配置IPSG防止主机私自更改IP地址上网(动态绑定)

已于 2022-09-30 10:56:46 修改
阅读量1.8k 收藏 15
点赞数 1
文章标签: 网络 服务器 运维
于 2022-09-29 11:26:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60444349/article/details/127103842
版权

 

一、IPSG 功能简介

IPSG:IP Source Guard,IP源防攻击是一种基于二层接口的源IP地址过滤技术。它能够防止内网用户修改IP地址(防止恶意主机通过伪造合法主机的IP地址来获取合法主机的网络访问权限或敏感信息等),还确保非授权主机(在静态或动态绑定表中没有相关记录的主机表记录信息)不能通过设置IP地址来访问网络或攻击网络,能有效防止IP地址的私自更改。

 

二、绑定表

IPSG参照二个绑定表项来检查接入主机的合法性。分为静态绑定表和动态绑定表。

静态绑定表通过user-bind命令手动在网络设备上进行配置,比较适用网络规主机数量比较少且都使用静态IP地址的场景。(交换机MAC 地址表数量有限制,只有512个,绑定数量超过512会报错

动态绑定表需要在接入层设备上启用DHCP Snooping功能,根据DHCP服务器发送的DHCP Offer报文中的信息(主机的IP地址、MAC地址、接口、VLAN等信息)生成动态绑定表项。

三、IPSG绑定表项的4个要素

  1. IP地址
  2. MAC地址
  3. VLAN
  4. Interface

注:在动态绑定表中缺省是以上4项都进行匹配检查。在静态绑定表中根据用户配置的绑定表项进行检查。

四、IPSG绑定表项的几种绑定关系如下:

  1. IP绑定表项
  2. MAC 绑定表项
  3. IP+MAC绑定表项
  4. MAC+VLAN绑定表项
  5. IP+MAC+VLAN绑定表项

配置静态绑定的命令是user-bind static ip-address X -X-X-X mac-address Y-Y-Y-Y vlan A interface B,其中IP地址或MAC 地址是必须项,也可以二个一起绑定。VLAN和接口是可选项。

在接口视图下,执行命令ip source check user-bind check-item [ip-address | mac-address | vlan]可以修改绑定表项的检查项目。

3363b951378d42f4be8a269195e8e6d9.png

五、注意事项

(1)IPSG只检查主机发送的IP报文,不检查ARP报文。

(2)IPSG尽量部署在接近用户的接入层设备上

(3)基于动态表的IPSG不能防范ARP欺骗(需要引入DAI,动态ARP检测)

ARP欺骗(包括中间人)会引起设备ARP表项非法刷新,引导流量从自己这边过去,获取到其他主机发送给合法主机的信息。DAI主要解决中间人ARP欺骗问题,利用绑定表对ARP报文进行检测,设备会检查接口上接收的ARP报文,只有匹配绑定表的ARP报文才允许通过,DAI必须启用DHCP Snooping功能。当然,通过静态ARP手动绑定、端口安全等其他技术手段也能防范ARP欺骗。另外配置ARP表项严格学习(只有本设备主动发送的请求报文的应答报文才能触发本设备学习ARP)可以有效防止网络中的ARP欺骗(因学习伪造的ARP报文而错误更新设备ARP表项,造成合法用户无法正常通信)或ARP攻击(因处理大量的ARP报文导致CPU资源负荷过重,ARP表项资源被耗尽)、ARP表项固化(网关防护,有效防止中间人欺骗,需在全局或VLAN视图下使能此功能)、ARP MISS消息限速、禁止接口ARP学习等等。

(4)配置好动态绑定表后,必须在二层物理接口或VLAN视图下使能IPSG才会生效。

注:在VLAN视图下应用后,发现连接打印机设备网络不通。

(5)IPSG无法避免IP地址冲突

因为IPSG不能检查ARP报文,当网络中非法主机在合法主机在线时盗用其IP地址(如在未使能IPSG的端口下非法主机通过伪造合法主机的IP地址),非法主机发送的ARP请求报文会广播到合法主机,从而引起地址冲突。地址冲突会影响用户网络通信不稳定甚至断网。所以,为了避免IP地址冲突,可以在部署IPSG的同时配置DAI。

