端口綁定-培訓(xùn)學(xué)習(xí)

1、端口綁定端口綁定ISSUE 3.0日期：2009-04-27杭州華三通信技術(shù)有限公司 版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播n 綁定是一種簡(jiǎn)單的安全機(jī)制，通過(guò)交換機(jī)上的綁定功能，可以對(duì)端口轉(zhuǎn)發(fā)的報(bào)文進(jìn)行過(guò)濾控制。當(dāng)端口接收到報(bào)文后查找綁定表項(xiàng)，如果報(bào)文中的特征項(xiàng)與綁定表項(xiàng)中記錄的特征項(xiàng)匹配，則端口轉(zhuǎn)發(fā)該報(bào)文，否則做丟棄處理。目前交換機(jī)提供靈活的綁定策略引入引入n 掌握端口綁定的基本原理掌握端口綁定的基本原理n 掌握掌握V3交換機(jī)端口綁定的典型配置和特性交換機(jī)端口綁定的典型配置和特性n 掌握掌握V5交換機(jī)端口綁定的典型配置和特性交換機(jī)端口綁定的典型配置和特性n 掌握掌握ARP Detection和和端

2、口綁定配合使用端口綁定配合使用方法方法課程目標(biāo)課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：學(xué)習(xí)完本課程，您應(yīng)該能夠：n 端口綁定介紹端口綁定介紹n V3V3平臺(tái)交換機(jī)平臺(tái)交換機(jī)n V5V5平臺(tái)交換機(jī)平臺(tái)交換機(jī)n ARP DetectionARP Detection在端口綁定中的應(yīng)用在端口綁定中的應(yīng)用n FAQFAQ& &問(wèn)題排查問(wèn)題排查目錄目錄4綁綁定的分類定的分類l 靜態(tài)靜態(tài)ARP表項(xiàng)表項(xiàng)手工添加長(zhǎng)靜態(tài)手工添加長(zhǎng)靜態(tài)ARPARP表項(xiàng)：表項(xiàng)：arp static arp static ip-address mac-address vlan-id interface-type interface-numb

3、er手工添加短靜態(tài)手工添加短靜態(tài)ARPARP表項(xiàng)：表項(xiàng)：arp static arp static ip-address mac-address l 靜態(tài)靜態(tài)MACMAC地址表項(xiàng)地址表項(xiàng)mac-address static mac-address static mac-address interface interface-type interface-number vlan vlan-5端端口綁定的原理口綁定的原理l 端端口綁定口綁定通過(guò)在設(shè)備接入用戶側(cè)的端口上啟用端口綁定功能，通過(guò)在設(shè)備接入用戶側(cè)的端口上啟用端口綁定功能，可以對(duì)端口收到的報(bào)文進(jìn)行過(guò)濾控制，防止非法可以對(duì)端口收到的報(bào)文進(jìn)行過(guò)

4、濾控制，防止非法報(bào)文通過(guò)端口，從而限制了對(duì)網(wǎng)絡(luò)資源的非法使報(bào)文通過(guò)端口，從而限制了對(duì)網(wǎng)絡(luò)資源的非法使用（比如非法主機(jī)仿冒合法用戶用（比如非法主機(jī)仿冒合法用戶IPIP接入網(wǎng)絡(luò)），接入網(wǎng)絡(luò)），提高了端口的安全性。提高了端口的安全性。端口綁定在端口上用于過(guò)濾報(bào)文的特征項(xiàng)包括：源端口綁定在端口上用于過(guò)濾報(bào)文的特征項(xiàng)包括：源IPIP地址、源地址、源MACMAC地址。這些特征項(xiàng)可單獨(dú)或組合地址。這些特征項(xiàng)可單獨(dú)或組合起來(lái)與端口進(jìn)行綁定，形成綁定表項(xiàng)，具體包括：起來(lái)與端口進(jìn)行綁定，形成綁定表項(xiàng)，具體包括：IPIP、MACMAC、IPIPMACMAC。6端端口綁定的特點(diǎn)口綁定的特點(diǎn)l 如圖如圖1-11-1所示

5、，配置了所示，配置了IP Source GuardIP Source Guard的端口接收到報(bào)文后查找的端口接收到報(bào)文后查找IP IP Source GuardSource Guard綁定表項(xiàng)，如果報(bào)文中的特征項(xiàng)與綁定表項(xiàng)中記錄的綁定表項(xiàng)，如果報(bào)文中的特征項(xiàng)與綁定表項(xiàng)中記錄的特征項(xiàng)匹配，則端口轉(zhuǎn)發(fā)該報(bào)文，否則做丟棄處理。特征項(xiàng)匹配，則端口轉(zhuǎn)發(fā)該報(bào)文，否則做丟棄處理。綁定功能是針對(duì)綁定功能是針對(duì)端口的，一個(gè)端口配置了綁定功能后，僅該端口被限制，其他端口不端口的，一個(gè)端口配置了綁定功能后，僅該端口被限制，其他端口不受該綁定影響受該綁定影響。n 端口綁定介紹端口綁定介紹n V3V3平臺(tái)交換機(jī)平臺(tái)交換

