华为eNSP实验:IP Source Guard

news2024/11/26 3:42:20

一:IP Source Guard:

IP Source Guard(简称IPSG)是一种基于二层接口的源IP地址过滤技术,用于防止恶意主机伪造合法主机的IP地址进行网络攻击。以下是对IP Source Guard的详细解析:

  1. 基本概念

    • IP Source Guard是一种网络安全功能,旨在防止IP地址欺骗和DoS(Denial of Service)攻击。它通过验证数据包的源IP地址来确保只有合法设备能够发送流量。
    • 随着网络规模的扩大,不法行为也随之增加,IP Source Guard提供了一种防御机制,通过维护绑定表,对报文进行信息匹配,可以有效阻止IP地址欺骗等网络攻击行为。
  2. 工作原理

    • IP Source Guard维护了一张绑定表,记录了源IP地址、源MAC地址、所属VLAN、入接口的绑定关系。当应用IP Source Guard的二层接口收到IP报文时,会将报文信息与绑定表信息进行匹配,只有匹配关系正确的报文允许通过接口,其他报文将被丢弃。
    • IP Source Guard仅支持在二层物理接口或者VLAN上应用,且只对使能了IP Source Guard功能的非信任接口进行检查。
  3. 配置方式

    • IP Source Guard的配置包括静态绑定表项和动态绑定功能的设置。
    • 静态绑定表项是手动配置的,将特定的MAC地址与IP地址绑定在一起,适用于固定IP的设备。
    • 动态绑定功能是基于DHCP Snooping的信任域,通过观察DHCP服务器分配的IP地址来自动创建绑定表项,适用于动态获取IP地址的设备。
  4. 典型应用

    • 在局域网络中,IP Source Guard通常部署在接入层交换机或路由器上,用于检查流入流量的源IP地址,并与预先配置的绑定表项进行匹配。
    • 如果匹配成功,数据包会被允许通过;否则,可能会被丢弃或标记为非法。
  5. 实现过程

    • 非法主机仿冒合法主机的IP地址发送报文到达设备后,因报文和绑定表不匹配被设备丢弃。
    • IP Source Guard的实现过程包括非法主机仿冒合法主机的IP地址发送报文到达设备后,因报文和绑定表不匹配被设备丢弃。
  6. 注意事项

    • 管理员需要定期查看和维护IP Source Guard的绑定表,以确保其准确性和安全性。
    • 常见的配置错误可能包括静态绑定表项配置不当,导致合法流量被阻止,或者动态绑定功能配置错误,无法正确跟踪DHCP分配的IP地址。

二:IP Source Guard的实验拓扑图以及实验步骤:

配置LSW1
<Huawei>system-view                            //进入系统视图
[Huawei]undo info-center enable            //关闭信息中心
[Huawei]sysname S1                              //命名为S1

配置PC1静态用户绑定
[S1]user-bind static ip-address 10.1.1.1 mac-address 5489-9804-71A2        //配置PC1静态用户绑定
Info: 1 static user-bind item(s) added.

配置PC2静态用户绑定
[S1]user-bind static ip-address 10.1.1.10 mac-address 5489-9863-7DD2        //配置PC2静态用户绑定
Info: 1 static user-bind item(s) added.

使能E0/0/1接口IPSG和IP报文检查告警功能
[S1]interface e0/0/1                //使能E0/0/1接口IPSG和IP报文检查告警功能
[S1-Ethernet0/0/1]ip source check user-bind enable
Info: Add permit rule for dynamic snooping bind-table, please wait a minute!done
.
[S1-Ethernet0/0/1]ip source check user-bind alarm enable
[S1-Ethernet0/0/1]ip source check user-bind alarm threshold 100

使能E0/0/2接口IPSG和IP报文检查告警功能
[S1-Ethernet0/0/1]interface e0/0/2                //使能E0/0/2接口IPSG和IP报文检查告警功能
[S1-Ethernet0/0/2]ip source check user-bind enable
Info: Add permit rule for dynamic snooping bind-table, please wait a minute!done
.
[S1-Ethernet0/0/2]ip source check user-bind alarm enable
[S1-Ethernet0/0/2]ip source check user-bind alarm threshold 100
[S1-Ethernet0/0/2]

查看静态绑定表的信息
[S1]display dhcp static user-bind all
DHCP static Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - map vlan 
IP Address                      MAC Address     VSI/VLAN(O/I/P) Interface       

--------------------------------------------------------------------------------
10.1.1.1                        5489-9804-71a2  --  /--  /--    --              
10.1.1.10                       5489-9863-7dd2  --  /--  /--    --              
--------------------------------------------------------------------------------
print count:           2          total count:           2         
[S1]

