网工干货知识

网工技术实战
当前位置:首页 > 干货知识

华为IPSG配置

更新时间:2021年11月04日   作者:spoto   标签(Tag):

IPSG简介

定义

IP源防攻击IPSG(IP Source Guard)是一种基于二层接口的源IP地址过滤技术,它能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。
 

目的

随着网络规模越来越大,通过伪造源IP地址实施的网络攻击(简称IP地址欺骗攻击)也逐渐增多。一些攻击者通过伪造合法用户的IP地址获取网络访问权限,非法访问网络,甚至造成合法用户无法访问网络,或者信息泄露。IPSG针对IP地址欺骗攻击提供了一种防御机制,可以有效阻止此类网络攻击行为。

一个典型的利用IPSG防攻击的示例如图所示,非法主机伪造合法主机的IP地址获取上网权限。此时,通过在设备的接入用户侧的接口或VLAN上部署IPSG功能,设备可以对进入接口的IP报文进行检查,丢弃非法主机的报文,从而阻止此类攻击。
典型利用IPSG防攻击示例

 

基本原理

IPSG利用绑定表(源IP地址、源MAC地址、所属VLAN、入接口的绑定关系)去匹配检查二层接口上收到的IP报文,只有匹配绑定表的报文才允许通过,其他报文将被丢弃。

绑定表包括静态和动态两种。
静态绑定表:
使用user-bind命令手工配置。适用于主机数较少且主机使用静态IP地址的场景。 DHCP Snooping动态绑定表:
配置DHCP Snooping功能后,DHCP主机动态获取IP地址时,设备根据DHCP服务器发送的DHCP回复的ACK报文动态生成。
适用于主机数较多且主机从DHCP服务器获取IP地址的场景。

绑定表生成后,主机发送的报文,只有匹配绑定表才会允许通过,不匹配绑定表的报文都将被丢弃。缺省情况下,如果在没有绑定表的情况下使能了IPSG,设备将拒绝除DHCP请求报文外的所有IP报文。
非法主机仿冒合法主机的IP地址发送报文到达Router后,因报文和绑定表不匹配被Router丢弃,如下图:

非法主机仿冒合法主机

IPSG应用场景

IPSG在园区网中的常见应用,如通过IPSG防止主机私自更改IP地址上网、限制非法主机接入网络。
某园区网如下图所示,针对不同的园区,可能会有不同地址规划。一般情况下:
•在园区规模较小时,园区内主机和打印机会使用静态的IP地址;
•在园区规模稍大时,园区内主机会通过DHCP方式获取IP地址,而部分打印机等使用静态的IP地址。
IPSG在园区网中的常见应用

 

场景1:通过IPSG防止主机私自更改IP地址

主机只能使用DHCP Server分配的IP地址或者管理员配置的静态地址,随意更改IP地址后无法访问网络,防止主机非法取得上网权限。
打印机配置的静态IP地址只供打印机使用,防止主机通过仿冒打印机的IP地址访问网络。
 

场景2:通过IPSG限制非法主机接入(针对IP地址是静态分配的环境)

•固定的主机只能从固定的接口接入,不能随意更换接入位置,满足基于接口限速的目的。
•外来人员自带电脑不能随意接入内网,防止内网资源泄露。
 

IPSG配置举例

配置IPSG防止主机仿冒其他主机IP地址示例(静态绑定)
配置IPSG防止主机仿冒其他主机IP地址

 

组网需求

Host通过Router接入网络,Gateway为企业出口网关,各Host均使用静态配置的IP地址。管理员希望Host使用管理员分配的固定IP地址上网,不允许仿冒其他主机的IP地址非法获取网络访问权限。
 

配置思路

1.在Router上配置Host_1和Host_2的静态绑定表,固定IP和MAC的绑定关系。
2.在Router连接用户主机的接口使能IPSG,实现Host只能使用管理员分配的固定IP地址上网。
 

操作步骤

1.创建Host_1和Host_2的静态绑定表项

system-view
[Huawei] sysname Router
[Router] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001
[Router] user-bind static ip-address 10.0.0.11 mac-address 0002-0002-0002
 

2.使能IPSG功能

# 在连接Host_1的Eth0/0/1接口使能IPSG功能。
[Router] interface ethernet 0/0/1
[Router-Ethernet0/0/1] ip source check user-bind enable
[Router-Ethernet0/0/1] quit
# 在连接Host_2的Eth0/0/2接口使能IPSG功能。
[Router] interface ethernet 0/0/2
[Router-Ethernet0/0/2] ip source check user-bind enable
[Router-Ethernet0/0/2] quit

 

 

3.验证配置结果

在Router上执行display dhcp static user-bind all命令,可以查看静态绑定表信息。
[Router] display dhcp static user-bind all
DHCP static Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
IP Address MAC Address VSI/VLAN(O/I/P) Interface
-------------------------------------------------------------------------------
10.0.0.1 0001-0001-0001 -- /-- /-- --
10.0.0.11 0002-0002-0002 -- /-- /-- --
-------------------------------------------------------------------------------
Print count: 2 Total count: 2
Host_1和Host_2使用管理员分配的固定IP地址可以正常访问网络,更改IP地址后无法访问网络。

 

 

 

 马上抢免费试听资格
意向课程: *必选
姓名: *必填
联系方式: *必填
QQ:
思博SPOTO在线咨询

上一篇:华为基础命令

下一篇:最后一页

相关资讯

7天无条件退款
24小时实验室开放
全程跟踪服务
无条件免费重读

即刻预约

免费试听-咨询课程-获取免费资料

思博网络SPOTO新活动