IPSG一般应用在与用户直连的接入设备上,可以基于接口或者基于VLAN应用。
-
如图所示,在接入用户侧的接口上应用IPSG,该接口接收的所有IP报文均进行IPSG检查。 图1基于接口使能IPSG
-
如图所示,在接入用户侧的VLAN上应用IPSG,属于该VLAN的所有接口接收到IP报文均进行IPSG检查。
图2基于VLAN使能IPSG
如果与用户直连的接入设备不支持IPSG功能,也可以在汇聚设备或核心设备上应用IPSG,如图所示。
- 假设接入内网1的Router_1不支持IPSG功能,可以在Router_2上的IF1接口应用IPSG(需要在Router_2上创建内网1内主机的绑定表)。但是由于Router_1没有IPSG功能,所以从Router_1发送过来的报文是有可能存在IP欺骗攻击的,在Router_2的IF1接口上应用IPSG可以把攻击隔绝在这里,使受攻击的范围减小到最小。
- 接入内网2的Router_2的IF2接口上也需要应用IPSG功能,如果不应用,内网2内也可能存在IP地址欺骗攻击。
图3多路由器环境
