针对IP欺骗攻击,主要是检查数据包源IP地址是否是合法的IP地址。什么样子的是合法的IP地址呢?如果网络内运行了DHCP服务,那么通过DHCP服务申请的IP地址就是合法的IP地址,如果网络中没有DHCP服务,华为系列交换机也支持通过手工的方式配置IP地址。
IP欺骗攻击,可以采用IPSG手段来进行防护,所谓IPSG,就是IP Source Gaurd,IP源防护的简称。IPSG配置相关命令如下:
在接口模式下,执行命令:
ip source check user-bind enable
可以开启接口的IPSG功能,该命令是下面所有配置和命令的基础。
在全局模式下,执行命令:
user-bind static ip-address 192.168.1.1 mac-address aabb-3344-5566 interface GigabitEthernet0/0/1 vlan 20
就可以配置一条静态的IPSG表项,凡是符合该表项的数据包就认为合法,不符合该表项的数据包就认为不合法。上述配置会生成一个MAC地址、IP地址、VLAN和入接口的肆元表项,也支持配置其中部分内容。
在全局模式下,执行命令:
dhcp
dhcp snooping enable
然后在接口上执行命令:
dhcp snooping enable
可以将该接口使能DHCP绑定,根据DHCP报文内容,自动生成上述绑定表项。
本文采摘于网络,不代表本站立场,转载联系作者并注明出处:https://www.5amiao.com/baike/1501.html
