端口綁定-培訓(xùn)學(xué)習(xí)

1、端口綁定端口綁定ISSUE 3.0日期：2009-04-27杭州華三通信技術(shù)有限公司 版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播n 綁定是一種簡單的安全機制，通過交換機上的綁定功能，可以對端口轉(zhuǎn)發(fā)的報文進行過濾控制。當端口接收到報文后查找綁定表項，如果報文中的特征項與綁定表項中記錄的特征項匹配，則端口轉(zhuǎn)發(fā)該報文，否則做丟棄處理。目前交換機提供靈活的綁定策略引入引入n 掌握端口綁定的基本原理掌握端口綁定的基本原理n 掌握掌握V3交換機端口綁定的典型配置和特性交換機端口綁定的典型配置和特性n 掌握掌握V5交換機端口綁定的典型配置和特性交換機端口綁定的典型配置和特性n 掌握掌握ARP Detection和和端

2、口綁定配合使用端口綁定配合使用方法方法課程目標課程目標學(xué)習(xí)完本課程，您應(yīng)該能夠：學(xué)習(xí)完本課程，您應(yīng)該能夠：n 端口綁定介紹端口綁定介紹n V3V3平臺交換機平臺交換機n V5V5平臺交換機平臺交換機n ARP DetectionARP Detection在端口綁定中的應(yīng)用在端口綁定中的應(yīng)用n FAQFAQ& &問題排查問題排查目錄目錄4綁綁定的分類定的分類l 靜態(tài)靜態(tài)ARP表項表項手工添加長靜態(tài)手工添加長靜態(tài)ARPARP表項：表項：arp static arp static ip-address mac-address vlan-id interface-type interface-numb

3、er手工添加短靜態(tài)手工添加短靜態(tài)ARPARP表項：表項：arp static arp static ip-address mac-address l 靜態(tài)靜態(tài)MACMAC地址表項地址表項mac-address static mac-address static mac-address interface interface-type interface-number vlan vlan-5端端口綁定的原理口綁定的原理l 端端口綁定口綁定通過在設(shè)備接入用戶側(cè)的端口上啟用端口綁定功能，通過在設(shè)備接入用戶側(cè)的端口上啟用端口綁定功能，可以對端口收到的報文進行過濾控制，防止非法可以對端口收到的報文進行過

4、濾控制，防止非法報文通過端口，從而限制了對網(wǎng)絡(luò)資源的非法使報文通過端口，從而限制了對網(wǎng)絡(luò)資源的非法使用（比如非法主機仿冒合法用戶用（比如非法主機仿冒合法用戶IPIP接入網(wǎng)絡(luò)），接入網(wǎng)絡(luò)），提高了端口的安全性。提高了端口的安全性。端口綁定在端口上用于過濾報文的特征項包括：源端口綁定在端口上用于過濾報文的特征項包括：源IPIP地址、源地址、源MACMAC地址。這些特征項可單獨或組合地址。這些特征項可單獨或組合起來與端口進行綁定，形成綁定表項，具體包括：起來與端口進行綁定，形成綁定表項，具體包括：IPIP、MACMAC、IPIPMACMAC。6端端口綁定的特點口綁定的特點l 如圖如圖1-11-1所示

5、，配置了所示，配置了IP Source GuardIP Source Guard的端口接收到報文后查找的端口接收到報文后查找IP IP Source GuardSource Guard綁定表項，如果報文中的特征項與綁定表項中記錄的綁定表項，如果報文中的特征項與綁定表項中記錄的特征項匹配，則端口轉(zhuǎn)發(fā)該報文，否則做丟棄處理。特征項匹配，則端口轉(zhuǎn)發(fā)該報文，否則做丟棄處理。綁定功能是針對綁定功能是針對端口的，一個端口配置了綁定功能后，僅該端口被限制，其他端口不端口的，一個端口配置了綁定功能后，僅該端口被限制，其他端口不受該綁定影響受該綁定影響。n 端口綁定介紹端口綁定介紹n V3V3平臺交換機平臺交換

6、機n V5V5平臺交換機平臺交換機n ARP DetectionARP Detection在端口綁定中的應(yīng)用在端口綁定中的應(yīng)用n FAQFAQ& &問題排查問題排查目錄目錄8實實現(xiàn)特性現(xiàn)特性l端口端口+IP綁定：將報文的接收端口和用戶的綁定：將報文的接收端口和用戶的IP地址綁定。此時，交換機地址綁定。此時，交換機只對從該端口收到的指定只對從該端口收到的指定IP地址的用戶發(fā)出的報文進行轉(zhuǎn)發(fā)。地址的用戶發(fā)出的報文進行轉(zhuǎn)發(fā)。l端口端口+MAC地址綁定：將報文的接收端口和用戶的地址綁定：將報文的接收端口和用戶的MAC地址綁定。此地址綁定。此時，交換機只對從該端口收到的指定時，交換機只對從該端口收到的指

