【网工入门基础】安全技术——IPSG

思博网络

本帖阅读福利：网工必备60G资料包，回帖即可领取下载链接啦！

游客，如果您要查看本帖隐藏内容请回复

01 啥是IPSG？

IP源防攻击IPSG（IPSourceGuard）是一种基于二层接口的源IP地址过滤技术，它能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机，还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。

02 IPSG出现的目的

随着网络规模越来越大，通过伪造源IP地址实施的网络攻击（简称IP地址欺骗攻击）也逐渐增多。

一些攻击者通过伪造合法用户的IP地址获取网络访问权限，非法访问网络，甚至造成合法用户无法访问网络，或者信息泄露。IPSG针对IP地址欺骗攻击提供了一种防御机制，可以有效阻止此类网络攻击行为。

一个典型的利用IPSG防攻击的示例如图所示，非法主机伪造合法主机的IP地址获取上网权限。此时，通过在设备的接入用户侧的接口或VLAN上部署IPSG功能，设备可以对进入接口的IP报文进行检查，丢弃非法主机的报文，从而阻止此类攻击。

03 IPSG基本原理

IPSG利用绑定表（源IP地址、源MAC地址、所属VLAN、入接口的绑定关系）去匹配检查二层接口上收到的IP报文，只有匹配绑定表的报文才允许通过，其他报文将被丢弃。

绑定表包括静态和动态两种。

静态绑定表：

• 使用user-bind命令手工配置。适用于主机数较少且主机使用静态IP地址的场景。
  
  
  

DHCP Snooping动态绑定表：

• 配置DHCP Snooping功能后，DHCP主机动态获取IP地址时，设备根据DHCP服务器发送的DHCP回复的ACK报文动态生成。
• 适用于主机数较多且主机从DHCP服务器获取IP地址的场景。
  
  
  

绑定表生成后，主机发送的报文，只有匹配绑定表才会允许通过，不匹配绑定表的报文都将被丢弃。缺省情况下，如果在没有绑定表的情况下使能了IPSG，设备将拒绝除DHCP请求报文外的所有IP报文。

非法主机仿冒合法主机的IP地址发送报文到达Router后，因报文和绑定表不匹配被Router丢弃，如下图：

04 IPSG应用场景

IPSG在园区网中的常见应用，如通过IPSG防止主机私自更改IP地址上网、限制非法主机接入网络。

某园区网如下图所示，针对不同的园区，可能会有不同地址规划。一般情况下：

•在园区规模较小时，园区内主机和打印机会使用静态的IP地址；

•在园区规模稍大时，园区内主机会通过DHCP方式获取IP地址，而部分打印机等使用静态的IP地址。

场景1：通过IPSG防止主机私自更改IP地址

主机只能使用DHCPServer分配的IP地址或者管理员配置的静态地址，随意更改IP地址后无法访问网络，防止主机非法取得上网权限。

打印机配置的静态IP地址只供打印机使用，防止主机通过仿冒打印机的IP地址访问网络。

场景2：通过IPSG限制非法主机接入（针对IP地址是静态分配的环境）

•固定的主机只能从固定的接口接入，不能随意更换接入位置，满足基于接口限速的目的。

•外来人员自带电脑不能随意接入内网，防止内网资源泄露。

05 IPSG配置举例
配置IPSG防止主机仿冒其他主机IP地址示例（静态绑定）
组网需求

Host通过Router接入网络，Gateway为企业出口网关，各Host均使用静态配置的IP地址。管理员希望Host使用管理员分配的固定IP地址上网，不允许仿冒其他主机的IP地址非法获取网络访问权限。

配置思路

1.在Router上配置Host_1和Host_2的静态绑定表，固定IP和MAC的绑定关系。

2.在Router连接用户主机的接口使能IPSG，实现Host只能使用管理员分配的固定IP地址上网。

操作步骤

1.创建Host_1和Host_2的静态绑定表项

<Huawei>system-view

[Huawei] sysnameRouter

[Router] user-bindstatic ip-address 10.0.0.1 mac-address 0001-0001-0001

[Router] user-bindstatic ip-address 10.0.0.11 mac-address 0002-0002-0002

2.使能IPSG功能

#在连接Host_1的Eth0/0/1接口使能IPSG功能。

[Router] interfaceethernet 0/0/1

[Router-Ethernet0/0/1]ip source check user-bind enable

[Router-Ethernet0/0/1]quit

#在连接Host_2的Eth0/0/2接口使能IPSG功能。

[Router] interfaceethernet 0/0/2

[Router-Ethernet0/0/2]ip source check user-bind enable

[Router-Ethernet0/0/2] quit

3.验证配置结果

在Router上执行displaydhcp static user-bind all命令，可以查看静态绑定表信息。

[Router] displaydhcp static user-bind all

DHCP staticBind-table:

Flags:O - outer vlan,I - inner vlan ,P - Vlan-mapping

IP Address                     MAC Address     VSI/VLAN(O/I/P) Interface

-------------------------------------------------------------------------------

10.0.0.1                       0001-0001-0001  --  /--  /--    --

10.0.0.11                      0002-0002-0002  --  /--  /--    --

-------------------------------------------------------------------------------

Print count:          2          Total count:           2

Host_1和Host_2使用管理员分配的固定IP地址可以正常访问网络，更改IP地址后无法访问网络。

【推荐阅读】

网工必看！IP地址、子网掩码和网关的解释「是看了就懂的系列」

初级到高级网工学习渠道最全汇总（建议收藏）

9年网工对这个行业的一点见解，建议收藏！

思博网络

1