6、機(jī)n V5V5平臺(tái)交換機(jī)平臺(tái)交換機(jī)n ARP DetectionARP Detection在端口綁定中的應(yīng)用在端口綁定中的應(yīng)用n FAQFAQ& &問(wèn)題排查問(wèn)題排查目錄目錄8實(shí)實(shí)現(xiàn)特性現(xiàn)特性l端口端口+IP綁定：將報(bào)文的接收端口和用戶的綁定：將報(bào)文的接收端口和用戶的IP地址綁定。此時(shí)，交換機(jī)地址綁定。此時(shí)，交換機(jī)只對(duì)從該端口收到的指定只對(duì)從該端口收到的指定IP地址的用戶發(fā)出的報(bào)文進(jìn)行轉(zhuǎn)發(fā)。地址的用戶發(fā)出的報(bào)文進(jìn)行轉(zhuǎn)發(fā)。l端口端口+MAC地址綁定：將報(bào)文的接收端口和用戶的地址綁定：將報(bào)文的接收端口和用戶的MAC地址綁定。此地址綁定。此時(shí)，交換機(jī)只對(duì)從該端口收到的指定時(shí)，交換機(jī)只對(duì)從該端口收到的指

7、定MAC地址的用戶發(fā)出的報(bào)文進(jìn)行轉(zhuǎn)地址的用戶發(fā)出的報(bào)文進(jìn)行轉(zhuǎn)發(fā)。發(fā)。l端口端口+MAC地址地址+IP綁定：將用戶的綁定：將用戶的MAC地址、地址、IP地址和報(bào)文的接收端地址和報(bào)文的接收端口綁定。此時(shí)，端口若收到源口綁定。此時(shí)，端口若收到源IP地址與指定的地址與指定的IP地址相同的報(bào)文，則只地址相同的報(bào)文，則只有該報(bào)文的源有該報(bào)文的源MAC地址與指定的地址與指定的MAC地址相同時(shí)，報(bào)文才能被轉(zhuǎn)發(fā)；地址相同時(shí)，報(bào)文才能被轉(zhuǎn)發(fā)；端端口接收的其它報(bào)文（源口接收的其它報(bào)文（源IP地址、源地址、源MAC地址均不在地址均不在IP-MAC-端口綁定關(guān)端口綁定關(guān)系表中的報(bào)文）系表中的報(bào)文） 丟棄丟棄 官網(wǎng)對(duì)這種

8、情況下的配置介紹有誤，已向產(chǎn)品官網(wǎng)對(duì)這種情況下的配置介紹有誤，已向產(chǎn)品線確認(rèn)為線確認(rèn)為“丟棄丟棄”，請(qǐng)與下面情況區(qū)分，請(qǐng)與下面情況區(qū)分。l全局的全局的 MAC+IP綁定，沒(méi)有限定端口，才是綁定，沒(méi)有限定端口，才是“若收到源若收到源IP地址與指定的地址與指定的IP地址相同的報(bào)文，則只有該報(bào)文的源地址相同的報(bào)文，則只有該報(bào)文的源MAC地址與指定的地址與指定的MAC地址相同地址相同時(shí)，報(bào)文才能被轉(zhuǎn)發(fā)；接收的其它報(bào)文（源時(shí)，報(bào)文才能被轉(zhuǎn)發(fā)；接收的其它報(bào)文（源IP地址、源地址、源MAC地址均不在地址均不在IP-MAC-端口綁定關(guān)系表中的報(bào)文）可正常轉(zhuǎn)發(fā)。端口綁定關(guān)系表中的報(bào)文）可正常轉(zhuǎn)發(fā)。9典型配置典型

9、配置1進(jìn)入系統(tǒng)模式system-viewH3Cam user-bind mac-addr mac-address ip-addr ip-address interface interface-type interface-number 2進(jìn)入端口視圖H3Cinterface interface-type interface-numberH3C-interface-type interface-numberam user-bind ip-addr ip-address | mac-addr mac-address ip-addr ip-address 注：二者必選其一n 端口綁定介紹端口綁定介紹

