作为IT人员,你是否经常有这样的困扰:总有些自以为是的人,喜欢修改IP地址,搞得局域网内经常有人报修,甚至直接改成了网关的IP地址,把整个网络都搞崩溃了。 这些内部矛盾其实还好,几次三番之后,大家也就老实了,还有一些是真正的攻击者,他们利用欺骗的手段获取到网络资源,会造成关键信息的泄露,这就比较危险了。 针对以上现象,我们必须对网络作出严格的配置:所有电脑全部配置静态的IP地址,在交换机上做接口限制,所有电脑从固定的接口上线;并且,为了安全考虑,不允许外来人员的电脑随意接入内网。 IPSG是针对基于源IP的攻击提供的一种防御机制,可以有效地防止基于源地址欺骗的网络攻击行为,正适用于上述配置要求。 一、IPSG工作原理IPSG是基于绑定表对IP报文进行匹配检查的功能。当设备在转发IP报文时,将此IP报文中的源IP、源MAC、接口、VLAN信息和绑定表的信息进行比较,如果信息匹配,表明是合法用户,则允许此报文正常转发,否则认为是攻击报文,那就丢弃该IP报文,攻击者无法接入网络,当然也就无法窃取资源了。 二、IPSG配置方法:1、磨刀不误砍柴工,开工先上拓扑图; 2、配置要求: (1)只允许PC1上互联网,其他电脑没有互联网权限; (2)配置静态绑定表,固定IP和mac地址绑定,擅自修改IP将无法接入网络; (3)私自携带进办公区域的电脑,无法接入网络。 3、配置过程: (1)核心交换机的配置: <Huawei>sys Enter system view, return user view with Ctrl+Z. [Huawei]sys Core //命名交换机 [Core]vlan 10 //创建vlan10 [Core-vlan10]int g0/0/1 [Core-GigabitEthernet0/0/1]p l t //1口配置为trunk模式 [Core-GigabitEthernet0/0/1]p t a v 10 //允许vlan10通过 [Core-GigabitEthernet0/0/1]int vlan 10 [Core-Vlanif10]ip add 192.168.10.254 24 //配置vlan的IP地址 [Core-Vlanif10]q [Core]acl 3001 //配置只允许PC1上网的ACL [Core-acl-adv-3001]rule permit ip source 192.168.10.1 0 [Core-acl-adv-3001]rule deny ip source 192.168.10.0 0.0.0.255 [Core-acl-adv-3001]q [Core]traffic classifier c1 //配置基于ACL的流分类 [Core-classifier-c1]if-match acl 3001 [Core-classifier-c1]q [Core]traffic behavior b1 //配置流行为 [Core-behavior-b1]permit [Core-behavior-b1]q [Core]traffic policy p1 //配置流策略 [Core-trafficpolicy-p1]classifier c1 behavior b1 [Core-trafficpolicy-p1]q [Core]int g0/0/2 [Core-GigabitEthernet0/0/2]traffic-policy p1 outbound //在2口应用流 [Core-GigabitEthernet0/0/2]return //返回 <Core>save //保存配置 (2)接入换机的配置: <Huawei>sys Enter system view, return user view with Ctrl+Z. [Huawei]sys Sw1 [Sw1]vlan 10 [Sw1-vlan10]ip source check user-bind enable //在VLAN10启用IPSG功能 [Sw1-vlan10]q [Sw1]int g0/0/3 [Sw1-GigabitEthernet0/0/3]p l t [Sw1-GigabitEthernet0/0/3]p t a v 10 [Sw1-GigabitEthernet0/0/3]int g0/0/1 [Sw1-GigabitEthernet0/0/1]p l a [Sw1-GigabitEthernet0/0/1]p d v 10 [Sw1-GigabitEthernet0/0/1]int g0/0/2 [Sw1-GigabitEthernet0/0/2]p l a [Sw1-GigabitEthernet0/0/2]p d v 10 [Sw1-GigabitEthernet0/0/2]q [Sw1]user-bind static ip-address 192.168.10.1 mac-address 5489-986A-4E77 interfa ce g0/0/1 //绑定IP、Mac及端口 [Sw1]user-bind static ip-address 192.168.10.2 mac-address 5489-9876-206F interfa ce g0/0/2 [Sw1]p g g0/0/1 to g0/0/2 [Sw1-port-group]ip source check user-bind en //在1-2端口启用IPSG功能 [Sw1-port-group]q 配置完成,查看静态绑定表信息是否正确:display dhcp static user-bind all 再确认一下,1-2接口是否已经启用IP绑定; <Sw1>sa //最后,别忘记保存配置,不然就白辛苦了 经过以上配置,PC1可以访问互联网,PC2无法访问互联网,即使将PC2的IP地址更改PC1的IP,还是不能上互联网的;其他未经许可的电脑,接入网线后局域网和互联网都是无法访问的,保证了局域网的安全。 这时候,IT终于可以“稳坐钓鱼台”了,想接入网络的,都得来排队请你出手了,嘿嘿。 |
|