(6)为了防止用户修改IP地址连接到其他交换机接口或其他接口上访问互联网,则需要在其他交换机接口或本交换机其他接口上使用IPSG功能。如果某个接入交换机没有IPSG功能,则需要在该交换机上与其他交换机的上联端口上使能IPSG,并在该汇聚交换机上配置静态绑定表。如下图,假设Switch_1设备不支持IPSG功能,需要在Switch_2设备上的IF1端口启用IPSG功能,同时需要在Switch_2上内网1的主机的绑定表。

05c9433dd5b24953a92aac07dc983268.png

 

六、网络拓扑图

6f907d7cc2bf41e0ab61cd012af9e3e1.jpeg

本次实验要实现以下目标:

  1. 不允许用户私自更改IP地址访问网络;
  2. 所有主机均从合法的DHCP服务器获取IP地址,同时生成DHCP Snooping动态绑定表项,记录用户电脑的IP地址、MAC地址、VLAN、接口的绑定关系。

 

汇聚交换机配置

配置上行接口

<Bangong_S5735-SW2>sys 

[Bangong_S5735-SW2]interface XGigabitEthernet 0/0/1

[Bangong_S5735-SW2-XGigabitEthernet0/0/1]dis th

#

interface XGigabitEthernet0/0/1

 description connect_XQ-S5731-2

 port link-type trunk

 undo port trunk allow-pass vlan 1

 port trunk allow-pass vlan 9 to 10 88 to 89 100

#

OSPF配置

[Bangong_S5735-SW2]ospf 1

[Bangong_S5735-SW2-ospf-1]dis th

#

ospf 1 router-id 3.3.3.3

 import-route direct

 area 0.0.0.0

  network 3.3.3.3 0.0.0.0

  network 192.168.100.0 0.0.0.255

#

VLANIF配置

[Bangong_S5735-SW2]interface Vlanif 100

[Bangong_S5735-SW2-Vlanif100]dis th

#

interface Vlanif100

 ip address 192.168.100.2 255.255.255.0

#

查看路由表

5631cb95af034941aba500455ebe45a8.png

接入层交换机BF3F_S5735S-SW7配置

全局视图下启用dhcp功能

[BF3F_S5735S-SW7]dhcp enable

全局视图下启用dhcp snooping功能

[BF3F_S5735S-SW7]dhcp snooping enable

配置管理vlan地址

[BF3F_S5735S-SW7]interface Vlanif 100

#

interface Vlanif100

 ip address 192.168.100.12 255.255.255.0

#

将上行口配置为dhcp snooping trust

[BF3F_S5735S-SW7]interface GigabitEthernet 0/0/24

[BF3F_S5735S-SW7-GigabitEthernet0/0/24]description connect-Bangong_S5735-SW2-3

[BF3F_S5735S-SW7-GigabitEthernet0/0/24]port like-type trunk

[BF3F_S5735S-SW7-GigabitEthernet0/0/24]undo port trunk allow-pass vlan 1

[BF3F_S5735S-SW7-GigabitEthernet0/0/24]port trunk allow-pass vlan 10 88 100

[BF3F_S5735S-SW7-GigabitEthernet0/0/24]dhcp snooping trusted

#

路由配置

[BF3F_S5735S-SW7]ip route-static 0.0.0.0 0.0.0.0 192.168.100.254

查看路由表

1fd7277076a24d6587612c2d89fc0a65.png

 

VLNAN10上开启IPSG功能

[BF3F_S5735S-SW7-vlan10]ip source check user-bind enable

Info: This operation may take a few seconds. Please wait...done.

