綁定地址解決非法接入

筆者單位局域網(wǎng)為樓層交換的方式，各部門劃分Vlan，通過二層接入交換機(jī)連接三層核心，實(shí)現(xiàn)跨網(wǎng)段訪問，IP地址采用靜態(tài)分配，網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。因單位人員增多，常出現(xiàn)未經(jīng)批準(zhǔn)直接入網(wǎng)的情況，導(dǎo)致IP地址經(jīng)常沖突。

為了徹底解決上述問題，網(wǎng)管中心決定在二層接入交換機(jī)，將用戶IP和MAC地址進(jìn)行綁定，新增用戶填寫入網(wǎng)申請(qǐng)后，由網(wǎng)管中心重新分配地址并進(jìn)行綁定，這樣既能防止非法接入又能避免因私自更改IP地址引起沖突。

單位所接入交換機(jī)為銳捷S29系列，其支持多種IP安全應(yīng)用，例如IP Source Guard、全局IP+MAC綁定、端口安全等等。這些安全應(yīng)用通過對(duì)用戶IP報(bào)文進(jìn)行數(shù)據(jù)過濾，從而避免網(wǎng)絡(luò)中的非法用戶使用網(wǎng)絡(luò)資源。

圖1 網(wǎng)絡(luò)拓?fù)鋱D

IP Source Guard是基于 DHCP Snooping的， 在DHCP模型中可以有效的保證網(wǎng)絡(luò)中DHCP客戶端能夠正常使用網(wǎng)絡(luò)，因單位是采用靜態(tài)分配地址方式，所以對(duì)IP Source Guard這里不做詳解。

端口安全功能通過報(bào)文的源MAC地址來限定報(bào)文是否可以進(jìn)入交換機(jī)的端口,可以設(shè)定端口安全地址綁定IP+MAC，或者僅綁定 IP，用來限制必須符合綁定的以端口安全地址為源MAC地址的報(bào)文才能進(jìn)入交換機(jī)通信。

符合IP+MAC或者IP綁定的安全地址的IP報(bào)文和ARP報(bào)文可以進(jìn)入交換機(jī)。這種綁定方法優(yōu)點(diǎn)是控制嚴(yán)格，安全系數(shù)高。缺點(diǎn)是管理員必須配置并搜集所有用戶IP和MAC，確定其對(duì)應(yīng)交換機(jī)端口，且用戶和端口一一對(duì)應(yīng)，不能靈活遷移。

全局IP+MAC綁定方式是通過全局IP+MAC綁定功能將用戶正確的IP和MAC寫入交換機(jī)的硬件表項(xiàng)，使用ARP-CHECK功能校驗(yàn)ARP報(bào)文的正確性。如果合法用戶的信息漏綁定了，或是非法的IP、MAC接入網(wǎng)絡(luò)，ARP校驗(yàn)都將失敗，這樣的用戶將無法使用網(wǎng)絡(luò)。

優(yōu)點(diǎn)是應(yīng)用硬件方式直接校驗(yàn)ARP報(bào)文，管理員不需要知道每個(gè)用戶連接在交換機(jī)具體端口，用戶可在本交換機(jī)端口靈活遷移。缺點(diǎn)是控制力比端口綁定方式弱，且管理員同樣需要配置并搜集所有用戶IP和MAC。

因筆者單位人員較多，臨時(shí)變動(dòng)比較頻繁，所以采用更加靈活的全局綁定模式。

配置地址綁定

1.進(jìn)入全局配置模式

Ruijie#configure terminal

2.配置IP地址和MAC地址的綁定關(guān)系

Ruijie(config)#addres s-bind 192.168.1.11 0013.77f3.e654

綁定IP為192.168.1.11 MAC為0013.77f3.e654的用戶。

3.配置上聯(lián)端口為例外

Ruijie(config)#addres s-b i n d u p l i n k GigabitEthernet 0/51

設(shè)置上聯(lián)口為51口，該端口不受檢查，所有用戶的報(bào)文均可以通過。

4.使IP和MAC 地址綁定生效

mac-addressRuijie(con fig)#address-bind install

全局啟用該功能。

5.保存配置

Ruijie#write

注 意 ：S2900系 列 設(shè) 備IPv4+MAC最大支持的個(gè)數(shù)為1K。

在全局配置模式下使用no address-bind ipaddress mac-address 刪除一個(gè)IP地址和MAC地址的綁定項(xiàng)。

圖2 配置全局IP+MAC綁定

圖3 Arp Check 功能與其它安全功能

通過no address-bind install命令可關(guān)閉綁定功能，使地址綁定配置不生效。

通過show address-bind命令可以查看配置情況，如圖2所示。

配置ARP Check

在支持ARP Check功能的交換機(jī)中，ARP Check功能能夠根據(jù)這些應(yīng)用模塊所合法用戶信息(IP或IP+MAC)產(chǎn)生相應(yīng)的ARP過濾信息，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中的非法ARP報(bào)文的過濾，如圖3所示。

交換機(jī)各安全功能模塊產(chǎn)生的合法用戶信息(僅有IP或 IP＋ MAC)，ARP-Check功能使用這些信息用于檢測(cè)邏輯端口下的所有的ARP報(bào)文中的Sender IP字段或是否滿足合法用戶信息表中的匹配關(guān)系，所有不在合法用戶信息表中的ARP 報(bào)文將被丟棄。

ARP Check有2種模式，分別是打開和關(guān)閉，默認(rèn)為關(guān)閉。

1.進(jìn)入全局模式

Ruijie# configure t

2.進(jìn)入接口模式

Ruijie(config)#interf ace GigabitEthernet 0/1

3.設(shè)置ARP-Check為打開模式

Ruijie(config-if)#arp-check

4.查看ARP-Check 產(chǎn)生表項(xiàng)信息

R u i j i e#s h o w interfaces arp-check list

這樣就完成了IP和MAC綁定，未經(jīng)許可并綁定的用戶無法聯(lián)網(wǎng)，解決了非法接入和地址沖突問題。

注意：在操作中發(fā)現(xiàn)：ARP Check功能會(huì)在配置全局IP＋MAC綁定并且第一次添加(刪除最后一個(gè))合法用戶后將觸發(fā)ARP Check打開(關(guān)閉)檢測(cè)。如果只是配置綁定及端口校驗(yàn)，不添加合法用戶的話配置并不會(huì)生效。