IP Source Guard技术原理与应用

目录

[IP Source Guard概述](#IP Source Guard概述)

[IP Source Guard源数据表项](#IP Source Guard源数据表项)

[IP Source Guard源数据-静态添加](#IP Source Guard源数据-静态添加)

[IP Source Guard查看](#IP Source Guard查看)

[IP Source Guard使用注意事项](#IP Source Guard使用注意事项)


IP Source Guard概述

  • 局域网IP冲突给网络的运维带来很大困扰存在以下风险
  1. 使用手工配置IP地址的方式上网,如果配置为 172.16.1.254或者172.16.1.200,都将会导 致网络异常;
  2. 另一台主机可能进行伪造源IP地址的扫描,将导致内网用户大规模的IP地址冲突,无法正常 上网
  • 面对风险,IP Source Guard技术应运而生
  • IP Source Guard功能通过检测报文中的源IP或源IP+源MAC,只放行合法报文
  • 关键:检查基线+过滤规则

IP Source Guard源数据表项

  • DHCP Snooping表项,记录了mac地址、IP地址、VLAN号和接口信息

  • DHCP Snooping表项提供了完美的用于数据包过滤的源数据信息,即检查基线。端口下配置数据包过滤规则:

  • Ruijie(config)#interface range gigabitEthernet 0/10-11

  • Ruijie(config-if-range)#ip verify source [ exclude-vlan | port-security

  • 注释 :****exclude-vlan,指定例外VLAN,该VLAN接受的报文不受IP Source Guard控制port-security,配置即意味着基于IP+MAC进行检查*<cr> ,直接回车意味着检查规则是ip-only,只对IP进行检查*

  • 私设的IP地址的终端,由于其相关信息不符合DHCP Snooping绑定表, 数据包被丢弃。实现了防止IP地址私设的功能需求

IP Source Guard源数据-静态添加

  • 全局手工配置静态绑定条目的方式,添加IP Source Guard源数据

Ruijie(config)# ip source binding 0000.0000.0001 vlan 1 172.16.1.1 interface Gi 0/10 ---

  • 接口 +IP 添加
    Ruijie(config)# ip source binding 0000.0000.0001 vlan 1 172.16.1.1 ip-mac ----IP+Mac 添加
    Ruijie(config)# ip source binding 0000.0000.0001 vlan 1 172.16.1.1 ip-only ---- 仅 IP 添加
  • 接口下开启 ip verify source (IP-Only或IP+Mac方式)

  • 配置建议:全局绑定的方式和端口过滤的规则保持一致,即全局ip+mac 添加源数据,则端 口下要基于ip+mac过滤(如不一致,最终生效的规则以全局配置为准)

  • 全局和端口下不同组合的生效情况

IP Source Guard查看

  • show ip source binding ------查看IP Source Guard源数据信息

  • show ip verify source ------查看配置了IP Source Guard的端口以及对应的检测类型

IP Source Guard使用****注意事项

  • 打开 IP Source Guard 功能可能会影响 IP 报文的转发,一般情况下,该功能需要结合 DHCP Snooping 功能使用,IP Source Guard和DHCP Snooping功能配置的先后顺序不做限制;
  • 无法在 DHCP Snooping 信任端口上配置 IP Source Guard 功能;
  • 无法在全局 IP+MAC 的例外口配置 IP Source Guard 功能;
  • 有线环境下,只能在交换口、2 层 AP 口、2 层封装子接口下配置开启
相关推荐
fantasy_arch5 小时前
CPU性能优化-磁盘空间和解析时间
网络·性能优化
是Dream呀7 小时前
Python从0到100(七十八):神经网络--从0开始搭建全连接网络和CNN网络
网络·python·神经网络
kaixin_learn_qt_ing7 小时前
了解RPC
网络·网络协议·rpc
安全小王子8 小时前
Kali操作系统简单介绍
网络·web安全
Hacker_LaoYi9 小时前
【漏洞分析】DDOS攻防分析(四)——TCP篇
网络·tcp/ip·ddos
爱吃水果蝙蝠汤9 小时前
DATACOM-IP单播路由(BGP)-复习-实验
网络·网络协议·tcp/ip
Sun_12_210 小时前
SQL注入(SQL lnjection Base)21
网络·数据库
网络安全Jack11 小时前
网络安全概论——身份认证
网络·数据库·web安全
易我数据恢复大师11 小时前
如何彻底删除电脑数据以防止隐私泄露
网络·电脑·数据删除·擦除