三:总结

综上所述,IP Source Guard是一种有效的网络安全功能,可以防止IP地址欺骗和DoS攻击,提高网络的安全性。在实际应用中,应根据设备的具体型号和网络环境选择合适的配置方案,并定期查看和维护绑定表以确保其准确性和安全性。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2237677.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Git进阶(十八):git rebase详解

文章目录 一、前言二、rebase 图解三、应用示例四、重建提交历史五、rebase VS merge六、拓展阅读 一、前言 rebase 使用方法 git rebase [基节点] git rebase [基节点] [待变基节点]rebase后面的参数可以是两个&#xff0c;也可以是一个&#xff0c;当rebase为一个参数的时…

【笔记】扩散模型(九):Imagen 理论与实现

论文链接&#xff1a;Photorealistic Text-to-Image Diffusion Models with Deep Language Understanding 非官方实现&#xff1a;lucidrains/imagen-pytorch Imagen 是 Google Research 的文生图工作&#xff0c;这个工作并没有沿用 Stable Diffusion 的架构&#xff0c;而是级…

华夏风物 3.2.0 | 中国风物志,记录各地特产、美食、风景,旅游吃货必备

华夏风物是一款记录中国各地风物的App&#xff0c;类似于一本中国“风物志”。它记录了各地的特产、美食、风景&#xff0c;为用户提供了一个了解和探索中国文化的窗口。该应用的社区氛围非常真实&#xff0c;用户可以发现许多家乡的特色小吃和传统手艺。许多帖子由当地人发布&…

BIST(Built-in Self-Test,内建自测试)学习笔记

参考资料: 内建自测试&#xff08;Built-in Self-Test&#xff0c;简称BIST&#xff09;详解_built in self test-CSDN博客 芯片测试术语 &#xff0c;片内测试(BIST)&#xff0c;ATE测试-CSDN博客 可能是DFT最全面的介绍--BIST - 知乎 (zhihu.com) 汽车功能安全--TC3xx LB…

【Ubuntu24.04】从双系统到虚拟机再到单系统的故事

故事 在大学前期&#xff0c;我使用Ubuntu系统都是为了学习一些命令或者其它Linux的东西&#xff0c;对性能的要求不高&#xff0c;所以选择了虚拟机&#xff0c;后来为了做毕设&#xff0c;选择安装了Ubuntu20.04双系统&#xff0c;因为虚拟机实在带不动&#xff0c;那时我的主…

AntFlow一款开源免费且自主可控的仿钉钉工作流引擎

在现代企业管理中&#xff0c;流程审批的高效性直接影响到工作的流畅度与生产力。最近&#xff0c;我发现了一个非常有趣的项目——AntFlow。这个项目不仅提供了一个灵活且可定制的工作流平台&#xff0c;还能让用户以可视化的方式创建和管理审批流程。 如果你寻找一个快速集成…

科学计算服务器:如何计算算力?如何提升科学研究效率?

在现代科学研究的舞台上&#xff0c;科学计算服务器犹如一位强大的幕后英雄&#xff0c;为复杂科学计算任务的攻克提供着坚实支撑。准确计算其算力并充分发挥优势&#xff0c;对提升科学研究效率意义非凡。 服务器的中央处理器&#xff08;CPU&#xff09;计算力。在科学计算服…

Java String字符串

Java字符串通常被视为一种数据类型&#xff0c;但由于它们按顺序存储字符类型的元素&#xff0c;类似于数组&#xff0c;因此也常被视为数据结构。在本文中&#xff0c;我们将通过以下大纲简明地了解有关Java字符串的所有内容。 什么是Java字符串&#xff1f;如何创建Java字符…

leetcode25:k个一组链表反转

给你链表的头节点 head &#xff0c;每 k 个节点一组进行翻转&#xff0c;请你返回修改后的链表。 k 是一个正整数&#xff0c;它的值小于或等于链表的长度。如果节点总数不是 k 的整数倍&#xff0c;那么请将最后剩余的节点保持原有顺序。 你不能只是单纯的改变节点内部的值…

《⼆叉搜索树》

《⼆叉搜索树》 1. ⼆叉搜索树的概念2. ⼆叉搜索树的性能分析3 二叉树的功能说明及实现3.1 ⼆叉搜索树的插⼊3.2 ⼆叉搜索树的查找3.3 ⼆叉搜索树的删除 4二叉搜索树的实现代码5 ⼆叉搜索树key和key/value使⽤场景5.1 key搜索场景&#xff1a;5.2 key/value搜索场景&#xff1a…

