端口綁定-培訓(xùn)學(xué)習(xí)_第1頁(yè)
端口綁定-培訓(xùn)學(xué)習(xí)_第2頁(yè)
端口綁定-培訓(xùn)學(xué)習(xí)_第3頁(yè)
端口綁定-培訓(xùn)學(xué)習(xí)_第4頁(yè)
端口綁定-培訓(xùn)學(xué)習(xí)_第5頁(yè)
已閱讀5頁(yè),還剩16頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、端口綁定端口綁定ISSUE 3.0日期:2009-04-27杭州華三通信技術(shù)有限公司 版權(quán)所有,未經(jīng)授權(quán)不得使用與傳播n 綁定是一種簡(jiǎn)單的安全機(jī)制,通過(guò)交換機(jī)上的綁定功能,可以對(duì)端口轉(zhuǎn)發(fā)的報(bào)文進(jìn)行過(guò)濾控制。當(dāng)端口接收到報(bào)文后查找綁定表項(xiàng),如果報(bào)文中的特征項(xiàng)與綁定表項(xiàng)中記錄的特征項(xiàng)匹配,則端口轉(zhuǎn)發(fā)該報(bào)文,否則做丟棄處理。目前交換機(jī)提供靈活的綁定策略引入引入n 掌握端口綁定的基本原理掌握端口綁定的基本原理n 掌握掌握V3交換機(jī)端口綁定的典型配置和特性交換機(jī)端口綁定的典型配置和特性n 掌握掌握V5交換機(jī)端口綁定的典型配置和特性交換機(jī)端口綁定的典型配置和特性n 掌握掌握ARP Detection和和端

2、口綁定配合使用端口綁定配合使用方法方法課程目標(biāo)課程目標(biāo)學(xué)習(xí)完本課程,您應(yīng)該能夠:學(xué)習(xí)完本課程,您應(yīng)該能夠:n 端口綁定介紹端口綁定介紹n V3V3平臺(tái)交換機(jī)平臺(tái)交換機(jī)n V5V5平臺(tái)交換機(jī)平臺(tái)交換機(jī)n ARP DetectionARP Detection在端口綁定中的應(yīng)用在端口綁定中的應(yīng)用n FAQFAQ& &問(wèn)題排查問(wèn)題排查目錄目錄4綁綁定的分類定的分類l 靜態(tài)靜態(tài)ARP表項(xiàng)表項(xiàng)手工添加長(zhǎng)靜態(tài)手工添加長(zhǎng)靜態(tài)ARPARP表項(xiàng):表項(xiàng):arp static arp static ip-address mac-address vlan-id interface-type interface-numb

3、er手工添加短靜態(tài)手工添加短靜態(tài)ARPARP表項(xiàng):表項(xiàng):arp static arp static ip-address mac-address l 靜態(tài)靜態(tài)MACMAC地址表項(xiàng)地址表項(xiàng)mac-address static mac-address static mac-address interface interface-type interface-number vlan vlan-5端端口綁定的原理口綁定的原理l 端端口綁定口綁定通過(guò)在設(shè)備接入用戶側(cè)的端口上啟用端口綁定功能,通過(guò)在設(shè)備接入用戶側(cè)的端口上啟用端口綁定功能,可以對(duì)端口收到的報(bào)文進(jìn)行過(guò)濾控制,防止非法可以對(duì)端口收到的報(bào)文進(jìn)行過(guò)

