评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
IPSG概述
IPSG是IP Source Guard的简称。IPSG可以防范针对源IP地址进行欺骗的攻击行为。
随着网络规模越来越大,基于源IP的攻击也逐渐增多。一些攻击者利用欺骗的手段获取到网络资源,取得合法使用网络资源的权限,甚至造成被欺骗者无法访问网络,或者信息泄露。IPSG针对基于源IP的攻击提供了一种防御机制,可以有效的防止基于源地址欺骗的网络攻击行为。
IPSG功能是基于绑定表(DHCP动态和静态绑定表)对IP报文进行匹配检查。当设备在转发IP报文时,将此IP报文中的源IP、源MAC(Media Access Control)、接口、VLAN(Virtual Local Area Network)信息和绑定表的信息进行比较,如果信息匹配,表明是合法用户,则允许此报文正常转发,否则认为是攻击报文,并丢弃该IP报文。
如图14-1所示,攻击者伪造合法用户报文,篡改了Switch上MAC表的出接口信息,使服务器回复的报文被发送给攻击者。
为了防止此类攻击,可以在Switch上配置IPSG功能,对进入接口的IP报文进行绑定表匹配检查,合法用户发送报文的信息和绑定表一致,允许其通过;攻击者伪造的报文信息和绑定表不一致,Switch将报文丢弃。
IPSG功能是基于绑定表对IP报文进行检查,检查内容包括:源IP地址、源MAC地址、VLAN和接口。设备支持的IPSG可以对这几项的任意组合进行检查。
在接口视图下:![]()
- 接口+IP
- 接口+MAC
- 接口+IP+MAC
- 接口+IP+VLAN
- 接口+MAC+VLAN
- 接口+IP+MAC+VLAN
NVE接口视图下只支持检查IP地址。
在VLAN视图下:
- VLAN+IP
- VLAN+MAC
- VLAN+IP+MAC
- VLAN+IP+接口
- VLAN+MAC+接口
- VLAN+IP+MAC+接口
