IPSG
埠流量過濾技術
IP源防護(IP Source Guard,簡稱IPSG)是一種基於IP/MAC的埠流量過濾技術,它可以防止區域網內的IP地址欺騙攻擊。IPSG能夠確保第2層網路中終端設備的IP地址不會被劫持,而且還能確保非授權設備不能通過自己指定IP地址的方式來訪問網路或攻擊網路導致網路崩潰及癱瘓。
交換機內部有一個IP源綁定表(IP Source Binding Table)作為每個埠接受到的數據包的檢測標準,
只有在兩種情況下,交換機會轉發數據:
所接收到的IP包滿足IP源綁定表中Port/IP/MAC的對應關係
所接收到的是DHCP數據包
其餘數據包將被交換機做丟棄處理。
IP源綁定表可以由用戶在交換機上靜態添加,或者由交換機從DHCP監聽綁定表(DHCP Snooping Bi
nding Table)自動學習獲得。靜態配置是一種簡單而固定的方式,但靈活性很差,因此Cisco建議用
戶最好結合DHCP Snooping技術使用IP Source Guard,由DHCP監聽綁定表生成IP源綁定表。
IPSG配置前必須先配置ip dhcp snooping
Switch(config-if)#ip verify source//是35系列交換機的命令
Switch(config-if)#ip verify source vlan dhcp-snooping//介面級命令;在該介面下開啟IP源防護功能
說明:
ip verify source vlan dhcp-snooping是45/65系列交換機以及76系列路由器的命令
這兩條命令后還有個參數port-security,即命令:
Switch(config-if)#ip verify source port-security
Switch(config-if)#ip verify source vlan dhcp-snooping port-security
不加port-security參數,表示IP源防護功能只執行“源IP地址過濾”模式
加上port-security參數以後,就表示IP源防護功能執行“源IP和源MAC地址過濾”模式
當執行“源IP和源MAC地址過濾”模式時,還可以通過以下命令限制非法MAC包的速度
Switch(config-if)#switchport port-security limit rate invalid-source-mac50
//介面級命令;限制非法二層報文的速度為每秒50個;可以用參數none表示不限制
//只在“源IP和源MAC地址過濾”模式下有效,並且只有45系列及以上才支持該命令;
添加一條靜態IP源綁定條目:
Switch(config)#ip source binding 000f.1fc5.1008 vlan 10 192.168.10.131 interface fa0/2
//全局命令;對應關係為:vlan10-000f.1f05.1008-192.168.10.131-fa0/2
Switch#show ip source binding//顯示當前的IP源綁定表
Switch#show ip verify source//顯示當前的IP源地址過濾器的實際工作狀態