一、IPSG【IP Source Guard】IP源防gong击

IP源防gong击(IP Source Guard,简称IPSG)是一种基于二层接口的源IP地址过滤技术。

1.1、目的

防止恶意主机伪造合法主机的IP地址来仿冒合法主机,确保非授权主机不能通过自己指定IP地址方式来访问网络/发起gong击

1.2、原理

通过维护一张绑定表,记录网络中主机的IP地址、MAC地址等信息的绑定关系

1.3、绑定表

手动创建的静态绑定表/DHCP Snooping绑定表

1.4、配置案例

【IPSG + DHCP Snooping】ENSP虽能进行配置,但IPSG不生效。

配置思路:

①核心交换机配置网关

②接入交换机创建静态绑定表,固定IP和MAC绑定关系

③接入交换机接口使能IPSG。

LSW2为DHCP服务器,LSW1为接入层交换机在接入层交换机侧配置DHCP Snooping和IPSG进行防止恶意gong击

关于IPSG、DHCP Snooping、DAI等网络二层安全技术_重启

LSW2:基本配置

sy
sys LSW2

dhcp en
int vlan 110
ip ad 192.168.110.1 24

int g0/0/1
port link-type trunk
port trunk allow-pass vlan 110

SW1:基本配置

sy
sys LSW1
dhcp en
dshcp sn en ipv4

vlan batch 110
int g0/0/1
port link-type trunk
port tr al vl 110

int e0/0/1
port link access
port default vlan 110
int e0/0/2
port link access
port default vlan 110

①法一:静态绑定PC2的IP以及MAC地址到e0/0/2口【LSW1】

dhcp en
dhcp snooping enable

user-bind static ip-address 192.168.110.22 mac-address 5489-981D-3D23 interface ethernet 0/0/2		#静态绑定IP地址

int e0/0/2
ip source check user-bind enable		#开启IPSG功能防止手动配置IP地址


②法二:DHCP Snooping动态绑定【LSW1】

dhcp en
dhcp sn en ipv4
vlan 110
dhcp sn en
dhcp sn trust int g0/0/1
ip source check user-bind enable

dis dhcp snooping user-bind all			#查看绑定项

二、DHCP Snooping

3.1、目的

通过建立DHCP Snooping绑定表,过滤非信任DHCP消息

3.2、原理

通过末端非信任接口和连接到DHCP/交换机其他受信任接口

绑定表包含信息:MAC地址IP地址binding类型VLAN ID以及接口信息

3.3、配置

以前面的vlan 110为例

dhcp enble
dhcp snooping enable				#开启DHCP Snooping服务

int g0/0/0
port link access
port de vl 110
dhcp snooping enable				#开启DHCP Snooping使能,未配置接口无法获取IP地址

int g0/0/1
port link trunk
port trunk allow-pass vlan all
undo port trunk allow-pass vlan 1
dhcp snooping trusted			#在trunk链路上行配置信任端口,允许DHCP信息

三、DAI

动态ARP检测【Dynamic ARP Inspection】

3.1、目的

动态建立IP地址和MAC地址的绑定关系,防止中间人盗用IP地址抢占IP进行ARP欺骗,过滤非法ARP应答中间人gong击

3.2、原理

利用绑定表对ARP报文进行过滤,设备匹配检查接口上接受到的ARP报文,只有匹配绑定表的ARP报文才能允许通过

3.3、与IPSG的区别

技术

功能介绍

应用场景

IPSG

绑定表对IP报文过滤,设备检查接口上接收到的IP报文,匹配绑定表的IP报文才允许通过

防止内部网络乱改IP【IP地址欺骗gong击】

防止非法主机盗用合法主机IP地址,获取上网权限/gong击网络


DAI

绑定表对ARP报文过滤。设备检查接口上收到的ARP报文,匹配绑定表的ARP报文才允许通过

防范中间人gong击【ARP欺骗】

防止恶意抢占IP地址,从而引导数据流从抢占者处经过以达到截获他人信息的目的

端口安全

接口学习到的指定数量的动态MAC地址转换为安全MAC地址,固定MAC表项,实现固定主机只能从固定接口上线,并且MAC表以外的MAC主机无法通过设备通信

动态生成,无需手动配置

防止非法主机接入,控制接入主机数量


IPSG不会固定MAC表项,无法防止MAC表被错误刷新而产生的MAC漂移问题

3.4、DAI配置

【都需要DHCP Snooping配置】

dhcp enble
dhcp snooping enable				开启DHCP Snooping服务

#基于端口DHCP配置当作进行绑定,并让终端通过方式获取到绑定MAC-IP的IP地址
int vlan 110
dhcp server static-bind ip-address 192.168110.22 mac-address 5489-981D-3D23	#对IP地址和MAC进行绑定,以DHCP方式分配

int g0/0/0
port link access
port de vl [vlan-id]
dhcp snooping enable
arp anti-attack check user-bind enable		#对于access口开始DAI的防止ARP欺骗功能

int g0/0/1
port link trunk
port trunk allow-pass vlan all
undo port trunk allow-pass vlan 1
dhcp snooping trusted

关于IPSG、DHCP Snooping、DAI等网络二层安全技术_重启_02

原先获取到的IP地址为:【192.168.110.254】

关于IPSG、DHCP Snooping、DAI等网络二层安全技术_重启_03

绑定后获取到的IP地址为:【192.168.110.22】

先查看arp表

dis arp int g0/0/2

关于IPSG、DHCP Snooping、DAI等网络二层安全技术_重启_04

后面再重新获取IP地址进行查看,发现已经改变并且无论再怎么获取地址,依旧不变

关于IPSG、DHCP Snooping、DAI等网络二层安全技术_重启_05

四、端口安全

通过端口安全的配置,将通过端口学习到的MAC地址保存,并绑定到该端口,后续只有这些学习到的MAC地址才允许通过该端口通信

4.1、模式

端口安全配置总共有三种模式

①restrict模式:【缺省情况下的模式】

丢弃源MAC地址不存在的报文并上报 告警

②protect模式:

只丢弃源MAC地址不存在的报文,不上报 告警

③shutdown模式:

接口状态被置为error-down,并上报 告警

默认情况下,接口关闭后不会自动恢复,只能由网络管理员在接口视图下使用restart重启接口进行恢复

4.2、MAC地址变化情况

①端口安全功能:

动态重启后会丢失,需要重新学习;静态重启后不会丢失,但是静态开始是需要手动配置

使能状态--接口上之前学到的【动态MAC地址表项】将被删除,之后学习到的MAC地址变为安全动态MAC地址

去使能状态--接口上的【安全动态MAC地址】将被删除重新学习动态MAC地址。

②sticky MAC功能:

重启设备表项不会丢失,不会老化

使能状态--接口上的【安全动态MAC地址】转化为Sticky MAC地址】,之后学习到的也变为Sticky MAC地址

去使能状态--接口上的【Sticky MAC地址】转换为安全动态MAC地址】

4.3、配置

interface g0/0/1
port link access
port default vlan [vlan-id]
port-security enable							#在接口下开启端口安全
port-security mac-address sticky	#在接口下的安全动态mac地址转变为sticky-地址【重启时设备mac地址表项不会丢失和老化】
port-security protect restrict		#在接口下开启端口安全模式