IPSG功能是基于绑定表(DHCP动态和静态绑定表)对IP报文进行匹配检查。当设备在转发IP报文时,将此IP报文中的源IP、源MAC、接口、VLAN信息和绑定表的信息进行比较,如果信息匹配,表明是合法用户,则允许此报文正常转发;否则认为是攻击报文,并丢弃该IP报文。
如:用户通过DHCP上线。上线后,Switch根据DHCP ACK报文生成用户的绑定表,绑定表包括用户的源IP、源MAC、端口、VLAN信息。当用户发送IP报文时,SwitchA查找此IP报文是否和该用户的绑定表匹配,如果是相同的,则允许报文通过,否则丢弃该IP报文。这样,合法用户发送的IP报文会被允许通过,而攻击者发送虚假的IP报文,无法匹配到绑定表,报文被丢弃,无法攻击其他用户。
文档链接http://support.huawei.com/hedex/hdx.do?lib=EDOC1000081668DZE0811M&lang=zh&v=06&tocLib=EDOC1000081668DZE0811M&tocV=06&id=dc_cfg_ipsg_1003&tocURL=resources%252fdc%252fdc%255fcfg%255fipsg%255f1003%252ehtml&p=t&fe=1&ui=3&keyword=%25u7279%25u6027&keyword=%25u5728%25u7f51&keyword=%25u6bd4%25u8f83&keyword=%25u7684&keyword=%25u7f51%25u7edc&keyword=%25u4ecb%25u7ecd&keyword=ipsg&keyword=%25u5176%25u4ed6&keyword=%25u4f4d%25u7f6e&keyword=%25u548c&keyword=%25u4ee5%25u53ca&keyword=%25u539f%25u7406&keyword=dai&keyword=%25u7528%25u5728&keyword=%25u5b89%25u5168&keyword=%25u76f8%25u5173&keyword=%25u4ed6&keyword=%25u5b9e%25u73b0&keyword=%25u9759%25u6001&keyword=%25u7aef%25u53e3&keyword=arp&keyword=%25u4e2d%25u7684&keyword=%25u5e94%25u7528&text=%253cfont%2520color%253d%2522%2523B60005%2522%253eIPSG%253c%252ffont%253e%253cfont%2520color%253d%2522%2523B60005%2522%253e%25u539f%25u7406%253c%252ffont%253e%25u63cf%25u8ff0&docid=EDOC1000081668
二.下图是关于信任接口和非信任接口的关系,较易懂:
