目的
随着网络规模越来越大,很多公司内部网络要求比较严格,通过交换机绑定IP与MAC地址。从而跟踪用户网络状态。还有就是避免一些攻击者通过伪造合法用户的IP地址获取网络访问权限,非法访问网络,甚至造成合法用户无法访问网络,或者信息泄露。IP MAC绑定技术针对IP地址欺骗攻击提供了一种防御机制,可以有效阻止此类网络攻击行为。
组网需求
如图一所示,Host通过Switch接入网络,Gateway为企业出口网关,各Host均使用静态配置的IP地址。管理员希望Host使用管理员分配的固定IP地址上网,不允许私自更改IP地址非法获取网络访问权限。
图 IP MAC绑定配置组网图
配置思路
采用如下的思路在Switch上配置IPSG功能,实现上述需求。
1. 在Switch上配置Host_1和Host_2的静态绑定表,固定IP和MAC的绑定关系。
2. 在Switch连接用户主机的接口使能IPSG,实现Host只能使用管理员分配的固定IP地址上网。同时,在接口开启IP报文检查告警功能,当交换机丢弃非法上网用户的报文达到阈值后上报告警。
配置文件
Switch C的配置文件如下:
#
sysname Switch
#
user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001
user-bind static ip-address 10.0.0.11 mac-address 0002-0002-0002
#
interface GigabitEthernet1/0/1
ip source check user-bind enable
ip source check user-bind alarm enable
ip source check user-bind alarm threshold 200
#
interface GigabitEthernet1/0/2
ip source check user-bind enable
ip source check user-bind alarm enable
ip source check user-bind alarm threshold 200
#
return