4、濾控制,防止非法報(bào)文通過(guò)端口,從而限制了對(duì)網(wǎng)絡(luò)資源的非法使報(bào)文通過(guò)端口,從而限制了對(duì)網(wǎng)絡(luò)資源的非法使用(比如非法主機(jī)仿冒合法用戶用(比如非法主機(jī)仿冒合法用戶IPIP接入網(wǎng)絡(luò)),接入網(wǎng)絡(luò)),提高了端口的安全性。提高了端口的安全性。端口綁定在端口上用于過(guò)濾報(bào)文的特征項(xiàng)包括:源端口綁定在端口上用于過(guò)濾報(bào)文的特征項(xiàng)包括:源IPIP地址、源地址、源MACMAC地址。這些特征項(xiàng)可單獨(dú)或組合地址。這些特征項(xiàng)可單獨(dú)或組合起來(lái)與端口進(jìn)行綁定,形成綁定表項(xiàng),具體包括:起來(lái)與端口進(jìn)行綁定,形成綁定表項(xiàng),具體包括:IPIP、MACMAC、IPIPMACMAC。6端端口綁定的特點(diǎn)口綁定的特點(diǎn)l 如圖如圖1-11-1所示

5、,配置了所示,配置了IP Source GuardIP Source Guard的端口接收到報(bào)文后查找的端口接收到報(bào)文后查找IP IP Source GuardSource Guard綁定表項(xiàng),如果報(bào)文中的特征項(xiàng)與綁定表項(xiàng)中記錄的綁定表項(xiàng),如果報(bào)文中的特征項(xiàng)與綁定表項(xiàng)中記錄的特征項(xiàng)匹配,則端口轉(zhuǎn)發(fā)該報(bào)文,否則做丟棄處理。特征項(xiàng)匹配,則端口轉(zhuǎn)發(fā)該報(bào)文,否則做丟棄處理。綁定功能是針對(duì)綁定功能是針對(duì)端口的,一個(gè)端口配置了綁定功能后,僅該端口被限制,其他端口不端口的,一個(gè)端口配置了綁定功能后,僅該端口被限制,其他端口不受該綁定影響受該綁定影響。n 端口綁定介紹端口綁定介紹n V3V3平臺(tái)交換機(jī)平臺(tái)交換

6、機(jī)n V5V5平臺(tái)交換機(jī)平臺(tái)交換機(jī)n ARP DetectionARP Detection在端口綁定中的應(yīng)用在端口綁定中的應(yīng)用n FAQFAQ& &問(wèn)題排查問(wèn)題排查目錄目錄8實(shí)實(shí)現(xiàn)特性現(xiàn)特性l端口端口+IP綁定:將報(bào)文的接收端口和用戶的綁定:將報(bào)文的接收端口和用戶的IP地址綁定。此時(shí),交換機(jī)地址綁定。此時(shí),交換機(jī)只對(duì)從該端口收到的指定只對(duì)從該端口收到的指定IP地址的用戶發(fā)出的報(bào)文進(jìn)行轉(zhuǎn)發(fā)。地址的用戶發(fā)出的報(bào)文進(jìn)行轉(zhuǎn)發(fā)。l端口端口+MAC地址綁定:將報(bào)文的接收端口和用戶的地址綁定:將報(bào)文的接收端口和用戶的MAC地址綁定。此地址綁定。此時(shí),交換機(jī)只對(duì)從該端口收到的指定時(shí),交換機(jī)只對(duì)從該端口收到的指

7、定MAC地址的用戶發(fā)出的報(bào)文進(jìn)行轉(zhuǎn)地址的用戶發(fā)出的報(bào)文進(jìn)行轉(zhuǎn)發(fā)。發(fā)。l端口端口+MAC地址地址+IP綁定:將用戶的綁定:將用戶的MAC地址、地址、IP地址和報(bào)文的接收端地址和報(bào)文的接收端口綁定。此時(shí),端口若收到源口綁定。此時(shí),端口若收到源IP地址與指定的地址與指定的IP地址相同的報(bào)文,則只地址相同的報(bào)文,則只有該報(bào)文的源有該報(bào)文的源MAC地址與指定的地址與指定的MAC地址相同時(shí),報(bào)文才能被轉(zhuǎn)發(fā);地址相同時(shí),報(bào)文才能被轉(zhuǎn)發(fā);端端口接收的其它報(bào)文(源口接收的其它報(bào)文(源IP地址、源地址、源MAC地址均不在地址均不在IP-MAC-端口綁定關(guān)端口綁定關(guān)系表中的報(bào)文)系表中的報(bào)文) 丟棄丟棄 官網(wǎng)對(duì)這種

