IPSG与DAI、静态ARP、端口安全的区别

IPSG与DAI、静态ARP、端口安全的区别

IPSG与其他相关特性的比较
IPSG、动态ARP检测DAI(Dynamic ARP Inspection)、静态ARP、端口安全都是提高网络安全的技术,以下分别介绍IPSG与DAI、IPSG与静态ARP、IPSG与端口安全的主要区别。
IPSG与DAI
IPSG和DAI都是利用绑定表(静态绑定表或者DHCP Snooping绑定表)实现对报文过滤的技术。它们的主要区别如表1所示。
表1 IPSG与DAI的区别

图片.png

另外,IPSG无法避免地址冲突。例如,当非法主机在合法主机在线时盗用其IP地址,非法主机发送的ARP请求会广播到合法主机,从而产生地址冲突。所以,为了避免IP地址冲突,可以在部署IPSG的同时配置DAI。

IPSG与静态ARP
IPSG(指基于静态绑定表的IPSG)和静态ARP都可以实现IP和MAC的绑定,它们的主要区别如表2所示。
表2 IPSG和静态ARP的区别

图片.png

举例说明IPSG和静态ARP的应用,如图1所示。
通过在Switch上配置IPSG,防止非法主机随意更改IP地址、仿冒合法主机取得上网权限。
通过在Gateway上配置服务器的静态ARP表项,防止非法服务器的ARP攻击、错误刷新ARP表项,导致主机无法和合法服务器通信。
图1 IPSG和静态ARP的应用组网图

图片.png

IPSG和静态ARP的功能区别如下:
静态ARP防止不了IP地址欺骗攻击
假设Switch上未配置IPSG,而是在网关上配置了主机的静态ARP。当非法主机仿冒合法主机的IP地址访问Internet,报文转发过程如下:
   非法主机发送的报文到达Switch。
   Switch将报文转发到Gateway。
   Gateway将报文发往Internet。
   Internet回程报文到达Gateway。     Gateway根据目的IP地址(即仿冒的合法主机的IP地址)查找静态ARP表项,这个IP对应的MAC为合法主机的MAC,Gateway将封装后的报文发送给Switch。
Switch根据目的MAC地址将报文转发到合法主机。
从过程来看,如果伪造的是合法主机的IP地址,配置静态ARP也能防止非法主机更改IP地址上网,但是会导致合法主机收到大量非法回应报文。如果合法主机在线时,非法主机不断构造并发送这种报文,则会对合法主机造成攻击。
如果非法主机仿冒的IP地址是一个未使用的IP地址,并且这个IP地址没有被添加到静态ARP表中,则会仿冒成功,回程报文可以到达非法主机。如果是希望通过配置静态ARP来防止主机仿冒IP,那就需要把所有的IP(包括未使用的IP)都添加到静态ARP表项中,这样配置工作量会很大。
另外,因为是在网关上配置的静态ARP,所以Switch所连接的网络内是存在IP欺骗攻击的,这个无法避免。
所以,如果是为了防止内网中的IP地址欺骗的攻击行为,建议在Switch上配置IPSG更为合适。
IPSG防止不了ARP欺骗攻击
假设Switch上配置了IPSG,而网关上未配置主机的静态ARP。
非法主机伪造了合法主机的IP地址发送了虚假的ARP请求报文到达Switch。
Switch会转发到Gateway,导致Gateway将合法主机的ARP表项刷新成错误的表项(IP为合法主机的IP,MAC为非法主机的MAC)。
当合法主机访问Internet,Internet回程报文将被转发到非法主机,导致合法主机也上不了网。
而且,从Internet主动发给合法主机的报文也会被非法主机截获,无法正常发送到合法主机。
为了解决这个问题,一种方法是在网关上同时配置主机的静态ARP,但是对于主机规模较大的场景下配置和维护会非常复杂。另一种方法是在Switch上同时配置DAI功能,Switch对于接口上收到的ARP报文也会匹配绑定表,对于非法的ARP报文同样会因与绑定表不匹配而被Switch丢弃。非法ARP报文到达不了网关,也就更改不了ARP表项。

IPSG与端口安全
IPSG(指基于静态绑定表的IPSG)和端口安全都可以实现MAC地址和接口的绑定,它们的主要区别如表3所示。
表3 IPSG与端口安全的区别

图片.png

因此,如果只是希望阻止非法MAC通过设备通信,并且在主机较多的环境下,配置端口安全更合适。
另外,IPSG不会固定MAC表项,无法防止MAC表被错误刷新而产生MAC漂移问题。如图2所示,非法主机伪造合法主机的MAC地址发送数据(例如发送伪造的ARP报文)到达Switch,会错误刷新MAC表,导致非法主机截获发往合法主机的报文。
图2 MAC表错误刷新示意图

图片.png

此时,可设置根据绑定表生成Snooping类型的MAC表项(也是一种安全MAC),解决上述问题。
有关端口安全的详细介绍,请参见端口安全配置。
由此可见,IPSG、DAI、静态ARP、端口安全是针对不同需求的,它们都有自己独特的价值。为了网络更加安全,建议综合考虑,灵活应用。


IPSG(列表、list、全)ipsglist
http://www.zh-cjh.com/wenzhangguilei/3433.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » IPSG与DAI、静态ARP、端口安全的区别

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!