| 词条 | IPSG |
| 释义 | Cisco 的 IPSG技术IP 源防护(IP Source Guard,简称 IPSG)是一种基于 IP/MAC 的端口流量过滤技术,它可以防止局域网内的 IP 地址欺骗攻击。IPSG 能够确保第 2 层网络中终端设备的 IP 地址不会被劫持,而且还能确保非 授权设备不能通过自己指定 IP 地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。 IPSG原理交换机内部有一个 IP 源绑定表(IP Source Binding Table)作为每个端口接受到的数据包的检测标准, 只有在两种情况下,交换机会转发数据: 所接收到的 IP 包满足 IP 源绑定表中 Port/IP/MAC 的对应关系 所接收到的是 DHCP 数据包 其余数据包将被交换机做丢弃处理。 IP 源绑定表可以由用户在交换机上静态添加,或者由交换机从 DHCP 监听绑定表(DHCP Snooping Bi nding Table)自动学习获得。 静态配置是一种简单而固定的方式,但灵活性很差,因此 Cisco 建议用 户最好结合 DHCP Snooping 技术使用 IP Source Guard,由 DHCP 监听绑定表生成 IP 源绑定表。 IPSG 的配置IPSG 配置前必须先配置 ip dhcp snooping Switch(config-if)# ip verify source //是 35 系列交换机的命令 Switch(config-if)#ip verify source vlan dhcp-snooping //接口级命令;在该接口下开启 IP 源防护功能 说明: ip verify source vlan dhcp-snooping 是 45/65 系列交换机以及 76 系列路由器的命令 这两条命令后还有个参数 port-security,即命令: Switch (config-if)#ip verify source port-security Switch (config-if)#ip verify source vlan dhcp-snooping port-security 不加 port-security 参数,表示 IP 源防护功能只执行“源 IP 地址过滤”模式 加上 port-security 参数以后,就表示 IP 源防护功能执行“源 IP 和源 MAC 地址过滤”模式 当执行“源 IP 和源 MAC 地址过滤”模式时,还可以通过以下命令限制非法 MAC 包的速度 Switch (config-if)#switchport port-security limit rate invalid-source-mac 50 //接口级命令;限制非法二层报文的速度为每秒 50 个;可以用参数 none 表示不限制 //只在“源 IP 和源 MAC 地址过滤”模式下有效,并且只有 45 系列及以上才支持该命令; 添加一条静态 IP 源绑定条目: Switch (config)#ip source binding 000f.1fc5.1008 vlan 10 192.168.10.131 interface fa0/2 //全局命令;对应关系为:vlan10 - 000f.1f05.1008 - 192.168.10.131 - fa0/2 查看IPSG状态Switch#show ip source binding //显示当前的 IP 源绑定表 Switch#show ip verify source //显示当前的 IP 源地址过滤器的实际工作状态 |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。