执行display dhcp snooping user-bind all查看主机的动态绑定表信息

8c5b3a0279074f059bbc130da3f9190a.png

 

用户访问网络

a406bf0b61334fae8a080aafa00705a2.png

将用户IP手动修改后,再次测试发现无法访问网络

9c60286d57124e4ba520f6ac0142d0c8.png

03802d41e7d54e1c95c5928766a3bcd2.png

另外一个问题是在VLAN视图下启用ip source check user-bind enable后,接打印机设备的无法连通。

9ae06c4665dc4b8c9ee8b545d6151071.png

在接口下将IPSG功能取消后

[BF3F_S5735S-SW7-GigabitEthernet0/0/12]undo ip source check user-bind enable

6efd16d349f7405290a285046c86a24b.png

取消VLAN视图下的IPSG功能,然后单独在接口下启用IPSG功能,

[BF3F_S5735S-SW7-vlan10]undo ip source check user-bind enable

然后在接口下启用IPSG,连接打印机设备的接口不启用IPSG功能。

[BF3F_S5735S-SW7]interface range GigabitEthernet 0/0/3 to GigabitEthernet 0/0/10

de61ff37cef84dd983fce397eda10e6a.png

 

结论:通过上述测试发现,在企业内运用IPSG技术能有效防止用户私自更改IP地址,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或者攻击网络,有效地保障了网络的安全运营。

另外一点,IP地址冲突或ARP欺骗会导致ARP表项被错误刷新,引发合法主机网络中断或不稳定,另外,因为ARP协议没有安全机制和确认机制,可以无限制发送ARP Resquest报文,包括它的应答报方都可以直接发送到网络中的其他用户主机上,更改设备或用户的ARP表项。ARP泛洪攻击或ARP欺骗都会让网络异常卡顿、上不了网、信息泄露,甚至设备或网络瘫痪,所以要通过技术手段来防范此类安全隐患。

 

 

