IP 源防護(IP Source Guard,簡稱 IPSG)是一種基於 IP/MAC 的連線埠流量過濾技術,它可以防止區域網路內的 IP 地址欺騙攻擊。IPSG 能夠確保第 2 層網路中終端設備的 IP 地址不會被劫持,而且還能確保非授權設備不能通過自己指定 IP 地址的方式來訪問網路或攻擊網路導致網路崩潰及癱瘓。
基本介紹
- 中文名:IP 源防護
- 外文名:IP Source Guard
- 簡稱:IPSG
- 解釋:基於 IP/MAC 的連線埠流量過濾技術
IPSG原理,IPSG 的配置,查看IPSG狀態,
IPSG原理
交換機內部有一個 IP 源綁定表(IP Source Binding Table)作為每個連線埠接受到的數據包的檢測標準,
只有在兩種情況下,交換機會轉發數據:
所接收到的 IP 包滿足 IP 源綁定表中 Port/IP/MAC 的對應關係
所接收到的是 DHCP 數據包
其餘數據包將被交換機做丟棄處理。
IP 源綁定表可以由用戶在交換機上靜態添加,或者由交換機從 DHCP 監聽綁定表(DHCP Snooping Bi
nding Table)自動學習獲得。 靜態配置是一種簡單而固定的方式,但靈活性很差,因此 Cisco 建議用
戶最好結合 DHCP Snooping 技術使用 IP Source Guard,由 DHCP 監聽綁定表生成 IP 源綁定表。
IPSG 的配置
IPSG 配置前必須先配置 ip dhcp snooping
Switch(config-if)# ip verify source //是 35 系列交換機的命令
Switch(config-if)#ip verify source vlan dhcp-snooping //接口級命令;在該接口下開啟 IP 源防護功能
說明:
ip verify source vlan dhcp-snooping 是 45/65 系列交換機以及 76 系列路由器的命令
這兩條命令後還有個參數 port-security,即命令:
Switch (config-if)#ip verify source port-security
Switch (config-if)#ip verify source vlan dhcp-snooping port-security
不加 port-security 參數,表示 IP 源防護功能只執行“源 IP 地址過濾”模式
加上 port-security 參數以後,就表示 IP 源防護功能執行“源 IP 和源 MAC 地址過濾”模式
當執行“源 IP 和源 MAC 地址過濾”模式時,還可以通過以下命令限制非法 MAC 包的速度
Switch (config-if)#switchport port-security limit rate invalid-source-mac 50
//接口級命令;限制非法二層報文的速度為每秒 50 個;可以用參數 none 表示不限制
//只在“源 IP 和源 MAC 地址過濾”模式下有效,並且只有 45 系列及以上才支持該命令;
添加一條靜態 IP 源綁定條目:
Switch (config)#ip source binding 000f.1fc5.1008 vlan 10 192.168.10.131 interface fa0/2
//全局命令;對應關係為:vlan10 - 000f.1f05.1008 - 192.168.10.131 - fa0/2
查看IPSG狀態
Switch#show ip source binding //顯示當前的 IP 源綁定表
Switch#show ip verify source //顯示當前的 IP 源地址過濾器的實際工作狀態
