan的網關設備正常通訊。解決方法是拿掉此命令配置,改在接口配置ip source check user-bind enable或在全局使用user-bind static mac-address綁定上行網關設備對應三層接口的mac地址,而且是隻綁定mac地址,不要綁定IP地址。如果上行是中繼鍊路,建議都在接口上配置ip source check user-bind enable。

3、display dhcp snooping user-bind all發現已經創建并生成了綁定表,但IPSG功能沒有生效。

1)檢查IPSG功能是否在指定接口或者指定VLAN上使能。隻有在指定接口或在指定VLAN上使能IPSG後功能才生效。當上行是路由鍊路,首選在vlan下配置ip source check user-bind enable,當上行是中繼鍊路,首選在接口上配置ip source check user-bind enable。

2)要在真機上實施。

,
Comments
Welcome to tft每日頭條 comments! Please keep conversations courteous and on-topic. To fosterproductive and respectful conversations, you may see comments from our Community Managers.
Sign up to post
Sort by
Show More Comments
推荐阅读
福田新能源汽車重卡
福田新能源汽車重卡
9月16日,由北京市人民政府、工信部、公安部、交通運輸部、中國科學技術協會共同主辦的2022世界智能網聯汽車大會在京開幕,福田汽車攜集衆多創新成果于一身的智能駕駛重卡重磅亮相,展現企業在智能駕駛領域雄厚的技術實力的同時,也讓行業對未來物流運...
2024-11-26
怎樣删除重複項并求和
怎樣删除重複項并求和
今天小編要和大家分享一篇,多條件排序、删除重複值和單條件求和的綜合應用案例,希望各位同學,可以實際的去操作一遍,最關鍵的是要理解其中的邏輯含義自定義排序方方格子插件公式向導一、先看題目,理解題意今天有學員提出這樣的問題,如下圖所示,想實現:...
2024-11-26
手機微信删除後可以重新登陸嗎
手機微信删除後可以重新登陸嗎
手機微信删除後可以重新登陸嗎?手機微信删除後可以重新登陸微信重新下載後輸入自己的微信賬号和微信登錄密碼就可以登錄成功了如果微信的登錄密碼忘記了,可以這樣操作:微信重新下載後,先輸入自己的手機号碼然後點擊使用短信驗證碼登錄這幾個字點擊後按照界...
2024-11-26
卧室自制驅蚊器
卧室自制驅蚊器
(央視财經《深度财經》)聽過4K、AI的你,對OLED、QLED、8K、HDR、HFR、DolbyAtmos也有概念嗎?一個舒心的家,能提升好大一截幸福感。那些關于“家”的“黑科技”潮流,你跟上了沒?添置哪幾個物件,就能充分滿足你“愛美”、...
2024-11-26
安兔兔公布4月國内安卓手機性能
安兔兔公布4月國内安卓手機性能
近日,知名跑分平台安兔兔發布了8月安卓手機性價比榜單,價位從千元機到5000元以上都有,下面不妨一起來看看都有哪些上榜的機型。0-1999價位首先來看看0-1999元價位段,拿下性價比第一名的是RedmiNote11TPro,該機搭載了天玑...
2024-11-26
Copyright 2023-2024 - www.tftnews.com All Rights Reserved