10、n V3V3平臺(tái)交換機(jī)平臺(tái)交換機(jī)n V5V5平臺(tái)交換機(jī)平臺(tái)交換機(jī)n ARP DetectionARP Detection在端口綁定中的應(yīng)用在端口綁定中的應(yīng)用n FAQFAQ& &問(wèn)題排查問(wèn)題排查目錄目錄11實(shí)現(xiàn)特性實(shí)現(xiàn)特性l 靜態(tài)綁定表項(xiàng)靜態(tài)綁定表項(xiàng)1. 全局靜態(tài)綁定表項(xiàng)全局靜態(tài)綁定表項(xiàng)全局靜態(tài)綁定表項(xiàng)是在系統(tǒng)視圖下配置的綁定了全局靜態(tài)綁定表項(xiàng)是在系統(tǒng)視圖下配置的綁定了IP地址和地址和MAC地址的地址的表項(xiàng)，這類表項(xiàng)在設(shè)備的所有端口上生效，允許端口正常轉(zhuǎn)發(fā)表項(xiàng)，這類表項(xiàng)在設(shè)備的所有端口上生效，允許端口正常轉(zhuǎn)發(fā)IP地址地址和和MAC地址均與全局靜態(tài)綁定表項(xiàng)匹配的報(bào)文地址均與全局靜態(tài)綁定表項(xiàng)匹配的

11、報(bào)文。2. 端口靜態(tài)綁定表項(xiàng)端口靜態(tài)綁定表項(xiàng)端口靜態(tài)綁定是在端口上配置的綁定了端口靜態(tài)綁定是在端口上配置的綁定了IP地址、地址、MAC地址以及相關(guān)組地址以及相關(guān)組合的表項(xiàng)，這類表項(xiàng)僅在當(dāng)前端口上生效。合的表項(xiàng)，這類表項(xiàng)僅在當(dāng)前端口上生效。l 動(dòng)態(tài)綁定表項(xiàng)動(dòng)態(tài)綁定表項(xiàng)根據(jù)根據(jù)DHCP的相關(guān)表項(xiàng)動(dòng)態(tài)生成綁定表項(xiàng)來(lái)完成端口控制功能，通常的相關(guān)表項(xiàng)動(dòng)態(tài)生成綁定表項(xiàng)來(lái)完成端口控制功能，通常適用于局域網(wǎng)絡(luò)中主機(jī)較多，并且采用適用于局域網(wǎng)絡(luò)中主機(jī)較多，并且采用DHCP進(jìn)行動(dòng)態(tài)主機(jī)配置的情進(jìn)行動(dòng)態(tài)主機(jī)配置的情況。其原理是每當(dāng)況。其原理是每當(dāng)DHCP為用戶分配為用戶分配IP地址而生成一條地址而生成一條DHCP表

12、項(xiàng)時(shí)，表項(xiàng)時(shí)，端口綁定功能就相應(yīng)地增加一條綁定表項(xiàng)以允許該用戶訪問(wèn)網(wǎng)絡(luò)。如端口綁定功能就相應(yīng)地增加一條綁定表項(xiàng)以允許該用戶訪問(wèn)網(wǎng)絡(luò)。如果某個(gè)用戶私自設(shè)置果某個(gè)用戶私自設(shè)置IP地址，則不會(huì)觸發(fā)設(shè)備生成相應(yīng)的地址，則不會(huì)觸發(fā)設(shè)備生成相應(yīng)的DHCP表項(xiàng)，表項(xiàng)，因此端口綁定功能也不會(huì)增加相應(yīng)的訪問(wèn)規(guī)則來(lái)允許該用戶訪問(wèn)網(wǎng)絡(luò)。因此端口綁定功能也不會(huì)增加相應(yīng)的訪問(wèn)規(guī)則來(lái)允許該用戶訪問(wèn)網(wǎng)絡(luò)。12典型配置典型配置l V5V5平臺(tái)交換機(jī)平臺(tái)交換機(jī) system-viewDeviceA interface gigabitethernet 1/0/2DeviceA-GigabitEthernet1/0/2 user-

13、bind ip-address 192.168.0.3 mac-address 0001-0203-0405新版本：DeviceA-GigabitEthernet1/0/2 ip verify source ip-address mac-address / 配置IPv4動(dòng)態(tài)綁定功能DeviceA interface gigabitethernet 1/0/2DeviceA-GigabitEthernet1/0/2 ip source binding ip-address 192.168.0.3 mac-address 0001-0203-0405新新版本版本靜態(tài)綁定表項(xiàng)必須與端口上配置的版本版

