一、IPSG基本定义
IPSG是IP Source Guard的通称。IPSG可以预防对于源IP地址开展蒙骗的攻击性行为。
伴随着互联网经营规模越来越大,根据源IP的伤害也慢慢增加。一些网络攻击运用蒙骗的方式获得到互联网资源,获得合理合法应用互联网资源的管理权限,乃至导致被欺骗者无法打开互联网,或是信息泄漏。IPSG对于根据源IP的进攻给予了一种自我防御机制,可以合理的避免根据服务器ip蒙骗的黑客攻击个人行为。
IPSG作用是根据关联表(DHCP动态性和静态关联表)对IP报文开展配对查验。当设施在分享IP报文时,将此IP报文中的源IP、源MAC(Media Access Control)、接口、VLAN(Virtual Local Area Network)信息和关联表的信息开展较为,假如信息配对,说明是合理合法客户,则容许此报文一切正常分享,不然觉得是进攻报文,并丢掉该IP报文。
二、布署情景
一般布署在接近客户的接入交换机(还可以在聚集或是汇聚交换机)上,可以预防对于源IP地址开展蒙骗的攻击性行为,如不法服务器假冒合理合法服务器的IP地址获得网上管理权限或是进攻互联网。关键应用领域如下所示:
情景1:根据IPSG避免服务器擅自变更IP地址 服务器只有应用DHCP Server分派的IP地址或是管理人员配置的静态详细地址,随便变更IP地址后无法打开互联网,避免服务器不法获得网上管理权限。 复印机配置的静态IP地址仅供打印机使用,避免服务器根据假冒复印机的IP地址浏览互联网。
情景2:根据IPSG限定不法服务器连接(对于IP地址是静态分派的自然环境) 固定不动的服务器只有从确定的接口连接,不可以随便拆换连接部位,达到根据接口限制网速的目地。 外来务工人员内置计算机不可以随便连接内部网,避免内网资源泄漏。 针对IP地址是DHCP动态分配的自然环境,一般是根据NAC验证(例如Portal验证或802.1x认证等)作用完成限定不法服务器连接。
三、组网方案拓扑结构
1. 构思
选用以下的构思在Switch上配置IPSG作用(假定客户的IP地址是静态分派的):
- 接口使能IP报文查验作用。联接HostA和HostB的接口都必须使能该作用。
- 配置静态关联表,针对静态配置IP的客户创建关联关系图。
2. 配置流程
(1) 配置IP报文查验作用
- system-view
- [HUAWEI] sysname Switch
- [Switch] interface gigabitethernet 0/0/1
- [Switch-GigabitEthernet0/0/1] ip source check user-bind enable/// 在联接HostA的GE0/0/1接口使能IP报文查验作用。
- [Switch-GigabitEthernet0/0/1] ip source check user-bind alarm enable// 在联接HostA的GE0/0/1接口使能IP报文查验报警作用并配置报警阀值。
- [Switch-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 200
- [Switch-GigabitEthernet0/0/1] quit
- [Switch] interface gigabitethernet 0/0/2
- [Switch-GigabitEthernet0/0/2] ip source check user-bind enable//在联接HostB的GE0/0/2接口使能IP报文查验作用。
- [Switch-GigabitEthernet0/0/2] ip source check user-bind alarm enable// 在联接HostB的GE0/0/2接口使能IP报文查验报警作用并配置报警阀值。
- [Switch-GigabitEthernet0/0/2] ip source check user-bind alarm threshold 200
- [Switch-GigabitEthernet0/0/2] quit
(2) 配置静态关联表项
[Switch] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface gigabitethernet 0/0/1 vlan 10//配置HostA为静态绑定表项。
(3) 认证結果
在Switch上实行display dhcp static user-bind all命令可以查询关联表信息。
