IPSG配置(IP 与 MAC 地址绑定,静态绑定)
一、IPSG介绍
1.1 IPSG概述
IP 源防护(IP Source Guard,简称 IPSG)是一种基于 IP/MAC 的端口流量过滤技术,它可以防止局域网内的 IP 地址欺骗攻击。IPSG 能够确保第 2 层网络中终端设备的 IP 地址不会被劫持,而且还能确保非授权设备不能通过自己指定 IP 地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。
1.2 IPSG绑定方式
- 基于静态绑定表
- 基于动态绑定表
1.3 IPSG绑定表四要素
- IP地址
- MAC地址
- VLAN
- 接口
1.4 IPSG应用场景
- 防止主机私自更改IP地址上网。
- 限制非法主机接入网络(尤其在静态IP环境中)。
- 防御IP地址ARP欺骗攻击。
- 提升网络资源利用率与安全性。
- 适用于混合IP分配环境,节省IP资源,防止IP盗用。
- 部署于接入层设备。
- 实现有效的上网记录和上网统计。
- 网络接入安全管控,防止私接设备。
- 基于IP地址的流控策略,绑定IP和MAC应用上网策略。
二、IPSG配置(IP + MAC ,接口启用IPSG)
2.1 组网拓扑
在企业网络安全防护中,管理员在交换机上开启了IPSG源防护,希望各部门办公电脑使用固定IP地址上网,不允许私自修改IP地址。同时为了安全考虑,不允许外来人员的电脑随意接入内网。
2.2 配置思路
采用如下思路配置IPSG功能。
- 配置主机静态绑定表项。
- 启用IPSG和IP报文检查告警功能。
2.3 配置步骤
1. 配置主机 1 和主机 2 的静态绑定表项。
[ACC] user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002 [ACC] user-bind static ip-address 10.0.0.5 mac-address 0005-0005-00052. 在连接终端用户的接口上,使能IPSG和IP报文检查告警功能,当丢弃报文阈值到达200将上报告警。
[ACC] interface gigabitethernet 0/0/1 [ACC-GigabitEthernet0/0/1] ip source check user-bind enable [ACC-GigabitEthernet0/0/1] ip source check user-bind alarm enable [ACC-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 200 [ACC-GigabitEthernet0/0/1] quit [ACC] interface gigabitethernet 0/0/2 [ACC-GigabitEthernet0/0/2] ip source check user-bind enable [ACC-GigabitEthernet0/0/2] ip source check user-bind alarm enable [ACC-GigabitEthernet0/0/2] ip source check user-bind alarm threshold 200 [ACC-GigabitEthernet0/0/2] quit2.4 验证测试
# 在交换机上查看Host_1和Host_2的静态绑定表信息。
[ACC] display dhcp static user-bind all# 在交换机上查看IPSG的状态,effective表示静态表项已生效。
[ACC] display dhcp static user-bind all verbose三、IPSG配置(IP + MAC+VLAN ,接口启用IPSG)
3.1 组网拓扑
在企业网络安全防护中,管理员在交换机上开启了IPSG源防护,希望各部门办公电脑使用固定IP地址上网,不允许私自修改IP地址。同时为了安全考虑,不允许外来人员的电脑随意接入内网。
3.2 配置思路
采用如下思路配置IPSG功能。
- 配置主机静态绑定表项。
- 启用IPSG和IP报文检查告警功能。
3.3 配置步骤
1. 配置主机 1 和主机 2 的静态绑定表项。
[ACC] user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002 vlan 10 [ACC] user-bind static ip-address 10.0.0.5 mac-address 0005-0005-0005 vlan 102. 在连接终端用户的接口上,使能IPSG和IP报文检查告警功能,当丢弃报文阈值到达200将上报告警。
[ACC] interface gigabitethernet 0/0/1 [ACC-GigabitEthernet0/0/1] ip source check user-bind enable [ACC-GigabitEthernet0/0/1] ip source check user-bind alarm enable [ACC-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 200 [ACC-GigabitEthernet0/0/1] quit [ACC] interface gigabitethernet 0/0/2 [ACC-GigabitEthernet0/0/2] ip source check user-bind enable [ACC-GigabitEthernet0/0/2] ip source check user-bind alarm enable [ACC-GigabitEthernet0/0/2] ip source check user-bind alarm threshold 200 [ACC-GigabitEthernet0/0/2] quit3.4 验证测试
# 在交换机上查看Host_1和Host_2的静态绑定表信息。
[ACC] display dhcp static user-bind all# 在交换机上查看IPSG的状态,effective表示静态表项已生效。
[ACC] display dhcp static user-bind all verbose四、IPSG配置(IP + MAC+VLAN+端口 ,接口启用IPSG)
4.1 组网拓扑
在企业网络安全防护中,管理员在交换机上开启了IPSG源防护,希望各部门办公电脑使用固定IP地址上网,不允许私自修改IP地址。同时为了安全考虑,不允许外来人员的电脑随意接入内网。
4.2 配置思路
采用如下思路配置IPSG功能。
- 配置主机静态绑定表项。
- 启用IPSG和IP报文检查告警功能。
4.3 配置步骤
1. 配置Host的静态绑定表项。
[ACC] user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002 interface gigabitethernet 0/0/1 vlan 10 [ACC] user-bind static ip-address 10.0.0.5 mac-address 0005-0005-0005 interface gigabitethernet 0/0/2 vlan 102. 在连接终端用户的接口上,使能IPSG和IP报文检查告警功能,当丢弃报文阈值到达200将上报告警。
[ACC] interface gigabitethernet 0/0/1 [ACC-GigabitEthernet0/0/1] ip source check user-bind enable //启用IPSG功能 [ACC-GigabitEthernet0/0/1] ip source check user-bind alarm enable //使能IP报文检查告警功能 [ACC-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 200 //配置IP报文检查告警阀值,缺省为100 [ACC-GigabitEthernet0/0/1] quit [ACC] interface gigabitethernet 0/0/2 [ACC-GigabitEthernet0/0/2] ip source check user-bind enable //启用IPSG功能 [ACC-GigabitEthernet0/0/2] ip source check user-bind alarm enable //使能IP报文检查告警功能 [ACC-GigabitEthernet0/0/2] ip source check user-bind alarm threshold 200 //配置IP报文检查告警阀值,缺省为100 [ACC-GigabitEthernet0/0/2] quit4.4 验证测试
# 在交换机查看静态绑定表信息。
[ACC] display dhcp static user-bind all# 在交换机查看IPSG的状态,effective表示静态表项已生效。
[ACC] display dhcp static user-bind all verbose
