华为 IP源防攻击和MAC认证

大家好，又见面了，我是你们的朋友全栈君。

我是艺博东 ，一个正在努力学IT的码农；好了，话不多说，我们直接进入正文。

一、拓扑

eNSP模拟器可以正常配置，但是没出效果。

二、IPSG

1、简介

IP Source Guard：IP源防攻击：
（1）基于二层接口的源IP地址过滤技术，它能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机；

（2）确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。

2、原理

IPSG利用绑定表（源IP地址、源MAC地址、所属VLAN、入接口的绑定关系）去匹配检查二层接口上收到的IP报文，只有匹配绑定表的报文才允许通过，其他报文将被丢弃。

3、分类

（1）静态绑定表
手动配置合法源地址和mac地址和vlan 接口等对应关系，适用于主机数量较少且合法主机地址固定的情景；

（2）DHCP Snooping动态绑定表
配置DHCP Snooping功能后，DHCP主机动态获取IP地址时，设备根据DHCP服务器发送的DHCP回复的ACK报文动态生成。适用于主机数较多且主机从DHCP服务器获取IP地址的场景。

4、部署

（1）静态绑定 接口视图
接口视图下的IPSG只针对进入此接口的数据起到过滤的作用；

[AR-1]user-bind static ip-address 10.1.1.1 mac-address aaaa-bbbb-cccc vlan 1  //针对源IP10.1.1.1绑定MAC地址为aaaa-bbbb-cccc 合法vlan 为vlan1

[AR-1]int G0/0/1
[AR-1-GigabitEthernet0/0/1]ip source check user-bind enable                  //接口开启IPSG
[AR-1-GigabitEthernet0/0/1]ip source check user-bind check-item ip-address mac-address vlan //对进入此接口的数据进行IPSG过滤，匹配数据的源地址，mac地址和所属的vlan标签 
[AR-1-GigabitEthernet0/0/1]quit 

（2）静态绑定 Vlan视图
Vlan 视图下针对此vlan下的所有接口进入的数据起到过滤的作用；

[SW-1]user-bind static ip-address 172.168.1.1 mac-address a5aa-B9bb-cc4c interface GigabitEthernet 0/0/10 vlan 1
[SW-1]vlan 1
[SW-1-vlan1]ip source check user-bind enable  //针对此vlan下所有进口进入的数据进行IPSG过滤  
[SW-1-vlan1]ip source check user-bind check-item interface ip-address mac-address 
//IPSG检测绑定的源地址，接口，mac地址信息
[SW-1-vlan1]quit 

（3）动态绑定 Vlan视图

[SW-1]dhcp enable                   //开启此SW的dhcp功能
[SW-1]dhcp snooping enable          //全局视图开启DHCP Snooping功能
[SW-1]vlan 10                       //进入vlan 10
[SW-1-vlan10]dhcp snooping enable   //开启此vlan的 DHCP Snooping功能
[SW-1]-vlan10]ip source check user-bind enable   //开启此vlan下的IPSG功能
[SW-1]-vlan10]quit
[SW-1]display dhcp snooping user-bind all         //查看Host的动态绑定表信息

三、MAC认证

1、MAC认证简介

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件，用户名和密码都是用户设备的MAC地址。网络接入设备在首次检测到用户的MAC地址以后，即启动对该用户的认证。

2、MAC认证方式

（1）采用MAC地址形式：使用用户的MAC地址作为认证时的用户名和密码；

（2）采用固定用户名形式：不论用户的MAC地址为何值，所有用户均使用设备上管理员指定的一个固定用户名和密码替代用户的MAC地址作为身份信息进行认证。由于同一个端口下可以有多个用户进行认证，因此这种情况下端口上的所有MAC认证用户均使用同一个固定用户名进行认证，服务器端仅需要配置一个用户帐户即可满足所有认证用户的认证需求，适用于接入客户端比较可信的网络环境。

[Huawei]mac-authen username
                      fixed       //使用用户名密码认证
                      macaddress  //采用MAC地址认证

3、MAC认证数量

接口下通过MAC认证接入的用户数量进行限制的时候，允许接入的MAC认证最大用户数量。用户到达配置的最大数时，后续MAC认证用户将不能够通过该接口接入网络。

[Huawei]mac-authen max-user  X   //一接口允许接入的MAC认证最大用户数量X（范围1--255）

4、MAC认证计时器

（1）Guest-Vlan用户重认证定时器（guest-vlan reauthenticate-period）：在用户被加入Guest Vlan之后，设备将以此定时器设置的时间间隔为周期向Guest Vlan中的用户发起重认证。若重认证成功，则用户退出Guest Vlan；

（2）用于下线探测定时器（offline-detect）：为确保用户的正常在线，设备会向在线用户发送探测报文，如果用户在探测周期（探测周期由该定时器设置）内没有回应，则设备认为该用户已下线；

（3）静默定时器（quiet-period）：在用户认证失败后，设备需要静默一段时间（该时间即由静默定时器设置）。在静默期间，设备不处理该用户的认证请求；

（4）周期性重认证定时器（reauthenticate-period）：如果接口下开启了周期性重认证功能，设备将以此定时器设置的时间间隔为周期对该接口的在线用户发起重认证；

（5）认证服务器超时定时器（server-timeout）：当设备向认证服务器发送RADIUS Access-Request请求报文后，设备启动此定时器。若在该定时器设置的时长内，设备未收到认证服务器的响应，则将重发认证请求报文。

[Huawei]mac-authen timer 
                   timer guest-vlan X            //默认60S
                   timer offline-detect X        //默认300S 
                   timer quiet-period X          //默认60S 
                   timer reauthenticate-period X //默认1800S
                   timer server-timeout X        //默认30S  

5、MAC认证Guest VLAN

设备接口上配置Guest VLAN，用户在未进行认证之前将被加入Guest VLAN进而能够访问Guest VLAN中的资源。但用户若需访问Guest VLAN之外的网络资源时仍需要进行认证。

[Huawei]authentication guest-vlan 100 interface GigabitEthernet 0/0/5  //未认证的用户加入到vlan 100

[Huawei]mac-authen                         //开启本SW的MAC认证功能
[Huawei]int G0/0/2
[Huawei-GigabitEthernet0/0/2]mac-authen    //接口下开启MAC认证

人之所以能，是相信能。

好了这期就到这里了，如果你喜欢这篇文章的话，请点赞评论分享收藏，如果你还能点击关注，那真的是对我最大的鼓励。谢谢大家，下期见！