0
IPSG
IP源防护(IP Source Guard,简称 IPSG)是一种基于 IP/MAC 的端口流量过滤技术,它可以防止局域网内的 IP 地址欺骗攻击。IPSG 能够确保第 2 层网络中终端设备的 IP 地址不会被劫持,而且还能确保非授权设备不能通过自己指定 IP 地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。
交换机内部有一个 IP 源绑定表(IP Source Binding Table)作为每个端口接受到的数据包的检测标准;
只有在两种情况下,交换机会转发数据:
所接收到的IP包满足IP源绑定表中 Port/IP/MAC 的对应关系;
所接收到的是DHCP数据包;
其余数据包将被交换机做丢弃处理。
IP源绑定表可以由用户在交换机上静态添加,或者由交换机从 DHCP 监听绑定表(DHCP Snooping Binding Table)自动学习获得。 静态配置是一种简单而固定的方式,但灵活性很差,因此 Cisco 建议用户最好结合 DHCP Snooping 技术使用 IP Source Guard,由DHCP监听绑定表生成 IP 源绑定表。
