IPSG配置(IP与MAC地址绑定,动态绑定)

攻城狮在此2026-04-04 18:49

IPSG配置(IP+MAC+接口+VLAN绑定,VLAN视图开启IP源防护)

IPSG能够防止恶意主机盗用合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或者攻击网络。

在主机是DHCP服务器动态分配IP地址的环境下,主机只能使用服务器动态分配的IP地址,私自配置静态IP地址将无法访问网络,除非管理员为主机创建静态绑定表项。

1. 组网需求

某企业内网,终端主机(Host)通过接入交换机(ACC)接入内网,核心交换机(Core)作为 DHCP 服务器为终端动态分配 IP 地址,网络打印机采用静态 IP 地址配置,出口网关(Gateway)负责企业内外网互通。为规范内网地址管理,管理员要求终端主机禁止私自配置静态 IP 地址,若用户擅自设置静态 IP,将无法正常访问网络及外部互联网,仅允许通过 DHCP 自动获取地址方可联网。

2. 配置思路

IPSG动态地址绑定,配置思路如下:

  1. 在Core上配置DHCP服务器。

  2. 在ACC上配置DHCP Snooping功能。

  3. 在ACC上为打印机创建静态绑定表。

  4. 在ACC的VLAN上使能IPSG功能。

3. 配置步骤

步骤 1在Core上配置DHCP Server功能。

复制代码 
[Core] vlan batch 10
[Core] interface gigabitethernet 0/0/1
[Core-GigabitEthernet0/0/1] port link-type trunk
[Core-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[Core-GigabitEthernet0/0/1] quit
[Core] dhcp enable
[Core] ip pool 10
[Core-ip-pool-10] network 10.1.1.0 mask 24
[Core-ip-pool-10] gateway-list 10.1.1.1
[Core-ip-pool-10] quit
[Core] interface vlanif 10
[Core-Vlanif10] ip address 10.1.1.1 255.255.255.0
[Core-Vlanif10] dhcp select global
[Core-Vlanif10] quit

步骤 2在ACC上配置DHCP Snooping功能。

配置交换机各接口所属VLAN。

复制代码 
[ACC] vlan batch 10
[ACC] interface gigabitethernet 0/0/1
[ACC-GigabitEthernet0/0/1] port link-type access
[ACC-GigabitEthernet0/0/1] port default vlan 10
[ACC-GigabitEthernet0/0/1] quit
[ACC] interface gigabitethernet 0/0/2
[ACC-GigabitEthernet0/0/2] port link-type access
[ACC-GigabitEthernet0/0/2] port default vlan 10
[ACC-GigabitEthernet0/0/2] quit
[ACC] interface gigabitethernet 0/0/3
[ACC-GigabitEthernet0/0/3] port link-type access
[ACC-GigabitEthernet0/0/3] port default vlan 10
[ACC-GigabitEthernet0/0/3] quit
[ACC] interface gigabitethernet 0/0/4
[ACC-GigabitEthernet0/0/4] port link-type trunk
[ACC-GigabitEthernet0/0/4] port trunk allow-pass vlan 10
[ACC-GigabitEthernet0/0/4] quit

使能DHCP Snooping功能,并将上联接口配置为信任接口。

复制代码 
[ACC] dhcp enable                   //使能DHCP功能
[ACC] dhcp snooping enable          //使能全局DHCP Snooping功能
[ACC] vlan 10
[ACC-vlan10] dhcp snooping enable   //使能VLAN 10下的DHCP Snooping功能
[ACC-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/4   //配置信任接口
[ACC-vlan10] quit

步骤 3创建网络打印机静态绑定表项。

复制代码 
[ACC] user-bind static ip-address 10.1.1.2 mac-address 0003-0003-0003 interface gigabitethernet 0/0/3 vlan 10

步骤 4在ACC的VLAN10上使能IPSG功能

复制代码 
[ACC] vlan 10
[ACC-vlan10] ip source check user-bind enable         //使能IPSG功能
[ACC-vlan10] quit

步骤 5验证配置结果

在接入交换机查看动态绑定表信息。

复制代码 
[ACC] display dhcp snooping user-bind all

在接入交换机查看打印机的静态绑定表信息。

复制代码 
[ACC] display dhcp static user-bind all

说明:Host使用DHCP服务器动态分配的IP地址可以正常访问网络,将Host更改为与动态获得的IP地址不一样的静态IP地址后无法访问网络。

相关推荐
张忠琳12 小时前
【SR-IOV cni】(Part 4) SR-IOV Network Device Plugin 3.11.0 — 超深度架构分析
网络·云原生·kubernetes·cni·sriov
乐迪信息13 小时前
乐迪信息:AI算法盒子实时识别船舶烟雾与火焰异常
大数据·人工智能·算法·安全·目标跟踪
汤愈韬13 小时前
IPSec-NAT穿越原理和配置
网络·网络协议·安全·网络安全·security
疯狂打码的少年13 小时前
输入输出控制方式:DMA(直接存储器存取)
网络·笔记
知无不研13 小时前
对套接字的深入理解
linux·服务器·网络·c++·socket·网络套接字
xyzzklk14 小时前
解决Salesforce无法向外发送邮件
android·java·开发语言·网络·crm·salesforce·客户关系管理
JoyCong199815 小时前
ToDesk AI 正式登场:您的智能远程助手,积分新玩法科普
人工智能·安全·电脑·远程工作·远程操作
vortex516 小时前
AI Skill 设计:网络安全审计中的自主性与规范化博弈
人工智能·安全·web安全
珠***格16 小时前
实操落地|防逆流装置的安装规范、调试标准与故障处置
网络·数据库·人工智能·分布式·能源·边缘计算
国科安芯16 小时前
国科安芯推出商业航天级抗辐照全双工 RS485/422 收发器 ASC491S2Y
网络·分布式·单片机·架构·安全性测试
热门推荐
01【AI】2026 年具身智能模型和世界模型总结022026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf03GitHub 镜像站点04Codex 下载安装指南:Windows 和 macOS 官方版下载05Codex 桌面端更新后 Chrome 插件和 Computer Use 不可用,怎么排查和修复06【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法07CC-Switch & Claude 基于 Linux 服务器安装使用指南08CC-Switch 下载、安装与使用配置指南【2026.5.29】092026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?10AI科技热点日报 | 2026年6月1日