IPSG即IP源防攻击(IP Source Guard)是一种基于二层接口的源IP地址过滤技术,IPSG的绑定表维护了网络中主机IP地址、MAC地址等信息的绑定关系,通过将报文信息与绑定表比对,它能够有效防止恶意主机伪造合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。
静态绑定与动态绑定
- 基于静态的IPSG绑定,效果类似于mac-adress绑定,或者arp绑定。静态绑定分为全局绑定以及接口绑定:全局绑定ip与mac表项,设备全接口生效。接口绑定只生效当前配置接口
- 基于 dhcp-snooping/dhcp-relay 的动态绑定,可以丢弃非法dhcp服务或者静态ip地址主机报文,dhcp-snooping/dhcp-relay 记录dhcp表项的mac-address以及ip-address和上线端口进行记录。使用动态绑定需确保dhcp中继或者dhcp-snooping功能正常
相关配置命令
# 基于接口的静态绑定
interface GigabitEthernet1/0/1
ip verify source ip-address mac-address
ip source binding mac-address 0001-0203-0407
# 基于全局的接口绑定
ip source binding ip-address 192.168.10.1 mac-address 0001-0002-0003
# 基于dhcp-relay的动态绑定【三层接口】
dhcp enable
dhcp relay client-information record
interface vlan-interface 10
ip verify source ip-address mac-address
dhcp select relay
dhcp relay server-address 10.1.1.1
# 基于dhcp-snooping的动态绑定【二层接口】链接主机接口配置
dhcp snooping enable
interface gigabitethernet 1/0/1
ip verify source ip-address mac-address
dhcp snooping binding record
配置案例
基于静态IPSG绑定
# 配置链接主机设备接口
interface GigabitEthernet1/0/1
ip verify source ip-address mac-address
ip source binding ip-address 192.168.10.1 mac-address 0001-0002-0003 vlan 10
基于dhcp中继的动态绑定【手工配置地址无法访问网络资源】
vlan 10
dhcp enable
#
dhcp server ip-pool dhcp
gateway-list 192.168.10.254
network 192.168.10.0 mask 255.255.255.0
#
interface Vlan-interface10
ip address 192.168.10.254 255.255.255.0
dhcp select relay
dhcp relay server-address 127.0.0.1
ip verify source ip-address mac-address
#
interface GigabitEthernet1/0/1
port access vlan 10
测试手动配置IP地址情况
# 清空地址池
<H3C>reset dhcp server ip-in-use pool dhcp
