IPSG

   IPSG是IP Source Guard的簡(jiǎn)稱(chēng)。IPSG可以防范針對(duì)源IP地址進(jìn)行欺騙的攻擊行為。

背景：隨著網(wǎng)絡(luò)規(guī)模越來(lái)越大，基于源IP的攻擊也逐漸增多。一些攻擊者利用欺騙的手段獲取到網(wǎng)絡(luò)資源，取得合法使用網(wǎng)絡(luò)資源的權(quán)限，甚至造成被欺騙者無(wú)法訪(fǎng)問(wèn)網(wǎng)絡(luò)，或者信息泄露。IPSG針對(duì)基于源IP的攻擊提供了一種防御機(jī)制，可以有效的防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。

隨著網(wǎng)絡(luò)規(guī)模越來(lái)越大，基于源IP的攻擊也逐漸增多。一些攻擊者利用欺騙的手段獲取到網(wǎng)絡(luò)資源，取得合法使用網(wǎng)絡(luò)資源的權(quán)限，甚至造成被欺騙者無(wú)法訪(fǎng)問(wèn)網(wǎng)絡(luò)，或者信息泄露。IPSG針對(duì)基于源IP的攻擊提供了一種防御機(jī)制，可以有效的防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。

（可選）

配置IP報(bào)文檢查告警功能

背景：配置了IP報(bào)文檢查告警功能后，當(dāng)丟棄的IP報(bào)文超過(guò)告警閾值時(shí)，會(huì)產(chǎn)生告警提醒用戶(hù)。

1. 執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。

2. 執(zhí)行命令interface interface-type interface-number，進(jìn)入接口視圖。

3. 執(zhí)行命令ip source check user-bind alarm enable，使能IP報(bào)文檢查告警功能。

缺省情況下，沒(méi)有使能IP報(bào)文檢查告警功能。

4. 執(zhí)行命令ip source check user-bind alarm threshold threshold-value，配置IP報(bào)文檢查告警閾值。

缺省情況下，IP報(bào)文檢查告警閾值為100

配置丟棄源IP地址與目的IP地址相同的IP報(bào)文

背景：通常情況下，源IP地址與目的IP地址相同的IP報(bào)文可以被正常轉(zhuǎn)發(fā)。當(dāng)管理員判斷該類(lèi)型的IP報(bào)文為攻擊報(bào)文時(shí)（比如流量過(guò)大），可以配置丟棄該類(lèi)型IP報(bào)文的功能。

1. 執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。

2. 執(zhí)行命令ip anti-attack source-ip equals destination-ip drop { all | slot slot-id }，開(kāi)啟丟棄源IP地址與目的IP地址相同的IP報(bào)文的功能。

僅S5700EI支持{ all | slot slot-id }參數(shù)，其他產(chǎn)品型號(hào)均不支持該參數(shù)。

缺省情況下，設(shè)備不丟棄源IP地址與目的IP地址相同的IP報(bào)文。

配置綁定表

綁定表示IPSG進(jìn)行IP報(bào)文檢查的基礎(chǔ)，分為靜態(tài)和動(dòng)態(tài)。

通過(guò)配置DHCP Snooping或ND Snooping功能生成動(dòng)態(tài)綁定表，通常適用于局域網(wǎng)絡(luò)中主機(jī)較多的情況。當(dāng)主機(jī)采用DHCP方式獲取IPv4或IPv6地址時(shí)，需要配置DHCP Snooping功能生成IPv4或IPv6動(dòng)態(tài)綁定表項(xiàng)；當(dāng)主機(jī)采用自動(dòng)地址分配方式獲取IPv6地址時(shí)，需要配置ND Snooping功能生成IPv6動(dòng)態(tài)綁定表項(xiàng)。

· IPv4動(dòng)態(tài)綁定表項(xiàng)：根據(jù)DHCP Snooping表項(xiàng)動(dòng)態(tài)生成綁定表項(xiàng)來(lái)過(guò)濾接口收到的IPv4報(bào)文。

· IPv6動(dòng)態(tài)綁定表項(xiàng)：根據(jù)DHCPv6 Snooping表項(xiàng)或ND Snooping表項(xiàng)動(dòng)態(tài)生成綁定表項(xiàng)來(lái)過(guò)濾接口收到的IPv6報(bào)文。

基于動(dòng)態(tài)綁定表的IPSG

1. 執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。

2. 執(zhí)行命令dhcp enable，全局使能DHCP功能。

缺省情況下，沒(méi)有全局使能DHCP功能。

3. 執(zhí)行命令dhcp snooping enable，全局使能DHCP Snooping功能。

缺省情況下，沒(méi)有全局使能DHCP Snooping功能。

4. 進(jìn)入VLAN或者接口視圖。

(1) 當(dāng)使能VLAN的DHCP Snooping功能時(shí)，執(zhí)行命令vlan vlan-id，進(jìn)入VLAN視圖。

(2) 當(dāng)使能接口的DHCP Snooping功能時(shí)，執(zhí)行命令interface interface-type interface-number，進(jìn)入接口視圖。

5. 執(zhí)行命令dhcp snooping enable，使能VLAN或者接口的DHCP Snooping功能。

缺省情況下，VLAN和接口下沒(méi)有使能DHCP Snooping功能。

6. 配置信任接口。

(1) 當(dāng)配置基于VLAN內(nèi)的信任接口時(shí)，執(zhí)行命令dhcp snooping trusted interface interface-type interface-number，配置加入該VLAN的接口為信任狀態(tài)。