文件皆一印
关注
  • 1
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DHCP高阶应用系列之《dhcp-snooping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址
weixin_44645270的博客
07-18 2446
DHCP高阶操作系列之《dhcp-snoping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址
配置IPSG防止主机私自更改IP地址上网(静态绑定).docx
09-06
配置 IPSG 防止主机私自更改 IP 地址上网(静态绑定) IPSG(IP Source Guard)是基于二层接口的源 IP 地址过滤技术,可以防止内网用户修改 IP 地址,确保非授权主机不能通过设置 IP 地址来访问网络或攻击网络。 ...
DHCP SNOOPING + IPSG配置示例.docx
11-17
DHCP SNOOPING + IPSG配置示例
IPSG绑定表
weixin_46041124的博客
02-22 591
IPSG是基于绑定表(DHCP Snooping动态绑定表和静态绑定表)对IP报文进行匹配检查。绑定表是IPSG进行IP报文检查的基础。当设备在转发IP报文时,将此IP报文中的。源IP、源MAC(Media Access Control)、接口、VLAN(Virtual Local Area Network)信息和绑定表的信息进行比较。,如果信息匹配,表明是合法用户,则允许此报文正常转发,否则认为是攻击报文,并丢弃该IP报文。
开启基于静态绑定表的IPSG功能配置
最新发布
ducanwang的博客
05-20 447
该方式适用于局域网络主机数较少且主机被分配固定IP地址的情况。静态绑定表创建后,IPSG并未生效,只有在指定接口或在指定VLAN上使能IPSG后才生效。缺省情况下,全局未使能DHCP Snooping功能。缺省情况下,全局未使能DHCP功能。缺省情况下,未开启IPSG功能。缺省情况下,不存在静态绑定表。缺省情况下,接口为未信任状态。
华为配置IPSG限制非法主机访问内网
liudongliang125的专栏
11-21 351
匹配的内容可以是IP地址、MAC地址、VLAN ID和接口的任意组合,例如可以只匹配IP地址,或者只匹配IP地址和MAC地址,或者IP地址、MAC地址、VLAN ID和接口都匹配等。dhcp snooping只能根据dhcp ack报文的信息提取用户IP mac等信息并添加到动态绑定表中,而只有已经在dhcp snooping记录表中存在的相应记录的数据包才能通过IPSG检测,开启dhcp snooping和IPSG之前已经下发的IP地址信息,并没有被记录在动态绑定表中,所以无法通过IPSG检测。
IP地址动态绑定!!!!!!!!!!!!!
05-08
HOHO游戏社区IP地址动态绑定.rar!!!!!!!!!!!!!
H3C交换机DHCP环境禁止手动修改IP
zdl244的博客
03-10 5204
H3C交换机DHCP环境禁止手动修改IP 1、DHCP环境 在某些网络环境下禁止手动修改IP,防止地址冲突。为此禁止手动修改IP也可以在交换机上实现。具体参考如下: #开启DHCP Snooping并且添加信任接口 [H3C]dhcp snooping enable [H3C]interface GigabitEthernet 1/0/8 [H3C-GigabitEthernet1/0/8]dhc...
域名还能绑定动态IP?看完又涨知识了!
m0_54926105的博客
03-18 765
我还为大家准备了一套体系化的架构师学习资料包以及BAT面试资料,供大家参考及学习已经将知识体系整理好(源码,笔记,PPT,学习视频)存中…(img-yKeL2EN3-1710753073451)]我还为大家准备了一套体系化的架构师学习资料包以及BAT面试资料,供大家参考及学习已经将知识体系整理好(源码,笔记,PPT,学习视频)[外链图片转存中…(img-tDDrS3XM-1710753073451)][外链图片转存中…(img-i26vzHM3-1710753073451)]
IPSG
海绵汽水的博客
11-17 617
IP 源防护(IP Source Guard,简称 IPSG)是一种基于 IP/MAC 的端口流量过滤技术,它可以防止局域网内的 IP 地址欺骗攻击。IPSG 能够确保第 2 层网络中终端设备的 IP 地址不会被劫持,而且还能确保非授权设备不能通过自己指定 IP 地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。   交换机内部有一个 IP 源绑定表(IP Source Binding Tabl
配置IPSG防止DHCP动态主机私自更改IP地址示例.pdf
06-18
配置IPSG防止DHCP动态主机私自更改IP地址示例.pdf
华为 IPSG技术白皮书
08-28
华为 IPSG技术白皮书
华为交换机配置IPSG限制非法主机访问内网示例
12-25
静态绑定表是用户手工创建的,动态绑定表即DHCP Snooping绑定表,它是在主机动态获取IP地址时,交换机根据DHCP回复报文自动生成的。 配置IPSG限制非法主机访问内网的目的是为了防止恶意主机盗用合法主机IP地址来...
DHCP Snooping IPSG
艺博东的博客
08-10 7787