7、定MAC地址的用戶發(fā)出的報文進行轉(zhuǎn)地址的用戶發(fā)出的報文進行轉(zhuǎn)發(fā)。發(fā)。l端口端口+MAC地址地址+IP綁定：將用戶的綁定：將用戶的MAC地址、地址、IP地址和報文的接收端地址和報文的接收端口綁定。此時，端口若收到源口綁定。此時，端口若收到源IP地址與指定的地址與指定的IP地址相同的報文，則只地址相同的報文，則只有該報文的源有該報文的源MAC地址與指定的地址與指定的MAC地址相同時，報文才能被轉(zhuǎn)發(fā)；地址相同時，報文才能被轉(zhuǎn)發(fā)；端端口接收的其它報文（源口接收的其它報文（源IP地址、源地址、源MAC地址均不在地址均不在IP-MAC-端口綁定關(guān)端口綁定關(guān)系表中的報文）系表中的報文） 丟棄丟棄 官網(wǎng)對這種

8、情況下的配置介紹有誤，已向產(chǎn)品官網(wǎng)對這種情況下的配置介紹有誤，已向產(chǎn)品線確認為線確認為“丟棄丟棄”，請與下面情況區(qū)分，請與下面情況區(qū)分。l全局的全局的 MAC+IP綁定，沒有限定端口，才是綁定，沒有限定端口，才是“若收到源若收到源IP地址與指定的地址與指定的IP地址相同的報文，則只有該報文的源地址相同的報文，則只有該報文的源MAC地址與指定的地址與指定的MAC地址相同地址相同時，報文才能被轉(zhuǎn)發(fā)；接收的其它報文（源時，報文才能被轉(zhuǎn)發(fā)；接收的其它報文（源IP地址、源地址、源MAC地址均不在地址均不在IP-MAC-端口綁定關(guān)系表中的報文）可正常轉(zhuǎn)發(fā)。端口綁定關(guān)系表中的報文）可正常轉(zhuǎn)發(fā)。9典型配置典型

9、配置1進入系統(tǒng)模式system-viewH3Cam user-bind mac-addr mac-address ip-addr ip-address interface interface-type interface-number 2進入端口視圖H3Cinterface interface-type interface-numberH3C-interface-type interface-numberam user-bind ip-addr ip-address | mac-addr mac-address ip-addr ip-address 注：二者必選其一n 端口綁定介紹端口綁定介紹

10、n V3V3平臺交換機平臺交換機n V5V5平臺交換機平臺交換機n ARP DetectionARP Detection在端口綁定中的應(yīng)用在端口綁定中的應(yīng)用n FAQFAQ& &問題排查問題排查目錄目錄11實現(xiàn)特性實現(xiàn)特性l 靜態(tài)綁定表項靜態(tài)綁定表項1. 全局靜態(tài)綁定表項全局靜態(tài)綁定表項全局靜態(tài)綁定表項是在系統(tǒng)視圖下配置的綁定了全局靜態(tài)綁定表項是在系統(tǒng)視圖下配置的綁定了IP地址和地址和MAC地址的地址的表項，這類表項在設(shè)備的所有端口上生效，允許端口正常轉(zhuǎn)發(fā)表項，這類表項在設(shè)備的所有端口上生效，允許端口正常轉(zhuǎn)發(fā)IP地址地址和和MAC地址均與全局靜態(tài)綁定表項匹配的報文地址均與全局靜態(tài)綁定表項匹配的

11、報文。2. 端口靜態(tài)綁定表項端口靜態(tài)綁定表項端口靜態(tài)綁定是在端口上配置的綁定了端口靜態(tài)綁定是在端口上配置的綁定了IP地址、地址、MAC地址以及相關(guān)組地址以及相關(guān)組合的表項，這類表項僅在當前端口上生效。合的表項，這類表項僅在當前端口上生效。l 動態(tài)綁定表項動態(tài)綁定表項根據(jù)根據(jù)DHCP的相關(guān)表項動態(tài)生成綁定表項來完成端口控制功能，通常的相關(guān)表項動態(tài)生成綁定表項來完成端口控制功能，通常適用于局域網(wǎng)絡(luò)中主機較多，并且采用適用于局域網(wǎng)絡(luò)中主機較多，并且采用DHCP進行動態(tài)主機配置的情進行動態(tài)主機配置的情況。其原理是每當況。其原理是每當DHCP為用戶分配為用戶分配IP地址而生成一條地址而生成一條DHCP表

