一、IPSG基礎(chǔ)概念

IPSG是IP Source Guard的簡(jiǎn)稱。IPSG可以防范針對(duì)源IP地址進(jìn)行欺騙的攻擊行為。

隨著網(wǎng)絡(luò)規(guī)模越來(lái)越大，基于源IP的攻擊也逐漸增多。一些攻擊者利用欺騙的手段獲取到網(wǎng)絡(luò)資源，取得合法使用網(wǎng)絡(luò)資源的權(quán)限，甚至造成被欺騙者無(wú)法訪問(wèn)網(wǎng)絡(luò)，或者信息泄露。IPSG針對(duì)基于源IP的攻擊提供了一種防御機(jī)制，可以有效的防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。

IPSG功能是基于綁定表(DHCP動(dòng)態(tài)和靜態(tài)綁定表)對(duì)IP報(bào)文進(jìn)行匹配檢查。當(dāng)設(shè)備在轉(zhuǎn)發(fā)IP報(bào)文時(shí)，將此IP報(bào)文中的源IP、源MAC(Media Access Control)、接口、VLAN(Virtual Local Area Network)信息和綁定表的信息進(jìn)行比較，如果信息匹配，表明是合法用戶，則允許此報(bào)文正常轉(zhuǎn)發(fā)，否則認(rèn)為是攻擊報(bào)文，并丟棄該IP報(bào)文。

二、部署場(chǎng)景

一般部署在靠近用戶的接入交換機(jī)(也可以在匯聚或者核心交換機(jī))上，可以防范針對(duì)源IP地址進(jìn)行欺騙的攻擊行為，如非法主機(jī)仿冒合法主機(jī)的IP地址獲取上網(wǎng)權(quán)限或者攻擊網(wǎng)絡(luò)。主要應(yīng)用場(chǎng)景如下：

場(chǎng)景1：通過(guò)IPSG防止主機(jī)私自更改IP地址 主機(jī)只能使用DHCP Server分配的IP地址或者管理員配置的靜態(tài)地址，隨意更改IP地址后無(wú)法訪問(wèn)網(wǎng)絡(luò)，防止主機(jī)非法取得上網(wǎng)權(quán)限。 打印機(jī)配置的靜態(tài)IP地址只供打印機(jī)使用，防止主機(jī)通過(guò)仿冒打印機(jī)的IP地址訪問(wèn)網(wǎng)絡(luò)。

場(chǎng)景2：通過(guò)IPSG限制非法主機(jī)接入(針對(duì)IP地址是靜態(tài)分配的環(huán)境) 固定的主機(jī)只能從固定的接口接入，不能隨意更換接入位置，滿足基于接口限速的目的。 外來(lái)人員自帶電腦不能隨意接入內(nèi)網(wǎng)，防止內(nèi)網(wǎng)資源泄露。 對(duì)于IP地址是DHCP動(dòng)態(tài)分配的環(huán)境，一般是通過(guò)NAC認(rèn)證(比如Portal認(rèn)證或802.1x認(rèn)證等)功能實(shí)現(xiàn)限制非法主機(jī)接入。

三、組網(wǎng)拓?fù)?/strong>