祸兮福所倚,福兮祸所伏。 文章目录一、DHCP二、拓扑三、基础配置四、策略配置五、DHCP中继六、DHCP Snooping 一、DHCP Dynamic Host Configuration Protocol 名称:DHCP动态主机设置协议 作用:帮助网络管理员管理及自动分配IP地址网络协议 1、总计包类型 (1)DHCP DISCOVER消息----广播----寻找DHCP服务器 (2)DHCP OFFER消息----广播----回应客户端我DHCP服务器在这呐(同时给出能给你的IP地址和GW,域.
IPSG(IP Source Guard):IP源防攻击
China-P的博客
10-23 3209
4.1 PC1-PC2连接SW1,SW1上联口G0/01与核心交换机SW2 G0/0/1相连。绑定表生产后,IPSG绑定表向指定的接口或VLAN下发ACL,由ACL来匹配IP报文。4.3 SW1配置 user-bind或DHCP Snooping,添加上联口G0/0/1为信任端口。SW1下的终端,只能通过SW2获取IP地址防止恶意主机伪造合法主机IP地址攻击网络防止DHCP攻击和ARP攻击)2.1 利用绑定表去匹配二层接口收到的IP报文,只有匹配绑定表才可以通过,否则丢弃。
国际患者安全目标(IPSG)
weixin_33973600的博客
10-05 515
国际患者安全目标(IPSG)序号项目要点详细内容1正确识别患者(制度)标准:制定并实施相应的流程,以提高患者识别的准确性衡量要素:两种以上方式识别患者,但不包括使用患者的病房号和地点在提供治疗和操作前识别患者在任何涉及患者干预的情况下,需要使用两种不同的患者标识(1、在提供治疗前(给药、输血或全盘血制品;提供限制饮食、提供放射治疗)...
IPSG简介
womendouhenqiang的博客
10-18 6410
IPSG是IP Source Guard的简称。设备在作为二层设备使用时,利用绑定表来防御IP源欺骗的攻击。 IPSG功能是基于绑定表(DHCP动态和静态绑定表)对IP报文进行匹配检查。当设备在转发IP报文时,将此IP报文中的源IP、源MAC、接口、VLAN信息和绑定表的信息进行比较,如果信息匹配,表明是合法用户,则允许此报文正常转发;否则认为是攻击报文,并丢弃该IP报文。 如:用户通过D
IPSG技术和IP组播
知识需要开源!
10-03 240
IPSG技术和IP组播
配置IPSG防止主机私自更改IP地址示例(静态绑定)
Jian Sun_的博客
05-13 2168
IP 源防护(IP Source Guard,简称 IPSG) 华为交换机配置文件 Switch的配置文件 # sysname Switch #创建Host_1和Host_2的静态绑定表项 user-bind static ip-address 10.0.0.1 mac-address xxxx-xxxx-xxx1 user-bind static ip-address 10.0.0.11 mac-address xxxx-xxxx-xxx2 #使能IPSG并设置丢弃报文上报告警功能 #在连接
packet tracer 怎么配置IPSG
05-26
在 Packet Tracer 中配置 IP Source Guard (IPSG) 需要完成以下步骤: 1. 创建一个网络拓扑并将设备放置在拓扑中。 2. 在交换机上启用 IPSG 功能。可以通过以下命令在全局配置模式下启用 IPSG: ``` Switch(config)# ip dhcp snooping Switch(config)# ip dhcp snooping vlan vlan-id Switch(config)# ip source binding mac-address vlan vlan-id ip-address interface interface-id Switch(config)# interface interface-id Switch(config-if)# ip verify source vlan dhcp-snooping ``` 3. 启用 DHCP Snooping。可以通过以下命令在全局配置模式下启用 DHCP Snooping: ``` Switch(config)# ip dhcp snooping Switch(config)# ip dhcp snooping vlan vlan-id Switch(config)# ip source binding mac-address vlan vlan-id ip-address interface interface-id Switch(config)# interface interface-id Switch(config-if)# ip verify source vlan dhcp-snooping ``` 4. 配置源地址绑定。可以通过以下命令来配置源地址绑定: ``` Switch(config)# ip source binding mac-address vlan vlan-id ip-address interface interface-id ``` 其中,“mac-address”表示客户机的 MAC 地址,“vlan-id”表示客户机所在的 VLAN ID,“ip-address”表示客户机的 IP 地址,“interface-id”表示客户机连接的接口。 5. 配置接口验证。可以通过以下命令来配置接口验证: ``` Switch(config)# interface interface-id Switch(config-if)# ip verify source vlan dhcp-snooping ``` 6. 验证 IPSG 配置。可以使用以下命令来验证 IPSG 配置: ``` Switch# show ip verify source ``` 以上是在交换机上启用 IPSG 的步骤,如果需要在路由器上启用 IPSG,可以参考类似的步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值