大家好，欢迎来到IT知识分享网。

一、IPSG基础概念

IPSG是IP Source Guard的简称。IPSG可以防范针对源IP地址进行欺骗的攻击行为。

随着网络规模越来越大，基于源IP的攻击也逐渐增多。一些攻击者利用欺骗的手段获取到网络资源，取得合法使用网络资源的权限，甚至造成被欺骗者无法访问网络，或者信息泄露。IPSG针对基于源IP的攻击提供了一种防御机制，可以有效的防止基于源地址欺骗的网络攻击行为。

IPSG功能是基于绑定表（DHCP动态和静态绑定表）对IP报文进行匹配检查。当设备在转发IP报文时，将此IP报文中的源IP、源MAC（Media Access Control）、接口、VLAN（Virtual Local Area Network）信息和绑定表的信息进行比较，如果信息匹配，表明是合法用户，则允许此报文正常转发，否则认为是攻击报文，并丢弃该IP报文。

二、部署场景

一般部署在靠近用户的接入交换机（也可以在汇聚或者核心交换机）上，可以防范针对源IP地址进行欺骗的攻击行为，如非法主机仿冒合法主机的IP地址获取上网权限或者攻击网络。主要应用场景如下：
1、场景1：通过IPSG防止主机私自更改IP地址 主机只能使用DHCP Server分配的IP地址或者管理员配置的静态地址，随意更改IP地址后无法访问网络，防止主机非法取得上网权限。 打印机配置的静态IP地址只供打印机使用，防止主机通过仿冒打印机的IP地址访问网络。

2、场景2：通过IPSG限制非法主机接入（针对IP地址是静态分配的环境） 固定的主机只能从固定的接口接入，不能随意更换接入位置，满足基于接口限速的目的。 外来人员自带电脑不能随意接入内网，防止内网资源泄露。 对于IP地址是DHCP动态分配的环境，一般是通过NAC认证（比如Portal认证或802.1x认证等）功能实现限制非法主机接入。

三、组网拓扑

1、思路

采用如下的思路在Switch上配置IPSG功能（假设用户的IP地址是静态分配的）：

A 、接口使能IP报文检查功能。连接HostA和HostB的接口都需要使能该功能。

B、配置静态绑定表，对于静态配置IP的用户建立绑定关系表。

2、配置步骤

1）、配置IP报文检查功能

2)配置静态绑定表项

3)验证结果

欢迎对网络技术感兴趣的小伙伴们关注转发，同时专栏中有华为数通路由交换从零到精通的完整技术分享，欢迎订阅。

华为新版HCIA数通路由交换

华为新版HCIP数通路由交换

华为新版HCIE数通路由交换