IPSG技术白皮书.docx

IPSG技术白皮书1IPSG关于本章1.1 介绍1.2 参考标准和协议1.3 原理描述1.4 应用1.1 介绍定义IPSG是IPSOUrCeGUard的简称。IPSG可以防范针对源IP地址进行欺骗的攻击行为。目的随着网络规模越来越大，基于源IP的攻击也逐渐增多。一些攻击者利用欺骗的手段获取到网络资源，取得合法使用网络资源的权限，甚至造成被欺骗者无法访问网络，或者信息泄露。IPSoUrCeGUard针对基于源IP的攻击提供了一种防御机制，可以有效的防止基于源地址欺骗的网络攻击行为。受益防御网络上的IP源攻击，降低对IP源攻击的维护成本。更安全的网络环境，更稳定的网络服务。1.2 参考标准和协议无。1.3 原理描述IPSOUrCeGUard功能是基于绑定表对IP报文进行匹配检查。当设备在转发IP报文时，将此IP报文中的源IP、源MAC、端口、VLAN信息和绑定表的信息进行比较，如果信息匹配，表明是合法用户，则允许此报文正常转发，否则认为是攻击报文，并丢弃该IP报文。如图1-1所示，攻击者伪造合法用户报文，篡改了设备MAC表的出接口信息，使服务器回复的报文被发送给攻击者。图IP/MAC欺骗攻击示意图为了防止此类攻击，可以在设备上配置IPSoUrCeGUard功能，对进入接口的IP报文进行绑定表匹配检查，报文的信息和绑定表一致，允许其通过，否则丢弃报文。IPSG检查项IPSourceGuard功能是基于绑定表对IP报文进行检查，检查内容包括：源IP地址、源MAC地址、VLAN和接口。设备支持的IPSourceGuard可以对这几项的任意组合进行检查。在接口视图下： 接口+IP 接口+MAC 接口+IP+MAC 接口+1P+VLAN 接口+MAC+VLAN 接口+IP+MAC+VLAN在VLAN视图下： VLAN+IP VLAN+MAC VLAN+IP+MAC VLAN+IP+Interface VLAN+MAC+Interface VLAN+IP+MAC+Interface1.配置基于VLAN的IPSoUrCeGuard：D.使能IP报文检查功能。Switchvlan100Switch-VlanlOOipsourcecheckuser-bindenable2).配置IP报文检查项。#配置检查IP报文的源IP地址和源MAC地址是否匹配绑定表Switch-VlanlOOipsourcecheckuser-bindcheck-itemip-addressmac-addressSwitch-vlanlOOquit3) .使用displayipsourcecheckuser-bind命令用来查看IP报文检查功能的配置信息。Switchdisplayipsourcecheckuser-bindIPSGVLANID:100IPSGcheckitems:IPMAC其中IPlMAC表示IP报文检查项为源IP地址和源MAC地址。2.配置基于接口的IPSourceGuard：1) .使能IP报文检查功能。Switchinterfacegigabitethernet1/0/1Switch-GigabitEthernetl/0/1ipsourcecheckuser-bindenable2) .配置IP报文检查项。#配置检查IP报文的源IP地址和源MAC地址是否匹配绑定表Switch-GigabitEthernetl/0/1ipsourcecheckuser-bindcheck-itemip-addressmac-addressSwitch-vlanlOOquit3) .使用displayipsourcecheckuser-bind命令用来查看IP报文检查功能的配置信息。Switchdisplayipsourcecheckuser-bindIPSGinterface:GigabitEthernetl/0/2IPSGcheckitems:IPMACIPSG alarm:EnableIPSGalarmthreshold:360其中IPlMAC表示IP报文检查项为源IP地址和源MAC地址。IPSG绑定机制IPSourceGuard支持的绑定表包括： 对于DHCP动态用户，当使能DHCPSnooPing功能后会动态生成绑定表。对于静态配置用户，需要手动配置静态绑定表。1.4应用1.4.1IPSG的典型组网应用如图1-2所示，HostA与HostB分别与SWitCh的GE1/0/1和GE1/0/2接口相连。用户的IP地址是静态分配的，要求使HostB不能仿冒HoSlA的IP和MAC欺骗服务器，保证HoSIA的IP报文能正常上送。企业需要在SWitCh的两个接口上使能IP报文检查功能，并配置HoStA的静态绑定表。MAC:1-1-1MAC:2-2-2#Switch的配置文件user-bindstaticip-address10.0.0.1mac-address0001-0001-0001interfaceGigabitEthernet1/0/1VIan10interfaceGigabitEthernet1/0/1iPsourcecheckuser-bindenableipsourcecheckuser-bindalarmenableipsourcecheckuser-bindalarmthreshold200#interfaceGigabitEthernet1/0/2iPsourcecheckUSer-bindenableipsourcecheckuser-bindalarmenableipsourcecheckuser-bindalarmthreshold200return