疫情當前 網路安全更重要——IPSG特性

IPSG是IP Source Guard的簡稱。IPSG可以防範針對源IP地址進行欺騙的攻擊行為。

隨著網路規模越來越大，基於源IP的攻擊也逐漸增多。一些攻擊者利用欺騙的手段獲取到網路資源，取得合法使用網路資源的許可權，甚至造成被欺騙者無法訪問網路，或者資訊洩露。IPSG針對基於源IP的攻擊提供了一種防禦機制，可以有效的防止基於源地址欺騙的網路攻擊行為。

IPSG功能是基於繫結表(DHCP動態和靜態繫結表)對IP報文進行匹配檢查。當裝置在轉發IP報文時，將此IP報文中的源IP、源MAC(Media Access Control)、介面、VLAN(Virtual Local Area Network)資訊和繫結表的資訊進行比較，如果資訊匹配，表明是合法使用者，則允許此報文正常轉發，否則認為是攻擊報文，並丟棄該IP報文。

一般部署在靠近使用者的接入交換機(也可以在匯聚或者核心交換機)上，可以防範針對源IP地址進行欺騙的攻擊行為，如非法主機仿冒合法主機的IP地址獲取上網許可權或者攻擊網路。主要應用場景如下：

場景1：透過IPSG防止主機私自更改IP地址 主機只能使用DHCP Server分配的IP地址或者管理員配置的靜態地址，隨意更改IP地址後無法訪問網路，防止主機非法取得上網許可權。 印表機配置的靜態IP地址只供印表機使用，防止主機透過仿冒印表機的IP地址訪問網路。

場景2：透過IPSG限制非法主機接入(針對IP地址是靜態分配的環境) 固定的主機只能從固定的介面接入，不能隨意更換接入位置，滿足基於介面限速的目的。 外來人員自帶電腦不能隨意接入內網，防止內網資源洩露。 對於IP地址是DHCP動態分配的環境，一般是透過NAC認證(比如Portal認證或802.1x認證等)功能實現限制非法主機接入。

採用如下的思路在Switch上配置IPSG功能(假設使用者的IP地址是靜態分配的)：

介面使能IP報文檢查功能。連線HostA和HostB的介面都需要使能該功能。

配置靜態繫結表，對於靜態配置IP的使用者建立繫結關係表。

(1) 配置IP報文檢查功能

system-view
[HUAWEI] sysname Switch
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] ip source check user-bind enable/// 在連線HostA的GE0/0/1介面使能IP報文檢查功能。
[Switch-GigabitEthernet0/0/1] ip source check user-bind alarm enable// 在連線HostA的GE0/0/1介面使能IP報文檢查告警功能並配置告警閾值。
[Switch-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 200
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] ip source check user-bind enable//在連線HostB的GE0/0/2介面使能IP報文檢查功能。
[Switch-GigabitEthernet0/0/2] ip source check user-bind alarm enable// 在連線HostB的GE0/0/2介面使能IP報文檢查告警功能並配置告警閾值。
[Switch-GigabitEthernet0/0/2] ip source check user-bind alarm threshold 200
[Switch-GigabitEthernet0/0/2] quit

(2) 配置靜態繫結表項

[Switch] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface gigabitethernet 0/0/1 vlan 10//配置HostA為靜態繫結表項。

(3) 驗證結果

在Switch上執行 可以檢視繫結表資訊。

display dhcp static user-bind all

原文地址：