FAQ-IPSG与端口安全的区别

发布时间:  2015-02-16 浏览次数:  218 下载次数:  0
问题描述

IPSG与端口安全有什么区别?

解决方案

IPSG(指基于静态绑定表的IPSG)和端口安全都可以实现MAC地址和接口的绑定,它们的主要区别如表1所示。

表1 IPSG与端口安全的区别
 

特性

功能介绍

应用场景

IPSG

通过在绑定表中固定MAC和接口的绑定关系,实现固定主机只能从固定接口上线,并且绑定表以外的非法MAC主机无法通过设备通信。

绑定表项需要手工配置,如果主机较多,配置工作量比较大。

绑定MAC和接口只是IPSG的一部分功能,IPSG能实现IP地址、MAC地址、VLAN和接口之间的任意绑定。它主要用来防止IP地址欺骗攻击,如防止非法主机盗用合法主机的IP地址,非法获取上网权限或者攻击网络。

端口安全

通过将接口学习到的指定数量的动态MAC地址转换为安全MAC地址,以固定MAC表项,实现固定主机只能从固定接口上线,并且MAC表以外的非法MAC主机无法通过设备通信。

安全MAC地址是动态生成的,无需手工配置。

防止非法主机接入,还可以控制接入主机的数量,比较适合于主机较多的场景。



因此,如果只是希望阻止非法MAC通过设备通信,并且在主机较多的环境下,配置端口安全更合适。

例如在接口GE0/0/1上使能端口安全,限制只允许前100个MAC地址通过设备通信。配置示例如下:

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port-security enable
[HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 100

而如果是通过配置IPSG实现,则需要手工创建100条静态绑定表项。示例如下(仅以创建一条绑定表项为例说明):

<HUAWEI> system-view
[HUAWEI] user-bind static mac-address 0002-0002-0002 interface gigabitethernet 0/0/1
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind enable
 

END