IPSG是IP Source Guard的简称。IPSG可以防范针对源IP地址进行欺骗的攻击行为。
背景:随着网络规模越来越大,基于源IP的攻击也逐渐增多。一些攻击者利用欺骗的手段获取到网络资源,取得合法使用网络资源的权限,甚至造成被欺骗者无法访问网络,或者信息泄露。IPSG针对基于源IP的攻击提供了一种防御机制,可以有效的防止基于源地址欺骗的网络攻击行为。
随着网络规模越来越大,基于源IP的攻击也逐渐增多。一些攻击者利用欺骗的手段获取到网络资源,取得合法使用网络资源的权限,甚至造成被欺骗者无法访问网络,或者信息泄露。IPSG针对基于源IP的攻击提供了一种防御机制,可以有效的防止基于源地址欺骗的网络攻击行为。
背景:配置了IP报文检查告警功能后,当丢弃的IP报文超过告警阈值时,会产生告警提醒用户。
1. 执行命令system-view,进入系统视图。
2. 执行命令interface interface-type interface-number,进入接口视图。
3. 执行命令ip source check user-bind alarm enable,使能IP报文检查告警功能。
缺省情况下,没有使能IP报文检查告警功能。
4. 执行命令ip source check user-bind alarm threshold threshold-value,配置IP报文检查告警阈值。
缺省情况下,IP报文检查告警阈值为100
背景:通常情况下,源IP地址与目的IP地址相同的IP报文可以被正常转发。当管理员判断该类型的IP报文为攻击报文时(比如流量过大),可以配置丢弃该类型IP报文的功能。
1. 执行命令system-view,进入系统视图。
2. 执行命令ip anti-attack source-ip equals destination-ip drop { all | slot slot-id },开启丢弃源IP地址与目的IP地址相同的IP报文的功能。
仅S5700EI支持{ all | slot slot-id }参数,其他产品型号均不支持该参数。
缺省情况下,设备不丢弃源IP地址与目的IP地址相同的IP报文。
绑定表示IPSG进行IP报文检查的基础,分为静态和动态。
通过配置DHCP Snooping或ND Snooping功能生成动态绑定表,通常适用于局域网络中主机较多的情况。当主机采用DHCP方式获取IPv4或IPv6地址时,需要配置DHCP Snooping功能生成IPv4或IPv6动态绑定表项;当主机采用自动地址分配方式获取IPv6地址时,需要配置ND Snooping功能生成IPv6动态绑定表项。
· IPv4动态绑定表项:根据DHCP Snooping表项动态生成绑定表项来过滤接口收到的IPv4报文。
· IPv6动态绑定表项:根据DHCPv6 Snooping表项或ND Snooping表项动态生成绑定表项来过滤接口收到的IPv6报文。
1. 执行命令system-view,进入系统视图。
2. 执行命令dhcp enable,全局使能DHCP功能。
缺省情况下,没有全局使能DHCP功能。
3. 执行命令dhcp snooping enable,全局使能DHCP Snooping功能。
缺省情况下,没有全局使能DHCP Snooping功能。
4. 进入VLAN或者接口视图。
(1) 当使能VLAN的DHCP Snooping功能时,执行命令vlan vlan-id,进入VLAN视图。
(2) 当使能接口的DHCP Snooping功能时,执行命令interface interface-type interface-number,进入接口视图。
5. 执行命令dhcp snooping enable,使能VLAN或者接口的DHCP Snooping功能。
缺省情况下,VLAN和接口下没有使能DHCP Snooping功能。
6. 配置信任接口。
(1) 当配置基于VLAN内的信任接口时,执行命令dhcp snooping trusted interface interface-type interface-number,配置加入该VLAN的接口为信任状态。
(2) 当配置基于接口的信任状态时,执行命令dhcp snooping trusted,配置接口为信任状态。
7. 缺省情况下,使能DHCP Snooping功能后,接口为非信任状态。
说明:
一般将与服务器直接或间接相连的接口配置为信任接口。在使能DHCP Snooping功能并配置信任接口之后,用户侧接口根据DHCP Reply报文自动生成动态绑定表。
1. 创建静态绑定表项
配置静态用户绑定表项(默认情况不存在静态绑定表)
a. user-bind static { { ip-address | ipv6-address } { start-ip [ to end-ip ] } &<1-10> | mac-address mac-address } * [ interface interface-type interface-number ] [ vlan vlan-id [ ce-vlan ce-vlan-id ] ]
绑定表创建后,IPSG并未生效,只有在指定接口(接入用户侧的接口)或在指定VLAN上使能IPSG后才生效。
2. (可选)配置信任接口
主机是静态地址分配的环境,一般不需要配置信任接口。但当上行接口同时在使能IPSG功能的VLAN内,则需要将上行口配置成信任接口,否则回程报文会因匹配不到绑定表而被丢弃,导致业务不通。故障详述请参见IPSG中未配置上行信任接口导致业务不通。配置为信任接口后,从信任接口收到的报文不做匹配检查直接允许通过,可以避免上述问题的发生。
a. 执行命令dhcp enable,全局使能DHCP功能。
缺省情况下,没有全局使能DHCP功能。
b. 执行命令dhcp snooping enable,全局使能DHCP Snooping功能。
缺省情况下,没有全局使能DHCP Snooping功能。
c. 配置信任接口。
l 当配置基于VLAN内的信任接口时,执行命令dhcp snooping trusted interface interface-type interface-number,配置加入该VLAN的接口为信任状态。
l 当配置基于接口的信任状态时,执行命令dhcp snooping trusted,配置接口为信任状态。
3. 使能IPSG功能
l 基于接口使能IPSG:该接口接收的所有的报文均进行IPSG检查。如果用户只希望在某些不信任的接口上进行IPSG检查,而信任其他接口,可以选择此方式。并且,当接口属于多个VLAN时,基于接口使能IPSG更方便,无需在每个VLAN上使能。
l 基于VLAN使能IPSG:属于该VLAN的所有接口接收的报文均进行IPSG检查。如果用户只希望在某些不信任VLAN上进行IPSG检查,而信任其他VLAN,可以选择此方式。并且,当多个接口属于相同的VLAN时,基于VLAN使能IPSG更方便,无需在每个接口上使能。
a. 进入接口或VLAN视图。
l 执行命令interface interface-type interface-number,进入接口视图。
l 执行命令vlan vlan-id,进入VLAN视图。
b. 执行命令ip source check user-bind enable,使能接口或者VLAN的IP报文检查功能。
缺省情况下,接口和VLAN上未使能IP报文检查功能。
查看:
1. 执行命令,查看DHCP Snooping动态绑定表信息。
display dhcp snooping user-bind { { interface interface-type interface-number | ip-address ip-address | mac-address mac-address | vlan vlan-id }* | all } [ verbose ]
2. 执行命令,查看IPSG的配置信息。
display ip source check user-bind { vlan vlan-id | interface interface-type interface-number }
3. 执行命令,查看ND Snooping动态绑定表信息。
display nd snooping user-bind all [ verbose ]或display nd snooping user-bind { ipv6-address ipv6-address | mac-address mac-address | interface interface-type interface-number | vlan vlan-id }* [ verbose ]
4. 执行命令,查看IPv4静态绑定表信息。
display dhcp static user-bind { { interface interface-type interface-number | ip-address ip-address | mac-address mac-address | vlan vlan-id } * | all } [ verbose ]
5. 执行命令,查看IPv6静态绑定表信息。
display dhcpv6 static user-bind { { interface
interface-type interface-number | ipv6-address ipv6-address | mac-address mac-address | vlan vlan-id } * | all } [ verbose ]
联系客服