(2) 當(dāng)配置基于接口的信任狀態(tài)時(shí)，執(zhí)行命令dhcp snooping trusted，配置接口為信任狀態(tài)。

7. 缺省情況下，使能DHCP Snooping功能后，接口為非信任狀態(tài)。

說(shuō)明：

一般將與服務(wù)器直接或間接相連的接口配置為信任接口。在使能DHCP Snooping功能并配置信任接口之后，用戶(hù)側(cè)接口根據(jù)DHCP Reply報(bào)文自動(dòng)生成動(dòng)態(tài)綁定表。

基于靜態(tài)綁定表的IPSG

1. 創(chuàng)建靜態(tài)綁定表項(xiàng)

配置靜態(tài)用戶(hù)綁定表項(xiàng)（默認(rèn)情況不存在靜態(tài)綁定表）

a. user-bind static { { ip-address | ipv6-address } { start-ip [ to end-ip ] } &<1-10> | mac-address mac-address } * [ interface interface-type interface-number ] [ vlan vlan-id [ ce-vlan ce-vlan-id ] ]

綁定表創(chuàng)建后，IPSG并未生效，只有在指定接口（接入用戶(hù)側(cè)的接口）或在指定VLAN上使能IPSG后才生效。

2. （可選）配置信任接口

主機(jī)是靜態(tài)地址分配的環(huán)境，一般不需要配置信任接口。但當(dāng)上行接口同時(shí)在使能IPSG功能的VLAN內(nèi)，則需要將上行口配置成信任接口，否則回程報(bào)文會(huì)因匹配不到綁定表而被丟棄，導(dǎo)致業(yè)務(wù)不通。故障詳述請(qǐng)參見(jiàn)IPSG中未配置上行信任接口導(dǎo)致業(yè)務(wù)不通。配置為信任接口后，從信任接口收到的報(bào)文不做匹配檢查直接允許通過(guò)，可以避免上述問(wèn)題的發(fā)生。

a. 執(zhí)行命令dhcp enable，全局使能DHCP功能。

缺省情況下，沒(méi)有全局使能DHCP功能。

b. 執(zhí)行命令dhcp snooping enable，全局使能DHCP Snooping功能。

缺省情況下，沒(méi)有全局使能DHCP Snooping功能。

c. 配置信任接口。

l 當(dāng)配置基于VLAN內(nèi)的信任接口時(shí)，執(zhí)行命令dhcp snooping trusted interface interface-type interface-number，配置加入該VLAN的接口為信任狀態(tài)。

l 當(dāng)配置基于接口的信任狀態(tài)時(shí)，執(zhí)行命令dhcp snooping trusted，配置接口為信任狀態(tài)。

3. 使能IPSG功能

l 基于接口使能IPSG：該接口接收的所有的報(bào)文均進(jìn)行IPSG檢查。如果用戶(hù)只希望在某些不信任的接口上進(jìn)行IPSG檢查，而信任其他接口，可以選擇此方式。并且，當(dāng)接口屬于多個(gè)VLAN時(shí)，基于接口使能IPSG更方便，無(wú)需在每個(gè)VLAN上使能。

l 基于VLAN使能IPSG：屬于該VLAN的所有接口接收的報(bào)文均進(jìn)行IPSG檢查。如果用戶(hù)只希望在某些不信任VLAN上進(jìn)行IPSG檢查，而信任其他VLAN，可以選擇此方式。并且，當(dāng)多個(gè)接口屬于相同的VLAN時(shí)，基于VLAN使能IPSG更方便，無(wú)需在每個(gè)接口上使能。

a. 進(jìn)入接口或VLAN視圖。

l 執(zhí)行命令interface interface-type interface-number，進(jìn)入接口視圖。

l 執(zhí)行命令vlan vlan-id，進(jìn)入VLAN視圖。

b. 執(zhí)行命令ip source check user-bind enable，使能接口或者VLAN的IP報(bào)文檢查功能。

缺省情況下，接口和VLAN上未使能IP報(bào)文檢查功能。

查看：

1. 執(zhí)行命令，查看DHCP Snooping動(dòng)態(tài)綁定表信息。

display dhcp snooping user-bind { { interface interface-type interface-number | ip-address ip-address | mac-address mac-address | vlan vlan-id }* | all } [ verbose ]

2. 執(zhí)行命令，查看IPSG的配置信息。

display ip source check user-bind { vlan vlan-id | interface interface-type interface-number }

3. 執(zhí)行命令，查看ND Snooping動(dòng)態(tài)綁定表信息。

display nd snooping user-bind all [ verbose ]或display nd snooping user-bind { ipv6-address ipv6-address | mac-address mac-address | interface interface-type interface-number | vlan vlan-id }* [ verbose ]

4. 執(zhí)行命令，查看IPv4靜態(tài)綁定表信息。

display dhcp static user-bind { { interface interface-type interface-number | ip-address ip-address | mac-address mac-address | vlan vlan-id } * | all } [ verbose ]

5. 執(zhí)行命令，查看IPv6靜態(tài)綁定表信息。

display dhcpv6 static user-bind { { interface

interface-type interface-number | ipv6-address ipv6-address | mac-address mac-address | vlan vlan-id } * | all } [ verbose ]