IPSG配置实战:用静态绑定表锁死PC上网IP
IPSG(IP Source Guard)是一种基于二层接口的源IP地址过滤技术。它的核心作用是防止恶意主机伪造合法主机的IP地址进行仿冒,确保非授权主机无法通过私自指定IP地址的方式访问网络或发起攻击。
在华为路由器上,为多台PC创建静态绑定表,将它们的IP地址与MAC地址进行固定关联。随后,在连接这些PC的用户侧接口上启用IPSG功能,强制PC只能使用管理员分配的固定IP地址上网,任何私自篡改IP的行为都将被拦截。
配置前的准备
在开始配置前,请确保你已经获取了需要绑定的PC的MAC地址,并规划好了要分配给它们的静态IP地址。本次实验我们将PC1(MAC: 0000-0000-0000)绑定到192.168.0.3,将PC2(MAC: 1111-1111-1111)绑定到192.168.0.4。
一、创建静态绑定表
首先,我们需要进入系统视图,并使用user-bind static命令手工创建IP地址与MAC地址的绑定关系。这条命令会生成一张静态绑定表,作为IPSG进行报文检查的依据。
<Huawei> system-view [Huawei] user-bind static ip-address 192.168.0.3 mac-address 0000-0000-0000 [Huawei] user-bind static ip-address 192.168.0.4 mac-address 1111-1111-1111执行以上命令后,设备内部就记录了这两对IP与MAC的合法绑定关系。任何不符合这个关系的报文,在后续的检查中都将被视为非法。
二、在用户侧接口启用IPSG
绑定表创建完成后,我们需要在连接用户PC的具体接口上应用IPSG检查功能。缺省情况下,所有接口都是非信任接口,这意味着从这些接口收到的IP报文都会受到检查。
配置Eth0/0/1接口
首先进入连接PC1的Eth0/0/1接口,并开启IP报文检查功能
[Huawei] interface ethernet 0/0/0 [Huawei-Ethernet0/0/1] ip source check user-bind enable [Huawei-Ethernet0/0/1] quit配置Eth0/0/2接口
接着,对连接PC2的Eth0/0/2接口进行同样的操作
[Huawei] interface ethernet 0/0/1 [Huawei-Ethernet0/0/1] ip source check user-bind enable [Huawei-Ethernet0/0/1] quit当接口使能了ip source check user-bind enable后,设备会自动基于之前创建的绑定表,向该接口下发ACL(访问控制列表)。此后,该接口收到的所有IP报文都会与绑定表进行匹配,只有源IP和源MAC地址都完全匹配的报文才被允许通过,不匹配的报文将被直接丢弃。
验证配置结果
配置完成后,确保绑定表项已经正确生成。可以使用display命令来查看当前所有的静态用户绑定信息。
[Huawei] display dhcp static user-bind all执行该命令后,看到类似下面的输出,这表明静态绑定已经生效
IP Address MAC Address ------------------------------------- 192.168.0.3 0000-0000-0000 192.168.0.4 1111-1111-1111 -------------------------------------此,IPSG配置全部完成。连接到Eth0/0/1和Eth0/0/2接口的PC,现在只能使用我们指定的192.168.0.3和192.168.0.4这两个IP地址上网。如果用户尝试手动修改电脑IP为其他地址,其网络访问请求将被路由器拒绝,从而有效保障了内网的安全与稳定。
