IPSG利用绑定表(源IP地址、源MAC地址、所属VLAN、入接口的绑定关系)去匹配检查二层接口上收到的IP报文,只有匹配绑定表的报文才允许通过,其他报文将被丢弃。
绑定表如表14-1所示,包括静态和动态两种。
表14-1 绑定表
绑定表类型 | | |
静态绑定表 | 使用user-bind命令手工配置。 | 针对IPv4和IPv6主机,适用于主机数较少且主机使用静态IP地址的场景。 |
DHCP Snooping动态绑定表(1) | 配置DHCP Snooping功能后,DHCP主机动态获取IP地址时,设备根据DHCP服务器发送的DHCP回复报文动态生成。 | 针对IPv4和IPv6主机,适用于主机数较多且主机从DHCP服务器获取IP地址的场景。 |
DHCP Snooping动态绑定表(2) | 802.1X用户认证过程中,设备根据认证用户的信息生成。 | 针对IPv4和IPv6主机,适用于主机数较多、主机使用静态IP地址、并且网络中部署了802.1X认证的场景。 该方式生成的表项不可靠,建议配置静态绑定表。 |
ND Snooping动态绑定 | 配置ND Snooping功能后,设备通过侦听用户用于重复地址检测的NS(Neighbor Solicitation)报文来建立。 | 仅针对IPv6主机,适用于主机数较多的场景。 |
绑定表生成后,IPSG基于绑定表向指定的接口或者指定的VLAN下发ACL,由该ACL来匹配检查所有IP报文。主机发送的报文,只有匹配绑定表才会允许通过,不匹配绑定表的报文都将被丢弃。当绑定表信息变化时,设备会重新下发ACL。缺省情况下,如果在没有绑定表的情况下使能了IPSG,设备只允许上送CPU的IP报文通过,拒绝其余所有IP报文。
IPSG只匹配检查主机发送的IP报文,包括IPv4和IPv6报文,对于ARP、PPPoE等非IP报文,IPSG不做匹配检查。
IPSG原理图如图14-2所示,非法主机仿冒合法主机的IP地址发送报文到达Switch后,因报文和绑定表不匹配被Switch丢弃。
图14-2 IPSG实现原理图
IPSG中的接口角色IPSG仅支持在二层物理接口或者VLAN上应用,且只对使能了IPSG功能的非信任接口进行检查。对于IPSG来说,缺省所有的接口均为非信任接口,信任接口由用户指定。IPSG的信任接口/非信任接口也就是DHCP Snooping或ND Snooping中的信任接口/非信任接口,信任接口/非信任接口同样适用于基于静态绑定表方式的IPSG。
IPSG中各接口角色如图14-3所示。其中:- IF1和IF2接口为非信任接口且使能IPSG功能,从IF1和IF2接口收到的报文会执行IPSG检查。
- IF3接口为非信任接口但未使能IPSG功能,从IF3接口收到的报文不会执行IPSG检查,可能存在攻击。
- IF4接口为用户指定的信任接口,从IF4接口收到的报文也不会执行IPSG检查,但此接口一般不存在攻击。在DHCP Snooping的场景下,通常把与合法DHCP服务器直接或间接连接的接口设置为信任接口。
图14-3 IPSG中的接口角色示意图
IPSG的过滤方式静态绑定表项包含:MAC地址、IP地址、VLAN ID、入接口。静态绑定表项中指定的信息均用于IPSG过滤接口收到的报文。
动态绑定表项包含:MAC地址、IP地址、VLAN ID、入接口。IPSG依据该表项中的哪些信息过滤接口收到的报文,由用户设置的检查项决定,缺省是四项都进行匹配检查。常见的几种检查项如表14-2所示,其他组合类似,不一一列举。
表14-2 IPSG过滤方式
设置的检查项 | |
基于源IP地址过滤 | 根据源IP地址对报文进行过滤,只有源IP地址和绑定表匹配,才允许报文通过。 |
基于源MAC地址过滤 | 根据源MAC地址对报文进行过滤,只有源MAC地址和绑定表匹配,才允许报文通过。 |
基于源IP地址+源MAC地址过滤 | 根据源IP和源MAC地址对报文进行过滤,只有源IP和源MAC地址都和绑定表匹配,才允许报文通过。 |
基于源IP地址+源MAC地址+接口过滤 | 根据源IP地址、源MAC地址和接口对报文进行过滤,只有源IP、源MAC地址和接口都和绑定表匹配,才允许报文通过。 |
基于源IP地址+源MAC地址+接口+VLAN过滤 | 根据源IP地址、源MAC地址、接口和VLAN对报文进行过滤,只有源IP地址、源MAC地址、接口和VLAN都和绑定表匹配,才允许报文通过。 |
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
成长值: 59305
发表于 2024-4-24 20:50:59
置顶卡
喧嚣卡
变色卡
千斤顶
发表于 2024-4-24 23:36:10
