一、IPSG 介绍
1.1 IPSG 概述
IP 源防护(IP Source Guard,简称 IPSG)是一种基于 IP/MAC 的端口流量过滤技术,它可以防止局域网内的 IP 地址欺骗攻击。IPSG 能够确保第 2 层网络中终端设备的 IP 地址不会被劫持,而且还能确保非授权设备不能通过自己指定 IP 地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。
1.2 IPSG 绑定方式
- 基于静态绑定表
- 基于动态绑定表
1.3 IPSG 绑定表四要素
- IP 地址
- MAC 地址
- VLAN
- 接口
1.4 IPSG 应用场景
- 防止主机私自更改 IP 地址上网。
- 限制非法主机接入网络(尤其在静态 IP 环境中)。
- 防御 IP 地址 ARP 欺骗攻击。
- 提升网络资源利用率与安全性。
- 适用于混合 IP 分配环境,节省 IP 资源,防止 IP 盗用。
- 部署于接入层设备。
- 实现有效的上网记录和上网统计。
- 网络接入安全管控,防止私接设备。
- 基于 IP 地址的流控策略,绑定 IP 和 MAC 应用上网策略。
二、IPSG 配置(IP + MAC,接口启用 IPSG)
2.1 组网拓扑
在企业网络安全防护中,管理员在交换机上开启了 IPSG 源防护,希望各部门办公电脑使用固定 IP 地址上网,不允许私自修改 IP 地址。同时为了安全考虑,不允许外来人员的电脑随意接入内网。
2.2 配置思路
采用如下思路配置 IPSG 功能。
- 配置主机静态绑定表项。
- 启用 IPSG 和 IP 报文检查告警功能。
2.3 配置步骤
- 配置主机 1 和主机 2 的静态绑定表项。
[ACC] user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002
[ACC] user-bind static ip-address 10.0.0.5 mac-address 0005-0005-0005
- 在连接终端用户的接口上,使能 IPSG 和 IP 报文检查告警功能,当丢弃报文阈值到达 200 将上报告警。
[ACC] interface gigabitethernet 0/0/1
[ACC-GigabitEthernet0/0/1] ip source check user-bind enable
[ACC-GigabitEthernet0/0/1] ip source check user-bind alarm enable
[ACC-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 200
[ACC-GigabitEthernet0/0/1] quit
[ACC] interface gigabitethernet 0/0/2
[ACC-GigabitEthernet0/0/2] ip source check user-bind enable
[ACC-GigabitEthernet0/0/2] ip source check user-bind alarm enable
[ACC-GigabitEthernet0/0/2] ip source check user-bind alarm threshold 200
[ACC-GigabitEthernet0/0/2] quit
2.4 验证测试
在交换机上查看 Host_1 和 Host_2 的静态绑定表信息。
[ACC] display dhcp static user-bind all
在交换机上查看 IPSG 的状态,effective 表示静态表项已生效。
[ACC] display dhcp static user-bind all verbose
三、IPSG 配置(IP + MAC+VLAN,接口启用 IPSG)
3.1 组网拓扑
在企业网络安全防护中,管理员在交换机上开启了 IPSG 源防护,希望各部门办公电脑使用固定 IP 地址上网,不允许私自修改 IP 地址。同时为了安全考虑,不允许外来人员的电脑随意接入内网。
3.2 配置思路
采用如下思路配置 IPSG 功能。
- 配置主机静态绑定表项。
- 启用 IPSG 和 IP 报文检查告警功能。
3.3 配置步骤
- 配置主机 1 和主机 2 的静态绑定表项。
[ACC] user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002 vlan 10
[ACC] user-bind static ip-address 10.0.0.5 mac-address 0005-0005-0005 vlan 10
- 在连接终端用户的接口上,使能 IPSG 和 IP 报文检查告警功能,当丢弃报文阈值到达 200 将上报告警。
[ACC] interface gigabitethernet 0/0/1
[ACC-GigabitEthernet0/0/1] ip source check user-bind enable
[ACC-GigabitEthernet0/0/1] ip source check user-bind alarm enable
[ACC-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 200
[ACC-GigabitEthernet0/0/1] quit
[ACC] interface gigabitethernet 0/0/2
[ACC-GigabitEthernet0/0/2] ip source check user-bind enable
[ACC-GigabitEthernet0/0/2] ip source check user-bind alarm enable
[ACC-GigabitEthernet0/0/2] ip source check user-bind alarm threshold 200
[ACC-GigabitEthernet0/0/2] quit
3.4 验证测试
在交换机上查看 Host_1 和 Host_2 的静态绑定表信息。
[ACC] display dhcp static user-bind all
在交换机上查看 IPSG 的状态,effective 表示静态表项已生效。
[ACC] display dhcp static user-bind all verbose
四、IPSG 配置(IP + MAC+VLAN+端口,接口启用 IPSG)
4.1 组网拓扑
在企业网络安全防护中,管理员在交换机上开启了 IPSG 源防护,希望各部门办公电脑使用固定 IP 地址上网,不允许私自修改 IP 地址。同时为了安全考虑,不允许外来人员的电脑随意接入内网。
4.2 配置思路
采用如下思路配置 IPSG 功能。
- 配置主机静态绑定表项。
- 启用 IPSG 和 IP 报文检查告警功能。
4.3 配置步骤
- 配置 Host 的静态绑定表项。
[ACC] user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002 interface gigabitethernet 0/0/1 vlan 10
[ACC] user-bind static ip-address 10.0.0.5 mac-address 0005-0005-0005 interface gigabitethernet 0/0/2 vlan 10
- 在连接终端用户的接口上,使能 IPSG 和 IP 报文检查告警功能,当丢弃报文阈值到达 200 将上报告警。
[ACC] interface gigabitethernet 0/0/1
[ACC-GigabitEthernet0/0/1] ip source check user-bind enable //启用 IPSG 功能
[ACC-GigabitEthernet0/0/1] ip source check user-bind alarm enable //使能 IP 报文检查告警功能
[ACC-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 200 //配置 IP 报文检查告警阈值,缺省为 100
[ACC-GigabitEthernet0/0/1] quit
[ACC] interface gigabitethernet 0/0/2
[ACC-GigabitEthernet0/0/2] ip source check user-bind enable //启用 IPSG 功能
[ACC-GigabitEthernet0/0/2] ip source check user-bind alarm enable //使能 IP 报文检查告警功能
[ACC-GigabitEthernet0/0/2] ip source check user-bind alarm threshold 200 //配置 IP 报文检查告警阈值,缺省为 100
[ACC-GigabitEthernet0/0/2] quit
4.4 验证测试
在交换机查看静态绑定表信息。
[ACC] display dhcp static user-bind all
在交换机查看 IPSG 的状态,effective 表示静态表项已生效。
[ACC] display dhcp static user-bind all verbose
