2、全局IP&MAC绑定+ARP | 您所在的位置:网站首页 › mac地址绑定在什么硬件上使用 › 2、全局IP&MAC绑定+ARP |
应用场景: 此方案适用于无802.1X认证的环境,用户IP地址为静态分配的场景。管理员不需要知道每个用户连接在交换具体哪个端口下的,特别适用于客户对网络的互联端口,用户分布情况不清楚,或者下联用户PC存在随意移动端口的场景中。 优点:控制较为严格,但比端口安全的控制力度较弱,因为其地址不绑定到端口。应用硬件方式直接校验ARP报文,准确,无需消耗CPU。 缺点:必须一一配置并收集所有用户IP和MAC,配置较为繁杂,但比端口安全灵活,不需要确认IP对应的端口,适合于用户在本交换机端口灵活迁移 的需求场景。
功能简介: 全局IP&MAC绑定+ ARP-check方案:通过全局IP+MAC绑定(address-bind)功能将用户正确的IP与MAC写入交换机的硬件表项,使用ARP-check功能校验ARP报文的正确性。如果合法用户的信息漏绑定了,或者是非法的IP,MAC接入网络,ARP校验都将失败,这样的用户将无法使用网络。
一、组网需求 接入交换机下联PC使用静态设置IP地址,为了防止ARP欺骗,使用全局IP+MAC绑定形式+ARP-check方案解决ARP欺骗问题。
二、组网拓扑
三、配置要点 1、在接入交换机全局模式下进行IP+MAC绑定 2、在接入交换机上开启可信任端口 3、全局启用address-bind功能 4、在接入交换机连接用户的端口开启arp-check功能
四、配置步骤 核心交换机配置: 创建核心设备的IP地址,即用户的网关地址 Ruijie>enable Ruijie#configure terminal Ruijie(config)#interface vlan 10 Ruijie(config-if-VLAN 10)#ip address 192.168.1.254 255.255.255.0 Ruijie(config-if-VLAN 10)#end Ruijie#wr
接入交换机配置: Ruijie>enable Ruijie#configure terminal Ruijie(config)#address-bind 192.168.1.1 0021.cccf.6f70 ------>绑定IP为192.168.1.1 mac为0021.cccf.6f70的用户 Ruijie(config)#address-bind 192.168.1.2 0023.5abd.1975 ------>绑定IP为192.168.1.2 mac为0023.5abd.1975的用户 Ruijie(config)#address-bind uplink gigabitEthernet 0/25 ------>设置上联口为25口,该端口不受检查,所有用户的报文均可以通过 Ruijie(config)#address-bind install ------>全局启用该功能 Ruijie(config)#interface range fastEthernet 0/1-2 Ruijie(config-if-range)#arp-check------>接口下开启ARP-Check Ruijie(config-if-range)#end Ruijie#write ------>确认配置正确,保存配置
重要说明: 1、全局开启address-bind install后,对于匹配的用户均可以上网,但是对于未绑定或匹配错误的用户都不能上外网 2、对于绑定后的用户,对应的IPv6 报文无法通过,原因如果要让绑定正确用户同时能使用IPv6的地址进行访问,那么需要在交换机上开启IPv6模式为兼容模式,命令如下: Ruijie(config)#address-bind ipv6-mode ? compatible IPV6 compatible mode ------>兼容模式,绑定MAC用户可以用IPv6地址访问外网 loose IPV6 loose mode ------>宽松模式,所有IPv6地址均可访问IPv6网络 strict IPV6 strict mode (default: strict)------>严格模式:交换机默认工作在此模式,即使绑定正确的用户也无法使用IPv6地址进行访问外网
Ruijie(config)#address-bind ipv6-mode compatible 3、绑定的用户和接口无关,同一台交换机不受接口的控制,只要绑定正确,该用户可以在该交换机任意一个端口上网。
注意事项: 如果开启了安全通道(优先级高于1x认证),用户需求要认证前放通某些校内网页的IP,则必须允许用户ARP报文提前通过,这样用户才可以和网关通信,由于安全通道优先级更高,这将会导致防ARP欺骗功能失效。 Ruijie(config)#expert access-list extended permit1x Ruijie(config-exp-nacl)#permit ip any any host 211.58.23.11 any ------>放通允许认证前访问的校内主页地址 Ruijie(config-exp-nacl)#permit arp any any any any any ------>放通用户和网关间的ARP报文交互 Ruijie(config)#security global access-group permit1x
解决办法:不要使用permit arp any的方式,只放通到网关的ARP报文,这样用户间的ARP欺骗依然可以使用arp-check防止,但用户依然可以冒充其他用户来欺骗网关,不能彻底防止ARP欺骗。 Ruijie(config-exp-nacl)#permit arp any any any any host 192.168.1.254 ------>放通用户和网关间的ARP报文交互,如果交换机上有多个VLAN,需要放通多个网关的ARP
五、功能验证 1、查看被绑定的用户
2、查看例外端口
3、查看ARP-Check检测的用户
|
CopyRight 2018-2019 实验室设备网 版权所有 |