IPSG基本原理（对于ARP、PPPoE等非IP报文，IPSG不做匹配检查）

IPSG基本原理（对于ARP、PPPoE等非IP报文，IPSG不做匹配检查）
IPSG利用绑定表（源IP地址、源MAC地址、所属VLAN、入接口的绑定关系）去匹配检查二层接口上收到的IP报文，只有匹配绑定表的报文才允许通过，其他报文将被丢弃。
绑定表如表1所示，包括静态和动态两种。
表1 绑定表

绑定表生成后，IPSG基于绑定表向指定的接口或者指定的VLAN下发ACL，由该ACL来匹配检查所有IP报文。主机发送的报文，只有匹配绑定表才会允许通过，不匹配绑定表的报文都将被丢弃。当绑定表信息变化时，设备会重新下发ACL。缺省情况下，如果在没有绑定表的情况下使能了IPSG，设备只允许上送CPU的IP报文通过，拒绝其余所有IP报文。
IPSG只匹配检查主机发送的IP报文，包括IPv4和IPv6报文，对于ARP、PPPoE等非IP报文，IPSG不做匹配检查。
IPSG原理图如图1所示，非法主机仿冒合法主机的IP地址发送报文到达Switch后，因报文和绑定表不匹配被Switch丢弃。

图1 IPSG实现原理图

IPSG中的接口角色
IPSG仅支持在二层物理接口或者VLAN上应用，且只对使能了IPSG功能的非信任接口进行检查。对于IPSG来说，缺省所有的接口均为非信任接口，信任接口由用户指定。IPSG的信任接口/非信任接口也就是DHCP Snooping或ND Snooping中的信任接口/非信任接口，信任接口/非信任接口同样适用于基于静态绑定表方式的IPSG。
IPSG中各接口角色如图2所示。其中：
IF1和IF2接口为非信任接口且使能IPSG功能，从IF1和IF2接口收到的报文会执行IPSG检查。
IF3接口为非信任接口但未使能IPSG功能，从IF3接口收到的报文不会执行IPSG检查，可能存在攻击。
IF4接口为用户指定的信任接口，从IF4接口收到的报文也不会执行IPSG检查，但此接口一般不存在攻击。在DHCP Snooping的场景下，通常把与合法DHCP服务器直接或间接连接的接口设置为信任接口。
图2 IPSG中的接口角色示意图

IPSG的过滤方式
静态绑定表项包含：MAC地址、IP地址、VLAN ID、入接口。静态绑定表项中指定的信息均用于IPSG过滤接口收到的报文。
动态绑定表项包含：MAC地址、IP地址、VLAN ID、入接口。IPSG依据该表项中的哪些信息过滤接口收到的报文，由用户设置的检查项决定，缺省是四项都进行匹配检查。常见的几种检查项如表2所示，其他组合类似，不一一列举。
表2 IPSG过滤方式

IPSG（列表、list、全）ipsglist
http://www.zh-cjh.com/wenzhangguilei/3433.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html