华为eNSP实验:IP Source Guard

一:IP Source Guard:

IP Source Guard(简称IPSG)是一种基于二层接口的源IP地址过滤技术,用于防止恶意主机伪造合法主机的IP地址进行网络攻击。以下是对IP Source Guard的详细解析:

  1. 基本概念

    • IP Source Guard是一种网络安全功能,旨在防止IP地址欺骗和DoS(Denial of Service)攻击。它通过验证数据包的源IP地址来确保只有合法设备能够发送流量。
    • 随着网络规模的扩大,不法行为也随之增加,IP Source Guard提供了一种防御机制,通过维护绑定表,对报文进行信息匹配,可以有效阻止IP地址欺骗等网络攻击行为。
  2. 工作原理

    • IP Source Guard维护了一张绑定表,记录了源IP地址、源MAC地址、所属VLAN、入接口的绑定关系。当应用IP Source Guard的二层接口收到IP报文时,会将报文信息与绑定表信息进行匹配,只有匹配关系正确的报文允许通过接口,其他报文将被丢弃。
    • IP Source Guard仅支持在二层物理接口或者VLAN上应用,且只对使能了IP Source Guard功能的非信任接口进行检查。
  3. 配置方式

    • IP Source Guard的配置包括静态绑定表项和动态绑定功能的设置。
    • 静态绑定表项是手动配置的,将特定的MAC地址与IP地址绑定在一起,适用于固定IP的设备。
    • 动态绑定功能是基于DHCP Snooping的信任域,通过观察DHCP服务器分配的IP地址来自动创建绑定表项,适用于动态获取IP地址的设备。
  4. 典型应用

    • 在局域网络中,IP Source Guard通常部署在接入层交换机或路由器上,用于检查流入流量的源IP地址,并与预先配置的绑定表项进行匹配。
    • 如果匹配成功,数据包会被允许通过;否则,可能会被丢弃或标记为非法。
  5. 实现过程

    • 非法主机仿冒合法主机的IP地址发送报文到达设备后,因报文和绑定表不匹配被设备丢弃。
    • IP Source Guard的实现过程包括非法主机仿冒合法主机的IP地址发送报文到达设备后,因报文和绑定表不匹配被设备丢弃。
  6. 注意事项

    • 管理员需要定期查看和维护IP Source Guard的绑定表,以确保其准确性和安全性。
    • 常见的配置错误可能包括静态绑定表项配置不当,导致合法流量被阻止,或者动态绑定功能配置错误,无法正确跟踪DHCP分配的IP地址。

二:IP Source Guard的实验拓扑图以及实验步骤:

配置LSW1
<Huawei>system-view                            //进入系统视图
[Huawei]undo info-center enable            //关闭信息中心
[Huawei]sysname S1                              //命名为S1

配置PC1静态用户绑定
[S1]user-bind static ip-address 10.1.1.1 mac-address 5489-9804-71A2        //配置PC1静态用户绑定
Info: 1 static user-bind item(s) added.

配置PC2静态用户绑定
[S1]user-bind static ip-address 10.1.1.10 mac-address 5489-9863-7DD2        //配置PC2静态用户绑定
Info: 1 static user-bind item(s) added.

使能E0/0/1接口IPSG和IP报文检查告警功能
[S1]interface e0/0/1                //使能E0/0/1接口IPSG和IP报文检查告警功能
[S1-Ethernet0/0/1]ip source check user-bind enable
Info: Add permit rule for dynamic snooping bind-table, please wait a minute!done
.
[S1-Ethernet0/0/1]ip source check user-bind alarm enable
[S1-Ethernet0/0/1]ip source check user-bind alarm threshold 100

使能E0/0/2接口IPSG和IP报文检查告警功能
[S1-Ethernet0/0/1]interface e0/0/2                //使能E0/0/2接口IPSG和IP报文检查告警功能
[S1-Ethernet0/0/2]ip source check user-bind enable
Info: Add permit rule for dynamic snooping bind-table, please wait a minute!done
.
[S1-Ethernet0/0/2]ip source check user-bind alarm enable
[S1-Ethernet0/0/2]ip source check user-bind alarm threshold 100
[S1-Ethernet0/0/2]

查看静态绑定表的信息
[S1]display dhcp static user-bind all
DHCP static Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - map vlan 
IP Address                      MAC Address     VSI/VLAN(O/I/P) Interface       

--------------------------------------------------------------------------------
10.1.1.1                        5489-9804-71a2  --  /--  /--    --              
10.1.1.10                       5489-9863-7dd2  --  /--  /--    --              
--------------------------------------------------------------------------------
print count:           2          total count:           2         
[S1]

三:总结

综上所述,IP Source Guard是一种有效的网络安全功能,可以防止IP地址欺骗和DoS攻击,提高网络的安全性。在实际应用中,应根据设备的具体型号和网络环境选择合适的配置方案,并定期查看和维护绑定表以确保其准确性和安全性。

上一篇:算法日记 20-22 day 回溯算法


下一篇:传统型视频展台方案分享