14、本靜態(tài)綁定表項(xiàng)必須與端口上配置的IPv4動(dòng)態(tài)綁定動(dòng)態(tài)綁定功能配合使用才能生效。功能配合使用才能生效。n 端口綁定介紹端口綁定介紹n V3V3平臺(tái)交換機(jī)平臺(tái)交換機(jī)n V5V5平臺(tái)交換機(jī)平臺(tái)交換機(jī)n ARP DetectionARP Detection在端口綁定中的應(yīng)用在端口綁定中的應(yīng)用n FAQFAQ& &問(wèn)題排查問(wèn)題排查目錄目錄14ARP Detection簡(jiǎn)介簡(jiǎn)介l ARP Detection功能主要應(yīng)用于接入設(shè)備上，對(duì)于功能主要應(yīng)用于接入設(shè)備上，對(duì)于合法用戶的合法用戶的ARP報(bào)文進(jìn)行正常轉(zhuǎn)發(fā)，否則直接丟報(bào)文進(jìn)行正常轉(zhuǎn)發(fā)，否則直接丟棄，從而防止仿冒用戶、仿冒網(wǎng)關(guān)的攻擊。棄，從而防止仿冒用戶、

15、仿冒網(wǎng)關(guān)的攻擊。l ARP Detection包含三個(gè)功能：包含三個(gè)功能：用戶合法性檢查用戶合法性檢查、ARP報(bào)文有效性檢查、報(bào)文有效性檢查、ARP報(bào)文強(qiáng)制轉(zhuǎn)發(fā)。報(bào)文強(qiáng)制轉(zhuǎn)發(fā)。涉及到和端口綁定配合的功能就是用戶合法性檢查用戶合法性檢查15用戶合法性檢查用戶合法性檢查l 對(duì)于對(duì)于ARP信任端口，不進(jìn)行用戶合法性檢查；對(duì)于信任端口，不進(jìn)行用戶合法性檢查；對(duì)于ARP非非信任端口，需要進(jìn)行用戶合法性檢查，以防止仿冒用戶的信任端口，需要進(jìn)行用戶合法性檢查，以防止仿冒用戶的攻擊。攻擊。l 用戶合法性檢查是根據(jù)用戶合法性檢查是根據(jù)ARP報(bào)文中源報(bào)文中源IP地址和源地址和源MAC地址地址檢查用戶是否是所屬檢查

16、用戶是否是所屬VLAN所在端口上的合法用戶，包括所在端口上的合法用戶，包括基于配置規(guī)則的檢查、基于配置規(guī)則的檢查、基于基于IP 靜態(tài)綁定表項(xiàng)的檢查靜態(tài)綁定表項(xiàng)的檢查、基于、基于DHCP Snooping安全表項(xiàng)的檢查、基于安全表項(xiàng)的檢查、基于802.1X安全表項(xiàng)安全表項(xiàng)的檢查和的檢查和OUI MAC地址的檢查。地址的檢查。l 只要符合三者中任何一個(gè)，就認(rèn)為該只要符合三者中任何一個(gè)，就認(rèn)為該ARP報(bào)文合法，進(jìn)行報(bào)文合法，進(jìn)行轉(zhuǎn)發(fā)。轉(zhuǎn)發(fā)。 如果所有檢查都沒(méi)有找到匹配項(xiàng)，則認(rèn)為是非法報(bào)如果所有檢查都沒(méi)有找到匹配項(xiàng)，則認(rèn)為是非法報(bào)文，直接丟棄。文，直接丟棄。16ARP Detection端口綁定中應(yīng)用

17、端口綁定中應(yīng)用l V3平臺(tái)在原有特性的基礎(chǔ)上，平臺(tái)在原有特性的基礎(chǔ)上，配置全局配置全局IP+MAC綁定后綁定后，所有報(bào)文必須所有報(bào)文必須IP和和MAC完全符合綁定配置項(xiàng)，設(shè)備才允許完全符合綁定配置項(xiàng)，設(shè)備才允許報(bào)文通過(guò)轉(zhuǎn)發(fā)報(bào)文通過(guò)轉(zhuǎn)發(fā)l V5平臺(tái)平臺(tái)新版本新版本在原有特性的基礎(chǔ)上，配置在原有特性的基礎(chǔ)上，配置IP+MAC綁定后，綁定后，無(wú)論全局還是端口下的靜態(tài)綁定，所有報(bào)文必須無(wú)論全局還是端口下的靜態(tài)綁定，所有報(bào)文必須IP和和MAC完全符合綁定配置項(xiàng)，設(shè)備才允許報(bào)文通過(guò)轉(zhuǎn)發(fā)。完全符合綁定配置項(xiàng)，設(shè)備才允許報(bào)文通過(guò)轉(zhuǎn)發(fā)。且在不且在不配置動(dòng)態(tài)綁定功能的情況下就可以實(shí)現(xiàn)綁定效果配置動(dòng)態(tài)綁定功能的情況

