无线应用中很多情况涉及STA的IP地址合法性问题,即防止用户私自设置静态IP地址,或者防止非法用户进行仿冒地址进行欺骗。
1. 采用授权ARP方式进行地址合法性保障
在运营商网络架构中,对于宽度接入用户一般采用模糊VLAN终结的方式进行用户地址分配和认证,而此特性会进行面向用户网段的地址扫描,如果查询不到ARP,会在终结的VLAN范围内进行复制,这样就造成了设备资源和带宽的极大消耗,所以需要关闭VLAN内复制功能。
而关闭VLAN复制功能,将会导致无法学习到用户的正常ARP报文。如下所示为正常的ARP报文交互,ARP申请报文为广播:
图1 动态ARP报文交互示例
授权ARP,是根据DHCP服务器生成的租约或者DHCP中继生成的安全表项同步生成ARP表项,而不再通过ARP报文交互生成表项。正常的DHCP报文交互中,客户端进行地址申请,服务进行地址分配,如果地址分配成功,服务器会记录下相应的地址分配租约信息,包含了IP和MAC的对应关系,以及有效时间。如果客户端和服务器处于非二层网络拓扑中,则需要部署DHCP Relay设备,而此DHCP中继设备也会相应地生成安全表项,记录服务器分配给客户端的IP和MAC对应关系。如下图DHCP交互过程:
图2 动态ARP报文交互
因此,必须先有DHCP报文的交互,才会有ARP表项的生成,如果终端采用静态配置的IP地址,则由于没有进行DHCP地址申请,也就没有DHCP报文交互,进而就不会有DHCP租约表项或中继表项,相应地ARP表项也就无从谈起,当用户的报文到达网关时,由于没有相应的ARP表项,也就不会进行响应了。如果用户仿冒其他用户的IP或者MAC时,同样由于其与DHCP租约表项中和ARP表项中的IP和MAC对应关系不符而遭到拒绝服务。
综上,授权ARP关闭了节点的动态ARP学习功能,而根据DHCP表项生成自身表项,这样就生成了一个副产品,即可以防止用户采用静态IP接入和防止用户仿冒其他用户的IP或MAC对网络进行攻击,保证只有合法的用户才能使用网络资源,增强了网络的安全性。
可在三层接口下或者子接口下开启,命令如下:
arp authorized enable
dhcp update arp
2. 采用SAVI功能进行地址合法性检查
SAVI(Source Address Validation,源地址有效性验证)特性也是一种避免非法用户冒充合法用户IP地址访问网络的手段,应用在接入设备上,通过建立MAC地址和IP地址的绑定关系,对STA发送的数据报文进行源地址过滤检查,如果地址不合法,则丢弃报文。该特性既可以针对IPv4地址生效,也可以针对IPv6地址实现。
该功能在AC上实现,需要开启DHCP Server。其能够对用户IPv4地址进行合法性检查,而且可以防止终端的使用冲突的IP地址,即当一个终端使用了某一个IP地址以后,其它的终端将不能再使用这个IP地址访问网络。下图为该需求下的基本拓扑图:
图3 无线网络用户接入基本拓扑
分别介绍一下IPv4和IPv6下的相应配置:
l 在服务模板视图下:
ip verify source
在AC设备上,也可以通过命令查看绑定信息:
l 在服务模板视图下:
ip verify source
ipv6 verify source
在AC设备上,也可以通过命令查看绑定信息: