IPSG技术白皮书.docx

上传人:夺命阿水 文档编号:1204142 上传时间:2024-04-01 格式:DOCX 页数:6 大小:55.74KB
返回 下载 相关 举报
IPSG技术白皮书.docx_第1页
第1页 / 共6页
IPSG技术白皮书.docx_第2页
第2页 / 共6页
IPSG技术白皮书.docx_第3页
第3页 / 共6页
IPSG技术白皮书.docx_第4页
第4页 / 共6页
IPSG技术白皮书.docx_第5页
第5页 / 共6页
点击查看更多>>
资源描述

《IPSG技术白皮书.docx》由会员分享,可在线阅读,更多相关《IPSG技术白皮书.docx(6页珍藏版)》请在课桌文档上搜索。

1、IPSG技术白皮书1IPSG关于本章1.1 介绍1.2 参考标准和协议1.3 原理描述1.4 应用1.1 介绍定义IPSG是IPSOUrCeGUard的简称。IPSG可以防范针对源IP地址进行欺骗的攻击行为。目的随着网络规模越来越大,基于源IP的攻击也逐渐增多。一些攻击者利用欺骗的手段获取到网络资源,取得合法使用网络资源的权限,甚至造成被欺骗者无法访问网络,或者信息泄露。IPSoUrCeGUard针对基于源IP的攻击提供了一种防御机制,可以有效的防止基于源地址欺骗的网络攻击行为。受益防御网络上的IP源攻击,降低对IP源攻击的维护成本。更安全的网络环境,更稳定的网络服务。1.2 参考标准和协议无

2、。1.3 原理描述IPSOUrCeGUard功能是基于绑定表对IP报文进行匹配检查。当设备在转发IP报文时,将此IP报文中的源IP、源MAC、端口、VLAN信息和绑定表的信息进行比较,如果信息匹配,表明是合法用户,则允许此报文正常转发,否则认为是攻击报文,并丢弃该IP报文。如图1-1所示,攻击者伪造合法用户报文,篡改了设备MAC表的出接口信息,使服务器回复的报文被发送给攻击者。图IP/MAC欺骗攻击示意图为了防止此类攻击,可以在设备上配置IPSoUrCeGUard功能,对进入接口的IP报文进行绑定表匹配检查,报文的信息和绑定表一致,允许其通过,否则丢弃报文。IPSG检查项IPSourceGua

3、rd功能是基于绑定表对IP报文进行检查,检查内容包括:源IP地址、源MAC地址、VLAN和接口。设备支持的IPSourceGuard可以对这几项的任意组合进行检查。在接口视图下: 接口+IP 接口+MAC 接口+IP+MAC 接口+1P+VLAN 接口+MAC+VLAN 接口+IP+MAC+VLAN在VLAN视图下: VLAN+IP VLAN+MAC VLAN+IP+MAC VLAN+IP+Interface VLAN+MAC+Interface VLAN+IP+MAC+Interface1.配置基于VLAN的IPSoUrCeGuard:D.使能IP报文检查功能。Switchvlan100Sw

4、itch-VlanlOOipsourcecheckuser-bindenable2).配置IP报文检查项。#配置检查IP报文的源IP地址和源MAC地址是否匹配绑定表Switch-VlanlOOipsourcecheckuser-bindcheck-itemip-addressmac-addressSwitch-vlanlOOquit3) .使用displayipsourcecheckuser-bind命令用来查看IP报文检查功能的配置信息。Switchdisplayipsourcecheckuser-bindIPSGVLANID:100IPSGcheckitems:IPMAC其中IPlMAC表

5、示IP报文检查项为源IP地址和源MAC地址。2.配置基于接口的IPSourceGuard:1) .使能IP报文检查功能。Switchinterfacegigabitethernet1/0/1Switch-GigabitEthernetl/0/1ipsourcecheckuser-bindenable2) .配置IP报文检查项。#配置检查IP报文的源IP地址和源MAC地址是否匹配绑定表Switch-GigabitEthernetl/0/1ipsourcecheckuser-bindcheck-itemip-addressmac-addressSwitch-vlanlOOquit3) .使用dis

6、playipsourcecheckuser-bind命令用来查看IP报文检查功能的配置信息。Switchdisplayipsourcecheckuser-bindIPSGinterface:GigabitEthernetl/0/2IPSGcheckitems:IPMACIPSG alarm:EnableIPSGalarmthreshold:360其中IPlMAC表示IP报文检查项为源IP地址和源MAC地址。IPSG绑定机制IPSourceGuard支持的绑定表包括: 对于DHCP动态用户,当使能DHCPSnooPing功能后会动态生成绑定表。对于静态配置用户,需要手动配置静态绑定表。1.4应用

7、1.4.1IPSG的典型组网应用如图1-2所示,HostA与HostB分别与SWitCh的GE1/0/1和GE1/0/2接口相连。用户的IP地址是静态分配的,要求使HostB不能仿冒HoSlA的IP和MAC欺骗服务器,保证HoSIA的IP报文能正常上送。企业需要在SWitCh的两个接口上使能IP报文检查功能,并配置HoStA的静态绑定表。MAC:1-1-1MAC:2-2-2#Switch的配置文件user-bindstaticip-address10.0.0.1mac-address0001-0001-0001interfaceGigabitEthernet1/0/1VIan10interfaceGigabitEthernet1/0/1iPsourcecheckuser-bindenableipsourcecheckuser-bindalarmenableipsourcecheckuser-bindalarmthreshold200#interfaceGigabitEthernet1/0/2iPsourcecheckUSer-bindenableipsourcecheckuser-bindalarmenableipsourcecheckuser-bindalarmthreshold200return

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 在线阅读 > 生活休闲


备案号:宁ICP备20000045号-1

经营许可证:宁B2-20210002

宁公网安备 64010402000986号