FAQ-IPSG和静态ARP的区别?

发布时间:  2015-02-11 浏览次数:  277 下载次数:  0
问题描述

Q:IPSG和静态ARP的区别?

解决方案

A:IPSG(指基于静态绑定表的IPSG)和静态ARP都可以实现IP和MAC的绑定,它们的主要区别如表1所示。

表1 IPSG和静态ARP的区别

特性

实现IP和MAC绑定的配置命令

应用场景

IPSG

user-bind static ip-address { start-ip [ to end-ip ] } &<1-10> mac-address mac-address

说明:

此命令只是创建静态绑定表,要实现IPSG的应用,还需要在指定接口或指定VLAN上使能IPSG功能。

一般部署在靠近用户的接入交换机(也可以在汇聚或者核心交换机)上,防止内网中的IP地址欺骗攻击,如非法主机仿冒合法主机的IP地址获取上网权限。

静态ARP

arp static ip-address mac-address

一般部署在网关上,配置重要服务器的静态ARP表项,防止ARP欺骗攻击,保证主机和服务器之间的正常通信。

举例说明IPSG和静态ARP的应用,如图1所示。

 
  • 通过在Switch上配置IPSG,防止非法主机随意更改IP地址、仿冒合法主机取得上网权限。
  • 通过在Gateway上配置服务器的静态ARP表项,防止非法服务器的ARP攻击、错误刷新ARP表项,导致主机无法和合法服务器通信。


IPSG和静态ARP的功能区别如下:
  • 静态ARP防止不了IP地址欺骗攻击

    假设Switch上未配置IPSG,而是在网关上配置了主机的静态ARP。当非法主机仿冒合法主机的IP地址访问Internet,报文转发过程如下:

    1. 非法主机发送的报文到达Switch。
    2. Switch将报文转发到Gateway。
    3. Gateway将报文发往Internet。
    4. Internet回程报文到达Gateway。
    5. Gateway根据目的IP地址(即仿冒的合法主机的IP地址)查找静态ARP表项,这个IP对应的MAC为合法主机的MAC,Gateway将封装后的报文发送给Switch。
    6. Switch根据目的MAC地址将报文转发到合法主机。

    从过程来看,如果伪造的是合法主机的IP地址,配置静态ARP也能防止非法主机更改IP地址上网,但是会导致合法主机收到大量非法回应报文。如果合法主机在线时,非法主机不断构造并发送这种报文,则会对合法主机造成攻击。

    如果非法主机仿冒的IP地址是一个未使用的IP地址,并且这个IP地址没有被添加到静态ARP表中,则会仿冒成功,回程报文可以到达非法主机。如果是希望通过配置静态ARP来防止主机仿冒IP,那就需要把所有的IP(包括未使用的IP)都添加到静态ARP表项中,这样配置工作量会很大。

    另外,因为是在网关上配置的静态ARP,所以Switch所连接的网络内是存在IP欺骗攻击的,这个无法避免。

    所以,如果是为了防止内网中的IP地址欺骗的攻击行为,建议在Switch上配置IPSG更为合适。

  • IPSG防止不了ARP欺骗攻击

    假设Switch上配置了IPSG,而网关上未配置主机的静态ARP。
    1. 非法主机伪造了合法主机的IP地址发送了虚假的ARP请求报文到达Switch。
    2. Switch会转发到Gateway,导致Gateway将合法主机的ARP表项刷新成错误的表项(IP为合法主机的IP,MAC为非法主机的MAC)。
    3. 当合法主机访问Internet,Internet回程报文将被转发到非法主机,导致合法主机也上不了网。

      而且,从Internet主动发给合法主机的报文也会被非法主机截获,无法正常发送到合法主机。

    为了解决这个问题,一种方法是在网关上同时配置主机的静态ARP,但是对于主机规模较大的场景下配置和维护会非常复杂。另一种方法是在Switch上同时配置DAI功能,Switch对于接口上收到的ARP报文也会匹配绑定表,对于非法的ARP报文同样会因与绑定表不匹配而被Switch丢弃。非法ARP报文到达不了网关,也就更改不了ARP表项。

由此可见,IPSG、静态ARP、包括DAI的技术是针对不同需求的。为了网络更加安全,建议综合考虑,灵活应用。

END