8、情況下的配置介紹有誤,已向產(chǎn)品官網(wǎng)對(duì)這種情況下的配置介紹有誤,已向產(chǎn)品線確認(rèn)為線確認(rèn)為“丟棄丟棄”,請(qǐng)與下面情況區(qū)分,請(qǐng)與下面情況區(qū)分。l全局的全局的 MAC+IP綁定,沒(méi)有限定端口,才是綁定,沒(méi)有限定端口,才是“若收到源若收到源IP地址與指定的地址與指定的IP地址相同的報(bào)文,則只有該報(bào)文的源地址相同的報(bào)文,則只有該報(bào)文的源MAC地址與指定的地址與指定的MAC地址相同地址相同時(shí),報(bào)文才能被轉(zhuǎn)發(fā);接收的其它報(bào)文(源時(shí),報(bào)文才能被轉(zhuǎn)發(fā);接收的其它報(bào)文(源IP地址、源地址、源MAC地址均不在地址均不在IP-MAC-端口綁定關(guān)系表中的報(bào)文)可正常轉(zhuǎn)發(fā)。端口綁定關(guān)系表中的報(bào)文)可正常轉(zhuǎn)發(fā)。9典型配置典型

9、配置1進(jìn)入系統(tǒng)模式system-viewH3Cam user-bind mac-addr mac-address ip-addr ip-address interface interface-type interface-number 2進(jìn)入端口視圖H3Cinterface interface-type interface-numberH3C-interface-type interface-numberam user-bind ip-addr ip-address | mac-addr mac-address ip-addr ip-address 注:二者必選其一n 端口綁定介紹端口綁定介紹

10、n V3V3平臺(tái)交換機(jī)平臺(tái)交換機(jī)n V5V5平臺(tái)交換機(jī)平臺(tái)交換機(jī)n ARP DetectionARP Detection在端口綁定中的應(yīng)用在端口綁定中的應(yīng)用n FAQFAQ& &問(wèn)題排查問(wèn)題排查目錄目錄11實(shí)現(xiàn)特性實(shí)現(xiàn)特性l 靜態(tài)綁定表項(xiàng)靜態(tài)綁定表項(xiàng)1. 全局靜態(tài)綁定表項(xiàng)全局靜態(tài)綁定表項(xiàng)全局靜態(tài)綁定表項(xiàng)是在系統(tǒng)視圖下配置的綁定了全局靜態(tài)綁定表項(xiàng)是在系統(tǒng)視圖下配置的綁定了IP地址和地址和MAC地址的地址的表項(xiàng),這類表項(xiàng)在設(shè)備的所有端口上生效,允許端口正常轉(zhuǎn)發(fā)表項(xiàng),這類表項(xiàng)在設(shè)備的所有端口上生效,允許端口正常轉(zhuǎn)發(fā)IP地址地址和和MAC地址均與全局靜態(tài)綁定表項(xiàng)匹配的報(bào)文地址均與全局靜態(tài)綁定表項(xiàng)匹配的

11、報(bào)文。2. 端口靜態(tài)綁定表項(xiàng)端口靜態(tài)綁定表項(xiàng)端口靜態(tài)綁定是在端口上配置的綁定了端口靜態(tài)綁定是在端口上配置的綁定了IP地址、地址、MAC地址以及相關(guān)組地址以及相關(guān)組合的表項(xiàng),這類表項(xiàng)僅在當(dāng)前端口上生效。合的表項(xiàng),這類表項(xiàng)僅在當(dāng)前端口上生效。l 動(dòng)態(tài)綁定表項(xiàng)動(dòng)態(tài)綁定表項(xiàng)根據(jù)根據(jù)DHCP的相關(guān)表項(xiàng)動(dòng)態(tài)生成綁定表項(xiàng)來(lái)完成端口控制功能,通常的相關(guān)表項(xiàng)動(dòng)態(tài)生成綁定表項(xiàng)來(lái)完成端口控制功能,通常適用于局域網(wǎng)絡(luò)中主機(jī)較多,并且采用適用于局域網(wǎng)絡(luò)中主機(jī)較多,并且采用DHCP進(jìn)行動(dòng)態(tài)主機(jī)配置的情進(jìn)行動(dòng)態(tài)主機(jī)配置的情況。其原理是每當(dāng)況。其原理是每當(dāng)DHCP為用戶分配為用戶分配IP地址而生成一條地址而生成一條DHCP表

