網絡安全應用之終端IP地址沖突管控
最近客戶那邊反應局域網絡中經常有IP地址沖突現象,影響正常的業務通訊。
客戶提出讓所有員工電腦的IP地址都使用自動獲取,禁止私自手工配置IP地址。打印機要通過網絡共享,所以要使用固定的IP地址。
根據需求,給出的實施方案是将所有員工電腦的IP地址都設置為通過DHCP方式獲取,再通過部署IPSG,實現員工隻能使用DHCP Server分配的IP地址,才能正常聯網,如果私自指定IP地址将無法訪問網絡。網絡拓撲如下圖
網關設備作為DHCP示意圖
IPSG,IP 源防護(IP Source Guard)是一種基于 IP/MAC 的端口流量過濾技術,它可以防止局域網内的 IP 地址欺騙攻擊。
通過在設備接入用戶側的端口上啟用IPSG功能, 能夠對端口收到的報文進行過濾控制,防止非法報文通過端口,從而限制了非授權的設備非法使用網絡資源(比如非法主機仿冒合法用戶IP接入網絡),提高了網絡的安全性。
IPSG應用生産環境:
在網絡中經常出現利用仿冒合法用戶IP/MAC等信息的報文訪問或攻擊網絡的情況,導緻合法用戶無法獲得穩定、安全的網絡服務。配置IP報文檢查功能,可以防範上述情況的發生。當使能了IP報文的檢查功能後,默認會對IP報文中的IP、MAC、VLAN、接口信息進行綁定表匹配檢查,隻有與綁定表匹配的IP報文才能被轉發,否則被丢棄。
IPSG實施條件:
由于該功能是基于綁定表進行匹配檢查的,因此:
1)對于DHCP環境中的用戶,需要使能DHCP Snooping自動生成動态綁定表。
2)對于無DHCP環境,靜态配置IP的用戶,需要手工配置靜态綁定。
IPSG實施步驟:
1、在接入交換機上配置DHCP Snooping功能,生成DHCP Snooping動态綁定表。
DHCP Snooping功能實施在“數據通訊之電腦網絡連接時不時上不了網”一文已經詳細說明,這裡不再闡述。
dhcp snooping相關配置命令參考
2、接入交換機上連接員工主機的接口上使能IPSG功能。
IPSG配置命令參考
3、打印機配置固定IP地址
根據實施文檔為打印機配置規劃好的IP地址信息
總結:通過以上IPSG配置後,終端電腦在自動獲得IP地址後,交換機就會生成dhcp snooping 用戶信息動态綁定表(display dhcp snooping user-bind all)。此時如果員工再手動設置IP地址就無法正常使用網絡了,即使手動設置的IP地址就是自動獲取的IP地址,也無法使用網絡。
本文介紹所實現的功能是僅限制終端電腦不能手動更改IP地址,并不限制終端接入網絡的位置,即隻要是在網絡服務範圍内,且能正常自動獲取IP地址信息,都是允許使用網絡的。
IPSG實施常見問題:
1、彙聚交換機要不要配置ip source check user-bind enable,如圖中彙聚交換機的g0/0/8口有終端接入。
這裡說明一下實施的思路,我們在對某個工具某個命令作配置時,首先要弄明白,此工具命令的作用是什麼,可以實現什麼功能,可能會造成什麼後果。
ip source check user-bind enable命令是啟動IP報文的檢查功能,包括IP、MAC、VLAN、接口編号等信息,功能是比對讀上來的這些信息和表裡的信息是否匹配,目的是過濾非法的終端,後果是造成非法的終端無法使用網絡。所以答案出來了,此接口如果接的是需要管控的電腦終端,就需要配置此命令,否則不需要配置此命令。
2、配置完ip source check user-bind enable,交換機卡了,或是訪問不了互聯網了。
1)上行口配置了ip source check user-bind enable,上行口不能配置IPSG檢查功能。
2)在接入交換機的vlan下配置了ip source check user-bind enable,而上行口也包含此vlan,導緻接入交換機無法和此vlan的網關設備正常通訊。解決方法是拿掉此命令配置,改在接口配置ip source check user-bind enable或在全局使用user-bind static mac-address綁定上行網關設備對應三層接口的mac地址,而且是隻綁定mac地址,不要綁定IP地址。如果上行是中繼鍊路,建議都在接口上配置ip source check user-bind enable。
3、display dhcp snooping user-bind all發現已經創建并生成了綁定表,但IPSG功能沒有生效。
1)檢查IPSG功能是否在指定接口或者指定VLAN上使能。隻有在指定接口或在指定VLAN上使能IPSG後功能才生效。當上行是路由鍊路,首選在vlan下配置ip source check user-bind enable,當上行是中繼鍊路,首選在接口上配置ip source check user-bind enable。
2)要在真機上實施。
,