详解IPSG

IPSG是一种基于 IP/MAC 的端口流量过滤技术，它可以防止局域网内的 IP 地址欺骗攻击。IPSG 能够确保第 2 层网络中终端设备的 IP 地址不会被劫持，而且还能确保非授权设备不能通过自己指定 IP 地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪，下面为大家详细讲解一下IPSG。

成都创新互联致力于互联网品牌建设与网络营销，包括网站制作、做网站、SEO优化、网络推广、整站优化营销策划推广、电子商务、移动互联网营销等。成都创新互联为不同类型的客户提供良好的互联网应用定制及解决方案，成都创新互联核心团队十多年专注互联网开发，积累了丰富的网站经验，为广大企业客户提供一站式企业网站建设服务，在网站建设行业内树立了良好口碑。

IPSG基础概念

随着网络规模越来越大，基于源IP的攻击也逐渐增多。一些攻击者利用欺骗的手段获取到网络资源，取得合法使用网络资源的权限，甚至造成被欺骗者无法访问网络，或者信息泄露。IPSG针对基于源IP的攻击提供了一种防御机制，可以有效的防止基于源地址欺骗的网络攻击行为。

IPSG功能是基于绑定表(DHCP动态和静态绑定表)对IP报文进行匹配检查。当设备在转发IP报文时，将此IP报文中的源IP、源MAC(Media Access Control)、接口、VLAN(Virtual Local Area Network)信息和绑定表的信息进行比较，如果信息匹配，表明是合法用户，则允许此报文正常转发，否则认为是攻击报文，并丢弃该IP报文。

疫情当前 网络安全更重要——IPSG特性疫情当前 网络安全更重要——IPSG特性

部署场景

一般部署在靠近用户的接入交换机(也可以在汇聚或者核心交换机)上，可以防范针对源IP地址进行欺骗的攻击行为，如非法主机仿冒合法主机的IP地址获取上网权限或者攻击网络。主要应用场景如下：

场景1：通过IPSG防止主机私自更改IP地址 主机只能使用DHCP Server分配的IP地址或者管理员配置的静态地址，随意更改IP地址后无法访问网络，防止主机非法取得上网权限。 打印机配置的静态IP地址只供打印机使用，防止主机通过仿冒打印机的IP地址访问网络。

场景2：通过IPSG限制非法主机接入(针对IP地址是静态分配的环境) 固定的主机只能从固定的接口接入，不能随意更换接入位置，满足基于接口限速的目的。 外来人员自带电脑不能随意接入内网，防止内网资源泄露。 对于IP地址是DHCP动态分配的环境，一般是通过NAC认证(比如Portal认证或802.1x认证等)功能实现限制非法主机接入。

组网拓扑

疫情当前 网络安全更重要——IPSG特性疫情当前 网络安全更重要——IPSG特性

思路

采用如下的思路在Switch上配置IPSG功能(假设用户的IP地址是静态分配的)：

接口使能IP报文检查功能。连接HostA和HostB的接口都需要使能该功能。

配置静态绑定表，对于静态配置IP的用户建立绑定关系表。

配置步骤

(1) 配置IP报文检查功能

system-view
[HUAWEI] sysname Switch
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] ip source check user-bind enable/// 在连接HostA的GE0/0/1接口使能IP报文检查功能。
[Switch-GigabitEthernet0/0/1] ip source check user-bind alarm enable// 在连接HostA的GE0/0/1接口使能IP报文检查告警功能并配置告警阈值。
[Switch-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 200
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] ip source check user-bind enable//在连接HostB的GE0/0/2接口使能IP报文检查功能。
[Switch-GigabitEthernet0/0/2] ip source check user-bind alarm enable// 在连接HostB的GE0/0/2接口使能IP报文检查告警功能并配置告警阈值。
[Switch-GigabitEthernet0/0/2] ip source check user-bind alarm threshold 200
[Switch-GigabitEthernet0/0/2] quit

(2) 配置静态绑定表项

[Switch] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface gigabitethernet 0/0/1 vlan 10//配置HostA为静态绑定表项。

(3) 验证结果

在Switch上执行命令可以查看绑定表信息。

display dhcp static user-bind all

疫情当前 网络安全更重要——IPSG特性疫情当前 网络安全更重要——IPSG特性

网页标题：详解IPSG
网站网址：http://www.zyruijie.cn/qtweb/news11/4761.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联