一、ipsg基础概念
ipsg是ip source guard的简称。ipsg可以防范针对源ip地址进行欺骗的攻击行为。
随着网络规模越来越大,基于源ip的攻击也逐渐增多。一些攻击者利用欺骗的手段获取到网络资源,取得合法使用网络资源的权限,甚至造成被欺骗者无法访问网络,或者信息泄露。ipsg针对基于源ip的攻击提供了一种防御机制,可以有效的防止基于源地址欺骗的网络攻击行为。
ipsg功能是基于绑定表(dhcp动态和静态绑定表)对ip报文进行匹配检查。当设备在转发ip报文时,将此ip报文中的源ip、源mac(media access control)、接口、vlan(virtual local area network)信息和绑定表的信息进行比较,如果信息匹配,表明是合法用户,则允许此报文正常转发,否则认为是攻击报文,并丢弃该ip报文。
二、部署场景
一般部署在靠近用户的接入交换机(也可以在汇聚或者核心交换机)上,可以防范针对源ip地址进行欺骗的攻击行为,如非法主机仿冒合法主机的ip地址获取上网权限或者攻击网络。主要应用场景如下:
场景1:通过ipsg防止主机私自更改ip地址 主机只能使用dhcp server分配的ip地址或者管理员配置的静态地址,随意更改ip地址后无法访问网络,防止主机非法取得上网权限。 打印机配置的静态ip地址只供打印机使用,防止主机通过仿冒打印机的ip地址访问网络。
场景2:通过ipsg限制非法主机接入(针对ip地址是静态分配的环境) 固定的主机只能从固定的接口接入,不能随意更换接入位置,满足基于接口限速的目的。 外来人员自带电脑不能随意接入内网,防止内网资源泄露。 对于ip地址是dhcp动态分配的环境,一般是通过nac认证(比如portal认证或802.1x认证等)功能实现限制非法主机接入。
三、组网拓扑
1. 思路
采用如下的思路在switch上配置ipsg功能(假设用户的ip地址是静态分配的):
- 接口使能ip报文检查功能。连接hosta和hostb的接口都需要使能该功能。
- 配置静态绑定表,对于静态配置ip的用户建立绑定关系表。
2. 配置步骤
(1) 配置ip报文检查功能
- system-view
- [huawei] sysname switch
- [switch] interface gigabitethernet 0/0/1
- [switch-gigabitethernet0/0/1] ip source check user-bind enable/// 在连接hosta的ge0/0/1接口使能ip报文检查功能。
- [switch-gigabitethernet0/0/1] ip source check user-bind alarm enable// 在连接hosta的ge0/0/1接口使能ip报文检查告警功能并配置告警阈值。
- [switch-gigabitethernet0/0/1] ip source check user-bind alarm threshold 200
- [switch-gigabitethernet0/0/1] quit
- [switch] interface gigabitethernet 0/0/2
- [switch-gigabitethernet0/0/2] ip source check user-bind enable//在连接hostb的ge0/0/2接口使能ip报文检查功能。
- [switch-gigabitethernet0/0/2] ip source check user-bind alarm enable// 在连接hostb的ge0/0/2接口使能ip报文检查告警功能并配置告警阈值。
- [switch-gigabitethernet0/0/2] ip source check user-bind alarm threshold 200
- [switch-gigabitethernet0/0/2] quit
(2) 配置静态绑定表项
[switch] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface gigabitethernet 0/0/1 vlan 10//配置hosta为静态绑定表项。
(3) 验证结果
在switch上执行display dhcp static user-bind all命令可以查看绑定表信息。
