IPSG简介

一.IPSG是IP Source Guard的简称。设备在作为二层设备使用时，利用绑定表来防御IP源欺骗的攻击。
IPSG功能是基于绑定表（DHCP动态和静态绑定表）对IP报文进行匹配检查。当设备在转发IP报文时，将此IP报文中的源IP、源MAC、接口、VLAN信息和绑定表的信息进行比较，如果信息匹配，表明是合法用户，则允许此报文正常转发；否则认为是攻击报文，并丢弃该IP报文。

如：用户通过DHCP上线。上线后，Switch根据DHCP ACK报文生成用户的绑定表，绑定表包括用户的源IP、源MAC、端口、VLAN信息。当用户发送IP报文时，SwitchA查找此IP报文是否和该用户的绑定表匹配，如果是相同的，则允许报文通过，否则丢弃该IP报文。这样，合法用户发送的IP报文会被允许通过，而攻击者发送虚假的IP报文，无法匹配到绑定表，报文被丢弃，无法攻击其他用户。

文档链接http://support.huawei.com/hedex/hdx.do?lib=EDOC1000081668DZE0811M&lang=zh&v=06&tocLib=EDOC1000081668DZE0811M&tocV=06&id=dc_cfg_ipsg_1003&tocURL=resources%252fdc%252fdc%255fcfg%255fipsg%255f1003%252ehtml&p=t&fe=1&ui=3&keyword=%25u7279%25u6027&keyword=%25u5728%25u7f51&keyword=%25u6bd4%25u8f83&keyword=%25u7684&keyword=%25u7f51%25u7edc&keyword=%25u4ecb%25u7ecd&keyword=ipsg&keyword=%25u5176%25u4ed6&keyword=%25u4f4d%25u7f6e&keyword=%25u548c&keyword=%25u4ee5%25u53ca&keyword=%25u539f%25u7406&keyword=dai&keyword=%25u7528%25u5728&keyword=%25u5b89%25u5168&keyword=%25u76f8%25u5173&keyword=%25u4ed6&keyword=%25u5b9e%25u73b0&keyword=%25u9759%25u6001&keyword=%25u7aef%25u53e3&keyword=arp&keyword=%25u4e2d%25u7684&keyword=%25u5e94%25u7528&text=%253cfont%2520color%253d%2522%2523B60005%2522%253eIPSG%253c%252ffont%253e%253cfont%2520color%253d%2522%2523B60005%2522%253e%25u539f%25u7406%253c%252ffont%253e%25u63cf%25u8ff0&docid=EDOC1000081668

二.下图是关于信任接口和非信任接口的关系，较易懂：