12、項時，表項時，端口綁定功能就相應(yīng)地增加一條綁定表項以允許該用戶訪問網(wǎng)絡(luò)。如端口綁定功能就相應(yīng)地增加一條綁定表項以允許該用戶訪問網(wǎng)絡(luò)。如果某個用戶私自設(shè)置果某個用戶私自設(shè)置IP地址，則不會觸發(fā)設(shè)備生成相應(yīng)的地址，則不會觸發(fā)設(shè)備生成相應(yīng)的DHCP表項，表項，因此端口綁定功能也不會增加相應(yīng)的訪問規(guī)則來允許該用戶訪問網(wǎng)絡(luò)。因此端口綁定功能也不會增加相應(yīng)的訪問規(guī)則來允許該用戶訪問網(wǎng)絡(luò)。12典型配置典型配置l V5V5平臺交換機平臺交換機 system-viewDeviceA interface gigabitethernet 1/0/2DeviceA-GigabitEthernet1/0/2 user-

13、bind ip-address 192.168.0.3 mac-address 0001-0203-0405新版本：DeviceA-GigabitEthernet1/0/2 ip verify source ip-address mac-address / 配置IPv4動態(tài)綁定功能DeviceA interface gigabitethernet 1/0/2DeviceA-GigabitEthernet1/0/2 ip source binding ip-address 192.168.0.3 mac-address 0001-0203-0405新新版本版本靜態(tài)綁定表項必須與端口上配置的版本版

14、本靜態(tài)綁定表項必須與端口上配置的IPv4動態(tài)綁定動態(tài)綁定功能配合使用才能生效。功能配合使用才能生效。n 端口綁定介紹端口綁定介紹n V3V3平臺交換機平臺交換機n V5V5平臺交換機平臺交換機n ARP DetectionARP Detection在端口綁定中的應(yīng)用在端口綁定中的應(yīng)用n FAQFAQ& &問題排查問題排查目錄目錄14ARP Detection簡介簡介l ARP Detection功能主要應(yīng)用于接入設(shè)備上，對于功能主要應(yīng)用于接入設(shè)備上，對于合法用戶的合法用戶的ARP報文進行正常轉(zhuǎn)發(fā)，否則直接丟報文進行正常轉(zhuǎn)發(fā)，否則直接丟棄，從而防止仿冒用戶、仿冒網(wǎng)關(guān)的攻擊。棄，從而防止仿冒用戶、

15、仿冒網(wǎng)關(guān)的攻擊。l ARP Detection包含三個功能：包含三個功能：用戶合法性檢查用戶合法性檢查、ARP報文有效性檢查、報文有效性檢查、ARP報文強制轉(zhuǎn)發(fā)。報文強制轉(zhuǎn)發(fā)。涉及到和端口綁定配合的功能就是用戶合法性檢查用戶合法性檢查15用戶合法性檢查用戶合法性檢查l 對于對于ARP信任端口，不進行用戶合法性檢查；對于信任端口，不進行用戶合法性檢查；對于ARP非非信任端口，需要進行用戶合法性檢查，以防止仿冒用戶的信任端口，需要進行用戶合法性檢查，以防止仿冒用戶的攻擊。攻擊。l 用戶合法性檢查是根據(jù)用戶合法性檢查是根據(jù)ARP報文中源報文中源IP地址和源地址和源MAC地址地址檢查用戶是否是所屬檢查

16、用戶是否是所屬VLAN所在端口上的合法用戶，包括所在端口上的合法用戶，包括基于配置規(guī)則的檢查、基于配置規(guī)則的檢查、基于基于IP 靜態(tài)綁定表項的檢查靜態(tài)綁定表項的檢查、基于、基于DHCP Snooping安全表項的檢查、基于安全表項的檢查、基于802.1X安全表項安全表項的檢查和的檢查和OUI MAC地址的檢查。地址的檢查。l 只要符合三者中任何一個，就認為該只要符合三者中任何一個，就認為該ARP報文合法，進行報文合法，進行轉(zhuǎn)發(fā)。轉(zhuǎn)發(fā)。 如果所有檢查都沒有找到匹配項，則認為是非法報如果所有檢查都沒有找到匹配項，則認為是非法報文，直接丟棄。文，直接丟棄。16ARP Detection端口綁定中應(yīng)用