18、下就可以實(shí)現(xiàn)綁定效果l 功能配置功能配置進(jìn)入VLAN視圖H3Cvlan vlan-id 使能ARP Detection功能H3C-vlan-id arp detection enable n 端口綁定介紹端口綁定介紹n V3V3平臺(tái)交換機(jī)平臺(tái)交換機(jī)n V5V5平臺(tái)交換機(jī)平臺(tái)交換機(jī)n ARP DetectionARP Detection在端口綁定中的應(yīng)用在端口綁定中的應(yīng)用n FAQFAQ& &問(wèn)題排查問(wèn)題排查目錄目錄18FAQl端口綁定是一種占用端口綁定是一種占用ACLACL資源的接入控制方法，如果設(shè)備資源的接入控制方法，如果設(shè)備ACLACL資源已經(jīng)不足，添加條目會(huì)報(bào)資源已經(jīng)不足，添加條目會(huì)報(bào)錯(cuò)

19、，提示資源不足。錯(cuò)，提示資源不足。l建議不要在端口下同時(shí)下發(fā)建議不要在端口下同時(shí)下發(fā)ACAC包過(guò)濾策略和端口綁定的配置，若是全局下發(fā)的，覆蓋的網(wǎng)段包過(guò)濾策略和端口綁定的配置，若是全局下發(fā)的，覆蓋的網(wǎng)段范圍盡量不要重疊，否則可能出現(xiàn)配置不生效的異?，F(xiàn)象。范圍盡量不要重疊，否則可能出現(xiàn)配置不生效的異常現(xiàn)象。l在我司交換機(jī)上有些產(chǎn)品只支持在我司交換機(jī)上有些產(chǎn)品只支持IPMAC端口三者同時(shí)綁定，有些可以綁定三者中任意二端口三者同時(shí)綁定，有些可以綁定三者中任意二者，即者，即IP端口、端口、MAC端口、端口、IPMAC這三種綁定。這三種綁定。H3CS5600/S3900/S5600/S5100EI系系列產(chǎn)

20、品只支持三者同時(shí)綁定；列產(chǎn)品只支持三者同時(shí)綁定；S3600EI/S3000系列中系列中S3026EFGTC/S3026C-PWR/S3050C/S3928支持三者同時(shí)綁定或任意兩者的綁定；支持三者同時(shí)綁定或任意兩者的綁定；S3500系列設(shè)備除了系列設(shè)備除了S3526EC外外都不支持上述三者或任意兩者綁定；都不支持上述三者或任意兩者綁定；S5000系列設(shè)備支持三者或任意兩者綁定；系列設(shè)備支持三者或任意兩者綁定；H3C S5500-SI、S2000C/S2000-EI、S3100SI系列設(shè)備不支持三者或任意兩者的綁定。系列設(shè)備不支持三者或任意兩者的綁定。l若已配置若已配置IPv4IPv4綁定表項(xiàng)數(shù)

21、目的最大值綁定表項(xiàng)數(shù)目的最大值ip verify source max-entries numberip verify source max-entries number端口將不再允許端口將不再允許添加新的添加新的IPv4IPv4綁定表項(xiàng)。但如果要配置的綁定表項(xiàng)。但如果要配置的IPv4IPv4綁定表項(xiàng)數(shù)目的最大值小于當(dāng)前端口上已存在的綁定表項(xiàng)數(shù)目的最大值小于當(dāng)前端口上已存在的IPv4IPv4綁定表項(xiàng)總數(shù)，則該最大值可以配置成功，且原有的表項(xiàng)不受影響，但端口將不再允許新綁定表項(xiàng)總數(shù)，則該最大值可以配置成功，且原有的表項(xiàng)不受影響，但端口將不再允許新增增IPv4IPv4綁定表項(xiàng)綁定表項(xiàng)l加入聚合組或加入業(yè)務(wù)環(huán)回組的端口上不能配置加入聚合組或加入業(yè)務(wù)環(huán)回組的端口上不能配置IP Source GuardIP Source Guard功能功能l在在IPv4IPv4靜態(tài)綁定表項(xiàng)與靜態(tài)綁定表項(xiàng)與ARP DetectionARP Detection功能配合時(shí)，靜態(tài)綁定表項(xiàng)中必須指定功能配合時(shí)，靜態(tài)綁定表項(xiàng)中必須指定VLANVLAN參數(shù)，且參數(shù)，且該該VLANVLAN為使能為使能ARP DetectionARP Detection功