华为eNSP实验：IP Source Guard

一：IP Source Guard:

IP Source Guard（简称IPSG）是一种基于二层接口的源IP地址过滤技术，用于防止恶意主机伪造合法主机的IP地址进行网络攻击。以下是对IP Source Guard的详细解析：

1. 基本概念：

   • IP Source Guard是一种网络安全功能，旨在防止IP地址欺骗和DoS（Denial of Service）攻击。它通过验证数据包的源IP地址来确保只有合法设备能够发送流量。
   • 随着网络规模的扩大，不法行为也随之增加，IP Source Guard提供了一种防御机制，通过维护绑定表，对报文进行信息匹配，可以有效阻止IP地址欺骗等网络攻击行为。

2. 工作原理：

   • IP Source Guard维护了一张绑定表，记录了源IP地址、源MAC地址、所属VLAN、入接口的绑定关系。当应用IP Source Guard的二层接口收到IP报文时，会将报文信息与绑定表信息进行匹配，只有匹配关系正确的报文允许通过接口，其他报文将被丢弃。
   • IP Source Guard仅支持在二层物理接口或者VLAN上应用，且只对使能了IP Source Guard功能的非信任接口进行检查。

3. 配置方式：

   • IP Source Guard的配置包括静态绑定表项和动态绑定功能的设置。
   • 静态绑定表项是手动配置的，将特定的MAC地址与IP地址绑定在一起，适用于固定IP的设备。
   • 动态绑定功能是基于DHCP Snooping的信任域，通过观察DHCP服务器分配的IP地址来自动创建绑定表项，适用于动态获取IP地址的设备。

4. 典型应用：

   • 在局域网络中，IP Source Guard通常部署在接入层交换机或路由器上，用于检查流入流量的源IP地址，并与预先配置的绑定表项进行匹配。
   • 如果匹配成功，数据包会被允许通过；否则，可能会被丢弃或标记为非法。

5. 实现过程：

   • 非法主机仿冒合法主机的IP地址发送报文到达设备后，因报文和绑定表不匹配被设备丢弃。
   • IP Source Guard的实现过程包括非法主机仿冒合法主机的IP地址发送报文到达设备后，因报文和绑定表不匹配被设备丢弃。

6. 注意事项：

   • 管理员需要定期查看和维护IP Source Guard的绑定表，以确保其准确性和安全性。
   • 常见的配置错误可能包括静态绑定表项配置不当，导致合法流量被阻止，或者动态绑定功能配置错误，无法正确跟踪DHCP分配的IP地址。

二：IP Source Guard的实验拓扑图以及实验步骤：

配置LSW1
<Huawei>system-view                            //进入系统视图
[Huawei]undo info-center enable            //关闭信息中心
[Huawei]sysname S1                              //命名为S1

配置PC1静态用户绑定
[S1]user-bind static ip-address 10.1.1.1 mac-address 5489-9804-71A2        //配置PC1静态用户绑定
Info: 1 static user-bind item(s) added.

配置PC2静态用户绑定
[S1]user-bind static ip-address 10.1.1.10 mac-address 5489-9863-7DD2        //配置PC2静态用户绑定
Info: 1 static user-bind item(s) added.

使能E0/0/1接口IPSG和IP报文检查告警功能
[S1]interface e0/0/1                //使能E0/0/1接口IPSG和IP报文检查告警功能
[S1-Ethernet0/0/1]ip source check user-bind enable
Info: Add permit rule for dynamic snooping bind-table, please wait a minute!done
.
[S1-Ethernet0/0/1]ip source check user-bind alarm enable
[S1-Ethernet0/0/1]ip source check user-bind alarm threshold 100

使能E0/0/2接口IPSG和IP报文检查告警功能
[S1-Ethernet0/0/1]interface e0/0/2                //使能E0/0/2接口IPSG和IP报文检查告警功能
[S1-Ethernet0/0/2]ip source check user-bind enable
Info: Add permit rule for dynamic snooping bind-table, please wait a minute!done
.
[S1-Ethernet0/0/2]ip source check user-bind alarm enable
[S1-Ethernet0/0/2]ip source check user-bind alarm threshold 100
[S1-Ethernet0/0/2]

查看静态绑定表的信息
[S1]display dhcp static user-bind all
DHCP static Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - map vlan 
IP Address                      MAC Address     VSI/VLAN(O/I/P) Interface       

--------------------------------------------------------------------------------
10.1.1.1                        5489-9804-71a2  --  /--  /--    --              
10.1.1.10                       5489-9863-7dd2  --  /--  /--    --              
--------------------------------------------------------------------------------
print count:           2          total count:           2         
[S1]

三：总结

综上所述，IP Source Guard是一种有效的网络安全功能，可以防止IP地址欺骗和DoS攻击，提高网络的安全性。在实际应用中，应根据设备的具体型号和网络环境选择合适的配置方案，并定期查看和维护绑定表以确保其准确性和安全性。