IPSG(IP Source Guard):IP源防攻击

一、IPSG(IP Source Guard):IP源防攻击

1.1 基于二层接口的源地址过滤技术

1.2 防止恶意主机伪造合法主机的IP地址

1.3 确保非授权主机不能通过自己制定IP来访问和攻击网络

二、IPSG工作原理

2.1 利用绑定表去匹配二层接口收到的IP报文，只有匹配绑定表才可以通过，否则丢弃

三、IPSG绑定表两种方式：

3.1 静态绑定：使用user-bind 命令手工配置

3.2 动态绑定：配置DHCP Snooping (推荐）

绑定表生产后，IPSG绑定表向指定的接口或VLAN下发ACL，由ACL来匹配IP报文

四、IPSG案例（user-bind + DHCP Snooping）

4.1  PC1-PC2连接SW1，SW1上联口G0/01与核心交换机SW2 G0/0/1相连

4.2  SW2配置为DHCP服务器

4.3  SW1配置 user-bind或DHCP Snooping，添加上联口G0/0/1为信任端口。SW1下的终端，只能通过SW2获取IP地址，防止恶意主机伪造合法主机的IP地址攻击网络（防止DHCP攻击和ARP攻击）

五、案例配置

5.1 SW2 设置DHCP服务器