IPSG配置(IP与MAC地址绑定,动态绑定)

攻城狮在此2026-04-04 18:49

IPSG配置(IP+MAC+接口+VLAN绑定,VLAN视图开启IP源防护)

IPSG能够防止恶意主机盗用合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或者攻击网络。

在主机是DHCP服务器动态分配IP地址的环境下,主机只能使用服务器动态分配的IP地址,私自配置静态IP地址将无法访问网络,除非管理员为主机创建静态绑定表项。

1. 组网需求

某企业内网,终端主机(Host)通过接入交换机(ACC)接入内网,核心交换机(Core)作为 DHCP 服务器为终端动态分配 IP 地址,网络打印机采用静态 IP 地址配置,出口网关(Gateway)负责企业内外网互通。为规范内网地址管理,管理员要求终端主机禁止私自配置静态 IP 地址,若用户擅自设置静态 IP,将无法正常访问网络及外部互联网,仅允许通过 DHCP 自动获取地址方可联网。

2. 配置思路

IPSG动态地址绑定,配置思路如下:

  1. 在Core上配置DHCP服务器。

  2. 在ACC上配置DHCP Snooping功能。

  3. 在ACC上为打印机创建静态绑定表。

  4. 在ACC的VLAN上使能IPSG功能。

3. 配置步骤

步骤 1在Core上配置DHCP Server功能。

复制代码 
[Core] vlan batch 10
[Core] interface gigabitethernet 0/0/1
[Core-GigabitEthernet0/0/1] port link-type trunk
[Core-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[Core-GigabitEthernet0/0/1] quit
[Core] dhcp enable
[Core] ip pool 10
[Core-ip-pool-10] network 10.1.1.0 mask 24
[Core-ip-pool-10] gateway-list 10.1.1.1
[Core-ip-pool-10] quit
[Core] interface vlanif 10
[Core-Vlanif10] ip address 10.1.1.1 255.255.255.0
[Core-Vlanif10] dhcp select global
[Core-Vlanif10] quit

步骤 2在ACC上配置DHCP Snooping功能。

配置交换机各接口所属VLAN。

复制代码 
[ACC] vlan batch 10
[ACC] interface gigabitethernet 0/0/1
[ACC-GigabitEthernet0/0/1] port link-type access
[ACC-GigabitEthernet0/0/1] port default vlan 10
[ACC-GigabitEthernet0/0/1] quit
[ACC] interface gigabitethernet 0/0/2
[ACC-GigabitEthernet0/0/2] port link-type access
[ACC-GigabitEthernet0/0/2] port default vlan 10
[ACC-GigabitEthernet0/0/2] quit
[ACC] interface gigabitethernet 0/0/3
[ACC-GigabitEthernet0/0/3] port link-type access
[ACC-GigabitEthernet0/0/3] port default vlan 10
[ACC-GigabitEthernet0/0/3] quit
[ACC] interface gigabitethernet 0/0/4
[ACC-GigabitEthernet0/0/4] port link-type trunk
[ACC-GigabitEthernet0/0/4] port trunk allow-pass vlan 10
[ACC-GigabitEthernet0/0/4] quit

使能DHCP Snooping功能,并将上联接口配置为信任接口。

复制代码 
[ACC] dhcp enable                   //使能DHCP功能
[ACC] dhcp snooping enable          //使能全局DHCP Snooping功能
[ACC] vlan 10
[ACC-vlan10] dhcp snooping enable   //使能VLAN 10下的DHCP Snooping功能
[ACC-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/4   //配置信任接口
[ACC-vlan10] quit

步骤 3创建网络打印机静态绑定表项。

复制代码 
[ACC] user-bind static ip-address 10.1.1.2 mac-address 0003-0003-0003 interface gigabitethernet 0/0/3 vlan 10

步骤 4在ACC的VLAN10上使能IPSG功能

复制代码 
[ACC] vlan 10
[ACC-vlan10] ip source check user-bind enable         //使能IPSG功能
[ACC-vlan10] quit

步骤 5验证配置结果

在接入交换机查看动态绑定表信息。

复制代码 
[ACC] display dhcp snooping user-bind all

在接入交换机查看打印机的静态绑定表信息。

复制代码 
[ACC] display dhcp static user-bind all

说明:Host使用DHCP服务器动态分配的IP地址可以正常访问网络,将Host更改为与动态获得的IP地址不一样的静态IP地址后无法访问网络。

相关推荐
HABuo12 分钟前
【linux网络基础(二)】理解端口号&UDP、TCP协议&网络字节序
linux·服务器·c语言·网络·c++·ubuntu·centos
爱学习的小囧13 分钟前
ESXi 存储路径丢失(PDL/APD)完整处置教程:分清类型再操作,一步不踩坑
linux·运维·服务器·网络·esxi·vmware
哦哦~92136 分钟前
揭示多功能合成界面,增强致密厚复合电极的机械和电化学性能
服务器·网络·人工智能
亿电连接器替代品网1 小时前
HTK/HONDA连接器国产替代指南
网络·经验分享·物联网·硬件工程·材料工程
元智启2 小时前
企业AI应用从“能用”到“可信”:智能体评估体系与安全治理实战指南
人工智能·安全
广州创科水利2 小时前
广州创科助力福建洋柄水库大桥打造全天候安全“天眼”
安全
爱学习的小囧2 小时前
ESXi 环境 NFSv3 与 NFSv4.1 哪个更稳?深度对比 + 选型指南 + 运维全教程
运维·服务器·网络·虚拟化
能年玲奈喝榴莲牛奶2 小时前
网络安全服务-网络安全检查
安全·web安全·网络安全·安全服务
韩明君2 小时前
OpenClaw安全部署实现
linux·人工智能·安全·debian·本地部署·ai agent·openclaw
铭彩色2 小时前
refresh token(保证access token获取及用户安全)
java·安全
热门推荐
012026年4月技术前沿:AI大模型爆发、智能体革命与量子安全新纪元02GitHub 镜像站点03近期有什么ai的新消息,新动态? 2026.4月042026年4月AI大事件深度解读:大模型竞争进入“深水区“05codex app每次打开重连5次Reconnecting问题解决06AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析072026年AI前瞻:量子AI、具身智能与科学发现的新纪元08CC-Switch & Claude 基于 Linux 服务器安装使用指南092026 年 AI 编程助手全面对比评测:Cursor vs Copilot vs Claude Code vs GitHub Copilot Free102026 年 AI 辅助编程工具全景对比:Copilot、Cursor、Claude Code 与 Codex 深度解析