綁定地址解決非法接入

筆者單位局域網為樓層交換的方式，各部門劃分Vlan，通過二層接入交換機連接三層核心，實現跨網段訪問，IP地址采用靜態分配，網絡拓撲圖如圖1所示。因單位人員增多，常出現未經批準直接入網的情況，導致IP地址經常沖突。

為了徹底解決上述問題，網管中心決定在二層接入交換機，將用戶IP和MAC地址進行綁定，新增用戶填寫入網申請后，由網管中心重新分配地址并進行綁定，這樣既能防止非法接入又能避免因私自更改IP地址引起沖突。

單位所接入交換機為銳捷S29系列，其支持多種IP安全應用，例如IP Source Guard、全局IP+MAC綁定、端口安全等等。這些安全應用通過對用戶IP報文進行數據過濾，從而避免網絡中的非法用戶使用網絡資源。

圖1 網絡拓撲圖

IP Source Guard是基于 DHCP Snooping的， 在DHCP模型中可以有效的保證網絡中DHCP客戶端能夠正常使用網絡，因單位是采用靜態分配地址方式，所以對IP Source Guard這里不做詳解。

端口安全功能通過報文的源MAC地址來限定報文是否可以進入交換機的端口,可以設定端口安全地址綁定IP+MAC，或者僅綁定 IP，用來限制必須符合綁定的以端口安全地址為源MAC地址的報文才能進入交換機通信。

符合IP+MAC或者IP綁定的安全地址的IP報文和ARP報文可以進入交換機。這種綁定方法優點是控制嚴格，安全系數高。缺點是管理員必須配置并搜集所有用戶IP和MAC，確定其對應交換機端口，且用戶和端口一一對應，不能靈活遷移。

全局IP+MAC綁定方式是通過全局IP+MAC綁定功能將用戶正確的IP和MAC寫入交換機的硬件表項，使用ARP-CHECK功能校驗ARP報文的正確性。如果合法用戶的信息漏綁定了，或是非法的IP、MAC接入網絡，ARP校驗都將失敗，這樣的用戶將無法使用網絡。

優點是應用硬件方式直接校驗ARP報文，管理員不需要知道每個用戶連接在交換機具體端口，用戶可在本交換機端口靈活遷移。缺點是控制力比端口綁定方式弱，且管理員同樣需要配置并搜集所有用戶IP和MAC。

因筆者單位人員較多，臨時變動比較頻繁，所以采用更加靈活的全局綁定模式。

配置地址綁定

1.進入全局配置模式

Ruijie#configure terminal

2.配置IP地址和MAC地址的綁定關系

Ruijie(config)#addres s-bind 192.168.1.11 0013.77f3.e654

綁定IP為192.168.1.11 MAC為0013.77f3.e654的用戶。

3.配置上聯端口為例外

Ruijie(config)#addres s-b i n d u p l i n k GigabitEthernet 0/51

設置上聯口為51口，該端口不受檢查，所有用戶的報文均可以通過。

4.使IP和MAC 地址綁定生效

mac-addressRuijie(con fig)#address-bind install

全局啟用該功能。

5.保存配置

Ruijie#write

注 意 ：S2900系 列 設 備IPv4+MAC最大支持的個數為1K。

在全局配置模式下使用no address-bind ipaddress mac-address 刪除一個IP地址和MAC地址的綁定項。

圖2 配置全局IP+MAC綁定

圖3 Arp Check 功能與其它安全功能

通過no address-bind install命令可關閉綁定功能，使地址綁定配置不生效。

通過show address-bind命令可以查看配置情況，如圖2所示。

配置ARP Check

在支持ARP Check功能的交換機中，ARP Check功能能夠根據這些應用模塊所合法用戶信息(IP或IP+MAC)產生相應的ARP過濾信息，從而實現對網絡中的非法ARP報文的過濾，如圖3所示。

交換機各安全功能模塊產生的合法用戶信息(僅有IP或 IP＋ MAC)，ARP-Check功能使用這些信息用于檢測邏輯端口下的所有的ARP報文中的Sender IP字段或是否滿足合法用戶信息表中的匹配關系，所有不在合法用戶信息表中的ARP 報文將被丟棄。

ARP Check有2種模式，分別是打開和關閉，默認為關閉。

1.進入全局模式

Ruijie# configure t

2.進入接口模式

Ruijie(config)#interf ace GigabitEthernet 0/1

3.設置ARP-Check為打開模式

Ruijie(config-if)#arp-check

4.查看ARP-Check 產生表項信息

R u i j i e#s h o w interfaces arp-check list

這樣就完成了IP和MAC綁定，未經許可并綁定的用戶無法聯網，解決了非法接入和地址沖突問題。

注意：在操作中發現：ARP Check功能會在配置全局IP＋MAC綁定并且第一次添加(刪除最后一個)合法用戶后將觸發ARP Check打開(關閉)檢測。如果只是配置綁定及端口校驗，不添加合法用戶的話配置并不會生效。