12、項(xiàng)時(shí),表項(xiàng)時(shí),端口綁定功能就相應(yīng)地增加一條綁定表項(xiàng)以允許該用戶訪問(wèn)網(wǎng)絡(luò)。如端口綁定功能就相應(yīng)地增加一條綁定表項(xiàng)以允許該用戶訪問(wèn)網(wǎng)絡(luò)。如果某個(gè)用戶私自設(shè)置果某個(gè)用戶私自設(shè)置IP地址,則不會(huì)觸發(fā)設(shè)備生成相應(yīng)的地址,則不會(huì)觸發(fā)設(shè)備生成相應(yīng)的DHCP表項(xiàng),表項(xiàng),因此端口綁定功能也不會(huì)增加相應(yīng)的訪問(wèn)規(guī)則來(lái)允許該用戶訪問(wèn)網(wǎng)絡(luò)。因此端口綁定功能也不會(huì)增加相應(yīng)的訪問(wèn)規(guī)則來(lái)允許該用戶訪問(wèn)網(wǎng)絡(luò)。12典型配置典型配置l V5V5平臺(tái)交換機(jī)平臺(tái)交換機(jī) system-viewDeviceA interface gigabitethernet 1/0/2DeviceA-GigabitEthernet1/0/2 user-

13、bind ip-address 192.168.0.3 mac-address 0001-0203-0405新版本:DeviceA-GigabitEthernet1/0/2 ip verify source ip-address mac-address / 配置IPv4動(dòng)態(tài)綁定功能DeviceA interface gigabitethernet 1/0/2DeviceA-GigabitEthernet1/0/2 ip source binding ip-address 192.168.0.3 mac-address 0001-0203-0405新新版本版本靜態(tài)綁定表項(xiàng)必須與端口上配置的版本版

14、本靜態(tài)綁定表項(xiàng)必須與端口上配置的IPv4動(dòng)態(tài)綁定動(dòng)態(tài)綁定功能配合使用才能生效。功能配合使用才能生效。n 端口綁定介紹端口綁定介紹n V3V3平臺(tái)交換機(jī)平臺(tái)交換機(jī)n V5V5平臺(tái)交換機(jī)平臺(tái)交換機(jī)n ARP DetectionARP Detection在端口綁定中的應(yīng)用在端口綁定中的應(yīng)用n FAQFAQ& &問(wèn)題排查問(wèn)題排查目錄目錄14ARP Detection簡(jiǎn)介簡(jiǎn)介l ARP Detection功能主要應(yīng)用于接入設(shè)備上,對(duì)于功能主要應(yīng)用于接入設(shè)備上,對(duì)于合法用戶的合法用戶的ARP報(bào)文進(jìn)行正常轉(zhuǎn)發(fā),否則直接丟報(bào)文進(jìn)行正常轉(zhuǎn)發(fā),否則直接丟棄,從而防止仿冒用戶、仿冒網(wǎng)關(guān)的攻擊。棄,從而防止仿冒用戶、

