一、IPSG(IP Source Guard):IP源防攻击
1.1 基于二层接口的源地址过滤技术
1.2防止恶意主机伪造合法主机的IP地址
1.3确保非授权主机不能通过自己制定IP来访问和攻击网络
二、IPSG工作原理
2.1利用绑定表去匹配二层接口收到的IP报文,只有匹配绑定表才可以通过,否则丢弃
三、IPSG绑定表两种方式:
3.1 静态绑定:使用user-bind 命令手工配置
3.2动态绑定:配置DHCP Snooping (推荐)
绑定表生产后,IPSG绑定表向指定的接口或VLAN下发ACL,由ACL来匹配IP报文
四、IPSG案例(user-bind + DHCP Snooping)
4.1 PC1-PC2连接SW1,SW1上联口G0/01与核心交换机SW2G0/0/1相连
4.2 SW2配置为DHCP服务器
4.3 SW1配置 user-bind或DHCP Snooping,添加上联口G0/0/1为信任端口。SW1下的终端,只能通过SW2获取IP地址,防止恶意主机伪造合法主机的IP地址攻击网络(防止DHCP攻击和ARP攻击)
五、案例配置
5.1 SW2 设置DHCP服务器
[SW2]dhcp enable[SW2]int vlan 1[SW2-Vlanif1]ip add 192.168.1.254 24[SW2-Vlanif1]dhcp select interface[SW2-Vlanif1]dhcp server excluded-ip-address 192.168.1.252 192.168.1.253[SW2-Vlanif1]dhcp server dns-list 114.114.114.114 8.8.8.8
5.2 SW1 配置IPSG
user-bind 静态绑定 PC2 的IP 及MAC到e0/0/2 接口
[SW1]dhcp enable[SW1]dhcp snooping enable ipv4 [SW1]user-bind static ip-add 192.168.1.2 mac-address 5489-98C7-3CF9 int e0/0/2[SW1]int e0/0/2[SW1-Ethernet0/0/2]ip source check user-bind enable #接口下使能ip报文检查功能[SW1]dis dhcp static user-bind all #查看dhcp静态绑定列表
DHCP Snooping 动态绑定方式 (推荐)
[SW1]dhcp enable[SW1]dhcp snooping enable ipv4 [SW1]vlan 1 [SW1-vlan1]dhcp snooping enable [SW1-vlan1]dhcp snooping trusted int g0/0/1 #添加g0/0/1 为信任接口[SW1-vlan1]ip source check user-bind enable #vlan下使能ip报文检查功能[SW1]dis dhcp snooping user-bind all #查看dhcp snooping 绑定列表