17、端口綁定中應(yīng)用l V3平臺在原有特性的基礎(chǔ)上，平臺在原有特性的基礎(chǔ)上，配置全局配置全局IP+MAC綁定后綁定后，所有報文必須所有報文必須IP和和MAC完全符合綁定配置項，設(shè)備才允許完全符合綁定配置項，設(shè)備才允許報文通過轉(zhuǎn)發(fā)報文通過轉(zhuǎn)發(fā)l V5平臺平臺新版本新版本在原有特性的基礎(chǔ)上，配置在原有特性的基礎(chǔ)上，配置IP+MAC綁定后，綁定后，無論全局還是端口下的靜態(tài)綁定，所有報文必須無論全局還是端口下的靜態(tài)綁定，所有報文必須IP和和MAC完全符合綁定配置項，設(shè)備才允許報文通過轉(zhuǎn)發(fā)。完全符合綁定配置項，設(shè)備才允許報文通過轉(zhuǎn)發(fā)。且在不且在不配置動態(tài)綁定功能的情況下就可以實現(xiàn)綁定效果配置動態(tài)綁定功能的情況

18、下就可以實現(xiàn)綁定效果l 功能配置功能配置進入VLAN視圖H3Cvlan vlan-id 使能ARP Detection功能H3C-vlan-id arp detection enable n 端口綁定介紹端口綁定介紹n V3V3平臺交換機平臺交換機n V5V5平臺交換機平臺交換機n ARP DetectionARP Detection在端口綁定中的應(yīng)用在端口綁定中的應(yīng)用n FAQFAQ& &問題排查問題排查目錄目錄18FAQl端口綁定是一種占用端口綁定是一種占用ACLACL資源的接入控制方法，如果設(shè)備資源的接入控制方法，如果設(shè)備ACLACL資源已經(jīng)不足，添加條目會報資源已經(jīng)不足，添加條目會報錯

19、，提示資源不足。錯，提示資源不足。l建議不要在端口下同時下發(fā)建議不要在端口下同時下發(fā)ACAC包過濾策略和端口綁定的配置，若是全局下發(fā)的，覆蓋的網(wǎng)段包過濾策略和端口綁定的配置，若是全局下發(fā)的，覆蓋的網(wǎng)段范圍盡量不要重疊，否則可能出現(xiàn)配置不生效的異?，F(xiàn)象。范圍盡量不要重疊，否則可能出現(xiàn)配置不生效的異?，F(xiàn)象。l在我司交換機上有些產(chǎn)品只支持在我司交換機上有些產(chǎn)品只支持IPMAC端口三者同時綁定，有些可以綁定三者中任意二端口三者同時綁定，有些可以綁定三者中任意二者，即者，即IP端口、端口、MAC端口、端口、IPMAC這三種綁定。這三種綁定。H3CS5600/S3900/S5600/S5100EI系系列產(chǎn)

20、品只支持三者同時綁定；列產(chǎn)品只支持三者同時綁定；S3600EI/S3000系列中系列中S3026EFGTC/S3026C-PWR/S3050C/S3928支持三者同時綁定或任意兩者的綁定；支持三者同時綁定或任意兩者的綁定；S3500系列設(shè)備除了系列設(shè)備除了S3526EC外外都不支持上述三者或任意兩者綁定；都不支持上述三者或任意兩者綁定；S5000系列設(shè)備支持三者或任意兩者綁定；系列設(shè)備支持三者或任意兩者綁定；H3C S5500-SI、S2000C/S2000-EI、S3100SI系列設(shè)備不支持三者或任意兩者的綁定。系列設(shè)備不支持三者或任意兩者的綁定。l若已配置若已配置IPv4IPv4綁定表項數(shù)

21、目的最大值綁定表項數(shù)目的最大值ip verify source max-entries numberip verify source max-entries number端口將不再允許端口將不再允許添加新的添加新的IPv4IPv4綁定表項。但如果要配置的綁定表項。但如果要配置的IPv4IPv4綁定表項數(shù)目的最大值小于當前端口上已存在的綁定表項數(shù)目的最大值小于當前端口上已存在的IPv4IPv4綁定表項總數(shù)，則該最大值可以配置成功，且原有的表項不受影響，但端口將不再允許新綁定表項總數(shù)，則該最大值可以配置成功，且原有的表項不受影響，但端口將不再允許新增增IPv4IPv4綁定表項綁定表項l加入聚合組或加入業(yè)務(wù)環(huán)回組的端口上不能配置加入聚合組或加入業(yè)務(wù)環(huán)回組的端口上不能配置IP Source GuardIP Source Guard功能功能l在在IPv4IPv4靜態(tài)綁定表項與靜態(tài)綁定表項與ARP DetectionARP Detection功能配合時，靜態(tài)綁定表項中必須指定功能配合時，靜態(tài)綁定表項中必須指定VLANVLAN參數(shù)，且參數(shù)，且該該VLANVLAN為使能為使能ARP DetectionARP Detection功