15、仿冒網(wǎng)關(guān)的攻擊。l ARP Detection包含三個(gè)功能:包含三個(gè)功能:用戶合法性檢查用戶合法性檢查、ARP報(bào)文有效性檢查、報(bào)文有效性檢查、ARP報(bào)文強(qiáng)制轉(zhuǎn)發(fā)。報(bào)文強(qiáng)制轉(zhuǎn)發(fā)。涉及到和端口綁定配合的功能就是用戶合法性檢查用戶合法性檢查15用戶合法性檢查用戶合法性檢查l 對(duì)于對(duì)于ARP信任端口,不進(jìn)行用戶合法性檢查;對(duì)于信任端口,不進(jìn)行用戶合法性檢查;對(duì)于ARP非非信任端口,需要進(jìn)行用戶合法性檢查,以防止仿冒用戶的信任端口,需要進(jìn)行用戶合法性檢查,以防止仿冒用戶的攻擊。攻擊。l 用戶合法性檢查是根據(jù)用戶合法性檢查是根據(jù)ARP報(bào)文中源報(bào)文中源IP地址和源地址和源MAC地址地址檢查用戶是否是所屬檢查

16、用戶是否是所屬VLAN所在端口上的合法用戶,包括所在端口上的合法用戶,包括基于配置規(guī)則的檢查、基于配置規(guī)則的檢查、基于基于IP 靜態(tài)綁定表項(xiàng)的檢查靜態(tài)綁定表項(xiàng)的檢查、基于、基于DHCP Snooping安全表項(xiàng)的檢查、基于安全表項(xiàng)的檢查、基于802.1X安全表項(xiàng)安全表項(xiàng)的檢查和的檢查和OUI MAC地址的檢查。地址的檢查。l 只要符合三者中任何一個(gè),就認(rèn)為該只要符合三者中任何一個(gè),就認(rèn)為該ARP報(bào)文合法,進(jìn)行報(bào)文合法,進(jìn)行轉(zhuǎn)發(fā)。轉(zhuǎn)發(fā)。 如果所有檢查都沒(méi)有找到匹配項(xiàng),則認(rèn)為是非法報(bào)如果所有檢查都沒(méi)有找到匹配項(xiàng),則認(rèn)為是非法報(bào)文,直接丟棄。文,直接丟棄。16ARP Detection端口綁定中應(yīng)用

17、端口綁定中應(yīng)用l V3平臺(tái)在原有特性的基礎(chǔ)上,平臺(tái)在原有特性的基礎(chǔ)上,配置全局配置全局IP+MAC綁定后綁定后,所有報(bào)文必須所有報(bào)文必須IP和和MAC完全符合綁定配置項(xiàng),設(shè)備才允許完全符合綁定配置項(xiàng),設(shè)備才允許報(bào)文通過(guò)轉(zhuǎn)發(fā)報(bào)文通過(guò)轉(zhuǎn)發(fā)l V5平臺(tái)平臺(tái)新版本新版本在原有特性的基礎(chǔ)上,配置在原有特性的基礎(chǔ)上,配置IP+MAC綁定后,綁定后,無(wú)論全局還是端口下的靜態(tài)綁定,所有報(bào)文必須無(wú)論全局還是端口下的靜態(tài)綁定,所有報(bào)文必須IP和和MAC完全符合綁定配置項(xiàng),設(shè)備才允許報(bào)文通過(guò)轉(zhuǎn)發(fā)。完全符合綁定配置項(xiàng),設(shè)備才允許報(bào)文通過(guò)轉(zhuǎn)發(fā)。且在不且在不配置動(dòng)態(tài)綁定功能的情況下就可以實(shí)現(xiàn)綁定效果配置動(dòng)態(tài)綁定功能的情況

18、下就可以實(shí)現(xiàn)綁定效果l 功能配置功能配置進(jìn)入VLAN視圖H3Cvlan vlan-id 使能ARP Detection功能H3C-vlan-id arp detection enable n 端口綁定介紹端口綁定介紹n V3V3平臺(tái)交換機(jī)平臺(tái)交換機(jī)n V5V5平臺(tái)交換機(jī)平臺(tái)交換機(jī)n ARP DetectionARP Detection在端口綁定中的應(yīng)用在端口綁定中的應(yīng)用n FAQFAQ& &問(wèn)題排查問(wèn)題排查目錄目錄18FAQl端口綁定是一種占用端口綁定是一種占用ACLACL資源的接入控制方法,如果設(shè)備資源的接入控制方法,如果設(shè)備ACLACL資源已經(jīng)不足,添加條目會(huì)報(bào)資源已經(jīng)不足,添加條目會(huì)報(bào)錯(cuò)

