一、IPSG的基本概念IPSG是IPSourceGuard的缩写。IPSG可以防止欺骗源IP地址的攻击。随着网络规模的扩大,基于源IP地址的攻击也越来越多。一些攻击者通过欺骗手段获取网络资源,获得合法使用网络资源的权限,甚至导致受骗者无法访问网络,或信息泄露。IPSG提供了一种针对源IP攻击的防御机制,可以有效防止基于源地址欺骗的网络攻击。IPSG的功能是根据绑定表(DHCP动态和静态绑定表)来检查IP数据包的匹配情况。设备在转发IP包时,会将IP包中的源IP、源MAC(MediaAccessControl)、接口、VLAN(VirtualLocalAreaNetwork)信息与绑定表中的信息进行比较,如果匹配,如果表明是合法用户,则允许该包正常转发,否则视为攻击包,丢弃该IP包。2、部署场景一般部署在靠近用户的接入交换机(或汇聚或核心交换机)上,可以防止以欺骗源IP地址为目的的攻击,如非法主机伪造合法主机IP地址获取上网权限或攻击网络等。主要应用场景如下:场景一:使用IPSG防止主机私自更改IP地址。主机只能使用DHCPServer分配的IP地址或管理员配置的静态地址。打印机配置的静态IP地址仅供打印机使用,防止上位机通过伪造打印机IP地址访问网络。场景二:使用IPSG限制非法主机访问(针对静态分配IP地址的环境)固定主机只能通过固定接口访问,不能随意改变访问位置,满足接口限速的目的限制。外来人员自带电脑,不能随意访问内网,防止内网资源泄露。对于IP地址由DHCP动态分配的环境,一般使用NAC认证(如Portal认证或802.1x认证等)功能来限制非法主机访问。三、组网拓扑1、思路以下思路用于在Switch上配置IPSG功能(假设用户的IP地址是静态分配的):在接口上开启IP包检测功能。HostA和HostB连接的接口需要使能该功能。配置静态绑定表,为静态IP地址的用户创建绑定关系表。2.配置步骤(1)配置IP包校验功能system-view[HUAWEI]sysnameSwitch[Switch]interfacegigabitethernet0/0/1[Switch-GigabitEthernet0/0/1]ipsourcecheckuser-bindenable///在HostA连接的GE0/0/1上开启IP报文检测功能。[Switch-GigabitEthernet0/0/1]ipsourcecheckuser-bindalarmenable//在连接HostA的GE0/0/1接口开启IP报文检查告警功能,并配置告警阈值。[Switch-GigabitEthernet0/0/1]ipsourcecheckuser-bindalarmthreshold200[Switch-GigabitEthernet0/0/1]quit[Switch]interfacegigabitethernet0/0/2[Switch-GigabitEthernet0/0/2]ipsourcecheckuser-bindenable//在连接HostB的GE0/0/2接口上开启IP报文检测功能。[Switch-GigabitEthernet0/0/2]ipsourcecheckuser-bindalarmenable//在连接HostB的GE0/0/2接口开启IP报文检查告警功能,并配置告警阈值。[Switch-GigabitEthernet0/0/2]ipsourcecheckuser-bindalarmthreshold200[Switch-GigabitEthernet0/0/2]quit(2)配置静态绑定表项[Switch]user-bindstaticip-address10.0.0.1mac-address0001-0001-0001interfacegigabitethernet0/0/1vlan10//配置HostA为静态绑定表项。(3)验证结果在Switch上执行displaydhcpstaticuser-bindall命令查看绑定表信息。
