IPSG（IP源保护）与DHCP-Snooping技术笔记整理

IPSG（IP源保护）

概述： IPSG（IP Source Guard）通过配合DHCP-Snooping绑定表，实现IP地址欺骗防范。在DHCP-Snooping场景中，当DHCP客户端与DHCP服务器之间的交换机启动了IPSG功能后，会对接收流量中的源IP地址与DHCP-Snooping绑定表中的IP信息进行比对，相同则接收处理，否则丢弃。

注意事项：

• 使用IPSG的前提条件是设备要拥有DHCP-Snooping绑定表。
• IPSG可以基于接口或VLAN进行配置。
• DHCP-Snooping绑定表可以是静态表项或动态表项。
• 设备也可以根据绑定表生成Snooping类型的MAC表项。

DHCP-Snooping技术

概述： 在DHCP场景中，由于通信基于广播，因此容易存在攻击行为。为了解决这一问题，引入了DHCP-Snooping绑定表。

应用场景： DHCP-Snooping技术主要应用于DHCP客户端与DHCP服务器之间的二层交换机上。

工作过程：

1. 启动了该功能的设备通过指定的信任端口将DHCP报文发送到DHCP服务器。
2. 设备侦听DHCP客户端与服务器之间发送的DHCP-ACK报文，并建立绑定表项。
3. 针对后续收发的报文，设备会检查流量的实际信息与绑定表中记录的信息是否一致，不一致则直接丢弃。

核心内容：

1. 信任机制：

   • 交换机所有端口默认都是非信任端口，非信任端口不能处理DHCP报文。
   • 管理员需要将连接DHCP合法服务器的端口设置为信任端口，以允许DHCP报文的通过和处理。

2. 绑定表：

   • 绑定表是通过侦听DHCP-ACK报文建立的。
   • 绑定表的内容包括：客户端IP地址、VLAN、接口、MAC地址、租期等关键信息。这些信息用于后续流量的验证和合法性检查。

通过IPSG与DHCP-Snooping技术的结合，可以有效地防范IP地址欺骗攻击，提高网络的安全性和稳定性。同时，管理员需要合理配置信任端口和绑定表，以确保网络的正常运行和安全性。