势不可挡 创新引领 | 生信科技SOLIDWORKS 2025新品发布会·苏州站精彩回顾

2024年11月01日&#xff0c;由生信科技举办的SOLIDWORKS 2025新产品发布会在江苏苏州圆满落幕。现场邀请到制造业的专家学者们一同感受SOLIDWORKS 2025最新功能&#xff0c;探索制造业数字化转型之路。 在苏州站活动开场&#xff0c;达索系统专业客户事业部华东区渠道经理马腾飞…

Spark 程序开发与提交:本地与集群模式全解析

Spark 的介绍与搭建&#xff1a;从理论到实践-CSDN博客 Spark 的Standalone集群环境安装与测试-CSDN博客 PySpark 本地开发环境搭建与实践-CSDN博客 目录 一、本地开发与远程提交测试 &#xff08;一&#xff09;问题背景 &#xff08;二&#xff09;解决方案 集群环境准…

童装类目电商代运营公司——品融电商

童装类目电商代运营公司——品融电商 随着电商行业的快速发展&#xff0c;童装类目已成为市场中极具潜力的细分领域之一。消费者对童装的需求不仅限于基本穿着功能&#xff0c;更倾向于选购具有设计感、安全性和舒适度的产品。童装类目涵盖婴儿服、儿童套装、家居服、户外服饰等…

利用pythonstudio写的PDF、图片批量水印生成器,可同时为不同读者生成多组水印

现在很多场合需要将PDF或图片加水印&#xff0c;本程序利用pythonstudio编写。 第一步 界面 其中&#xff1a; LstMask:列表框 PopupMenu:PmnMark LstFiles:列表框 PopupMenu:PmnFiles OdFiles:文件选择器 Filter:PDF文件(.PDF)|.PDF|图像文件(.JPG)|.JPG|图像文件(.png…

PDF模板制作与填充(Java)

1.PDF模板制作 准备原始模板 准备一个原始PDF模板&#xff0c;可以编辑好Word&#xff0c;预留出要填充的部分&#xff0c;再转换成PDF格式。 设置表单域 用任意PDF编辑器打开PDF模板文件&#xff0c;设置表单域&#xff0c;下面以WPS为例&#xff1a; 拖动文本域到需要填充的…

kafka中节点如何服役和退役

服役新节点 1&#xff09;新节点准备 &#xff08;1&#xff09;关闭 bigdata03&#xff0c;进行一个快照&#xff0c;并右键执行克隆操作。 &#xff08;2&#xff09;开启 bigdata04&#xff0c;并修改 IP 地址。 vi /etc/sysconfig/network-scripts/ifcfg-ens33修改完记…

笔记本怎么开启TPM2.0_笔记本开启TPM2.0教程(不同笔记本开启tpm2.0方法)

在win11最低要求是提示&#xff0c;电脑必须满足 TPM 2.0&#xff0c;并开需要开启TPM 才能正常安装windows11系统&#xff0c;有很多笔记本的用户问我&#xff0c;笔记本怎么开启tpm功能呢&#xff1f;下面小编就给大家详细介绍一下笔记本开启tpm功能的方法。 如何确认你笔记本…

【PyTorch项目实战】图像分割 —— U-Net:Semantic segmentation with PyTorch

文章目录 一、项目介绍二、项目实战2.1、搭建环境2.1.1、下载源码2.1.2、下载预训练模型2.1.3、下载训练集 2.2、环境配置2.3、模型预测 U-Net是一种用于生物医学图像分割的卷积神经网络架构&#xff0c;最初由Olaf Ronneberger等人于2015年提出。 论文&#xff1a; U-Net: Con…

开源竞争-大数据项目期末考核

开源竞争&#xff1a; 自己没有办法完全掌握技术的时候就开源这个技术&#xff0c;培养出更多的技术依赖&#xff0c;让更多人完善你的技术&#xff0c;那么这不就是在砸罐子吗&#xff1f;一个行业里面总会有人砸罐子的&#xff0c;你不如先砸还能听个想。 客观现实&#xf…

11月7日星期四今日早报简报微语报早读

11月7日星期四&#xff0c;农历十月初七&#xff0c;早报#微语早读。 1、河南&#xff1a;旅行社组织1000人次境外游客在豫住宿2夜以上&#xff0c;可申请激励奖补&#xff1b; 2、主播宣称下播后商品恢复原价构成欺诈&#xff0c;广州市监&#xff1a;罚款5万元&#xff1b;…