IPSG配置(IP与MAC地址绑定,动态绑定)

攻城狮在此2026-04-04 18:49

IPSG配置(IP+MAC+接口+VLAN绑定,VLAN视图开启IP源防护)

IPSG能够防止恶意主机盗用合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或者攻击网络。

在主机是DHCP服务器动态分配IP地址的环境下,主机只能使用服务器动态分配的IP地址,私自配置静态IP地址将无法访问网络,除非管理员为主机创建静态绑定表项。

1. 组网需求

某企业内网,终端主机(Host)通过接入交换机(ACC)接入内网,核心交换机(Core)作为 DHCP 服务器为终端动态分配 IP 地址,网络打印机采用静态 IP 地址配置,出口网关(Gateway)负责企业内外网互通。为规范内网地址管理,管理员要求终端主机禁止私自配置静态 IP 地址,若用户擅自设置静态 IP,将无法正常访问网络及外部互联网,仅允许通过 DHCP 自动获取地址方可联网。

2. 配置思路

IPSG动态地址绑定,配置思路如下:

  1. 在Core上配置DHCP服务器。

  2. 在ACC上配置DHCP Snooping功能。

  3. 在ACC上为打印机创建静态绑定表。

  4. 在ACC的VLAN上使能IPSG功能。

3. 配置步骤

步骤 1在Core上配置DHCP Server功能。

复制代码 
[Core] vlan batch 10
[Core] interface gigabitethernet 0/0/1
[Core-GigabitEthernet0/0/1] port link-type trunk
[Core-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[Core-GigabitEthernet0/0/1] quit
[Core] dhcp enable
[Core] ip pool 10
[Core-ip-pool-10] network 10.1.1.0 mask 24
[Core-ip-pool-10] gateway-list 10.1.1.1
[Core-ip-pool-10] quit
[Core] interface vlanif 10
[Core-Vlanif10] ip address 10.1.1.1 255.255.255.0
[Core-Vlanif10] dhcp select global
[Core-Vlanif10] quit

步骤 2在ACC上配置DHCP Snooping功能。

配置交换机各接口所属VLAN。

复制代码 
[ACC] vlan batch 10
[ACC] interface gigabitethernet 0/0/1
[ACC-GigabitEthernet0/0/1] port link-type access
[ACC-GigabitEthernet0/0/1] port default vlan 10
[ACC-GigabitEthernet0/0/1] quit
[ACC] interface gigabitethernet 0/0/2
[ACC-GigabitEthernet0/0/2] port link-type access
[ACC-GigabitEthernet0/0/2] port default vlan 10
[ACC-GigabitEthernet0/0/2] quit
[ACC] interface gigabitethernet 0/0/3
[ACC-GigabitEthernet0/0/3] port link-type access
[ACC-GigabitEthernet0/0/3] port default vlan 10
[ACC-GigabitEthernet0/0/3] quit
[ACC] interface gigabitethernet 0/0/4
[ACC-GigabitEthernet0/0/4] port link-type trunk
[ACC-GigabitEthernet0/0/4] port trunk allow-pass vlan 10
[ACC-GigabitEthernet0/0/4] quit

使能DHCP Snooping功能,并将上联接口配置为信任接口。

复制代码 
[ACC] dhcp enable                   //使能DHCP功能
[ACC] dhcp snooping enable          //使能全局DHCP Snooping功能
[ACC] vlan 10
[ACC-vlan10] dhcp snooping enable   //使能VLAN 10下的DHCP Snooping功能
[ACC-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/4   //配置信任接口
[ACC-vlan10] quit

步骤 3创建网络打印机静态绑定表项。

复制代码 
[ACC] user-bind static ip-address 10.1.1.2 mac-address 0003-0003-0003 interface gigabitethernet 0/0/3 vlan 10

步骤 4在ACC的VLAN10上使能IPSG功能

复制代码 
[ACC] vlan 10
[ACC-vlan10] ip source check user-bind enable         //使能IPSG功能
[ACC-vlan10] quit

步骤 5验证配置结果

在接入交换机查看动态绑定表信息。

复制代码 
[ACC] display dhcp snooping user-bind all

在接入交换机查看打印机的静态绑定表信息。

复制代码 
[ACC] display dhcp static user-bind all

说明:Host使用DHCP服务器动态分配的IP地址可以正常访问网络,将Host更改为与动态获得的IP地址不一样的静态IP地址后无法访问网络。

相关推荐
zhaoshuzhaoshu2 小时前
蓝牙 ACL 与 SCO 链路联系与详细区别对比
网络·物联网·蓝牙·无线
黎阳之光2 小时前
数智技术如何赋能空天地一体化,领跑低空经济新赛道
大数据·人工智能·算法·安全·数字孪生
CHENKONG_CK2 小时前
晨控 RFID:重塑车载检测全流程智能化管控
网络·自动化·rfid
FreeBuf_2 小时前
以数据为中心的安全成为AI部署关键层——企业亟需构建可信数据平台
人工智能·安全
运维行者_3 小时前
使用 Applications Manager 实现 AWS 云监控:保障业务应用高效运行
大数据·运维·服务器·网络·数据库·云计算·aws
安科士andxe3 小时前
深度解析|安科士100G QSFP28 30km光模块核心技术,破解中长距传输痛点
运维·服务器·网络
星幻元宇VR3 小时前
VR摩托车|沉浸式交通安全教育的新方向
科技·学习·安全·vr·虚拟现实
code_pgf3 小时前
yolox详细讲解,包括网络结构图、关键创新点、部署
网络·人工智能·目标检测·ai
星幻元宇VR3 小时前
VR环保学习机|开启沉浸式环保教育新时代
大数据·人工智能·科技·安全·vr·虚拟现实
热门推荐
01GitHub 镜像站点02Qwen3.5-Omni与Qwen3.6模型全面解析(含测评/案例/使用教程)032026年3月AI领域大事件:DeepSeek引领开源风暴04Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services05黄金未来走势预测06Mac 本地部署 OMLX + 通义千问 Qwen3.5-27B 保姆级教程07UV安装并设置国内源08AI 编程效率翻倍:Superpowers Skills 上手清单 + 完整指南09让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南10“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)