19、,提示資源不足。錯(cuò),提示資源不足。l建議不要在端口下同時(shí)下發(fā)建議不要在端口下同時(shí)下發(fā)ACAC包過(guò)濾策略和端口綁定的配置,若是全局下發(fā)的,覆蓋的網(wǎng)段包過(guò)濾策略和端口綁定的配置,若是全局下發(fā)的,覆蓋的網(wǎng)段范圍盡量不要重疊,否則可能出現(xiàn)配置不生效的異?,F(xiàn)象。范圍盡量不要重疊,否則可能出現(xiàn)配置不生效的異常現(xiàn)象。l在我司交換機(jī)上有些產(chǎn)品只支持在我司交換機(jī)上有些產(chǎn)品只支持IPMAC端口三者同時(shí)綁定,有些可以綁定三者中任意二端口三者同時(shí)綁定,有些可以綁定三者中任意二者,即者,即IP端口、端口、MAC端口、端口、IPMAC這三種綁定。這三種綁定。H3CS5600/S3900/S5600/S5100EI系系列產(chǎn)

20、品只支持三者同時(shí)綁定;列產(chǎn)品只支持三者同時(shí)綁定;S3600EI/S3000系列中系列中S3026EFGTC/S3026C-PWR/S3050C/S3928支持三者同時(shí)綁定或任意兩者的綁定;支持三者同時(shí)綁定或任意兩者的綁定;S3500系列設(shè)備除了系列設(shè)備除了S3526EC外外都不支持上述三者或任意兩者綁定;都不支持上述三者或任意兩者綁定;S5000系列設(shè)備支持三者或任意兩者綁定;系列設(shè)備支持三者或任意兩者綁定;H3C S5500-SI、S2000C/S2000-EI、S3100SI系列設(shè)備不支持三者或任意兩者的綁定。系列設(shè)備不支持三者或任意兩者的綁定。l若已配置若已配置IPv4IPv4綁定表項(xiàng)數(shù)

21、目的最大值綁定表項(xiàng)數(shù)目的最大值ip verify source max-entries numberip verify source max-entries number端口將不再允許端口將不再允許添加新的添加新的IPv4IPv4綁定表項(xiàng)。但如果要配置的綁定表項(xiàng)。但如果要配置的IPv4IPv4綁定表項(xiàng)數(shù)目的最大值小于當(dāng)前端口上已存在的綁定表項(xiàng)數(shù)目的最大值小于當(dāng)前端口上已存在的IPv4IPv4綁定表項(xiàng)總數(shù),則該最大值可以配置成功,且原有的表項(xiàng)不受影響,但端口將不再允許新綁定表項(xiàng)總數(shù),則該最大值可以配置成功,且原有的表項(xiàng)不受影響,但端口將不再允許新增增IPv4IPv4綁定表項(xiàng)綁定表項(xiàng)l加入聚合組或加入業(yè)務(wù)環(huán)回組的端口上不能配置加入聚合組或加入業(yè)務(wù)環(huán)回組的端口上不能配置IP Source GuardIP Source Guard功能功能l在在IPv4IPv4靜態(tài)綁定表項(xiàng)與靜態(tài)綁定表項(xiàng)與ARP DetectionARP Detection功能配合時(shí),靜態(tài)綁定表項(xiàng)中必須指定功能配合時(shí),靜態(tài)綁定表項(xiàng)中必須指定VLANVLAN參數(shù),且參數(shù),且該該VLANVLAN為使能為使能ARP DetectionARP Detection功

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論