IPSG(IP Source Guard):IP源防攻击

一、IPSG(IP Source Guard):IP源防攻击

1.1 基于二层接口的源地址过滤技术

1.2 防止恶意主机伪造合法主机的IP地址

1.3 确保非授权主机不能通过自己制定IP来访问和攻击网络

二、IPSG工作原理

2.1 利用绑定表去匹配二层接口收到的IP报文，只有匹配绑定表才可以通过，否则丢弃

三、IPSG绑定表两种方式：

3.1 静态绑定：使用user-bind 命令手工配置

3.2 动态绑定：配置DHCP Snooping (推荐）

绑定表生产后，IPSG绑定表向指定的接口或VLAN下发ACL，由ACL来匹配IP报文

四、IPSG案例（user-bind + DHCP Snooping）

4.1  PC1-PC2连接SW1，SW1上联口G0/01与核心交换机SW2 G0/0/1相连

4.2  SW2配置为DHCP服务器

4.3  SW1配置 user-bind或DHCP Snooping，添加上联口G0/0/1为信任端口。SW1下的终端，只能通过SW2获取IP地址，防止恶意主机伪造合法主机的IP地址攻击网络（防止DHCP攻击和ARP攻击）

五、案例配置

5.1 SW2 设置DHCP服务器

[SW2]dhcp enable
[SW2]int vlan 1
[SW2-Vlanif1]ip add 192.168.1.254 24
[SW2-Vlanif1]dhcp select interface
[SW2-Vlanif1]dhcp server excluded-ip-address 192.168.1.252 192.168.1.253
[SW2-Vlanif1]dhcp server dns-list 114.114.114.114 8.8.8.8

5.2 SW1 配置IPSG 

user-bind 静态绑定 PC2 的IP 及MAC到e0/0/2 接口

[SW1]dhcp enable
[SW1]dhcp snooping enable ipv4 
[SW1]user-bind static ip-add 192.168.1.2 mac-address 5489-98C7-3CF9 int e0/0/2
[SW1]int e0/0/2
[SW1-Ethernet0/0/2]ip source check user-bind enable  #接口下使能ip报文检查功能
[SW1]dis dhcp static user-bind all       #查看dhcp静态绑定列表

DHCP Snooping 动态绑定方式 （推荐）

[SW1]dhcp enable
[SW1]dhcp snooping enable ipv4 
[SW1]vlan 1  
[SW1-vlan1]dhcp snooping enable 
[SW1-vlan1]dhcp snooping trusted int g0/0/1   #添加g0/0/1 为信任接口
[SW1-vlan1]ip source check user-bind enable   #vlan下使能ip报文检查功能
[SW1]dis dhcp snooping user-bind all  #查看dhcp snooping 绑定列表