IPSG(IP和MAC绑定)配置
应用场景&实现原理
IPSG可以防止恶意主机伪造合法主机的IP地址仿冒合法主机来访问网络或攻击网络。
它是利用交换机上的绑定表过滤非法主机发送的报文,以阻止非法主机访问网络或者攻击网络。
绑定表分为静态绑定表和DHCP Snooping动态绑定表。
IPSG(IP和MAC绑定)静态配置示例
组网需求
配置思路
操作步骤
<HUAWEI> system-view //进入系统视图
[HUAWEI] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 //创建研发人员的绑定表项
[HUAWEI] user-bind static ip-address 10.0.0.11 mac-address 0002-0002-0002 //创建人力资源员工的绑定表项
[HUAWEI] interface gigabitethernet 0/0/1 //进入GE0/0/1接口视图
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind enable //使能GE0/0/1接口的IPSG检查功能
[HUAWEI-GigabitEthernet0/0/1] quit //退出GE0/0/1接口视图
[HUAWEI] interface gigabitethernet 0/0/2 //进入GE0/0/2接口视图
[HUAWEI-GigabitEthernet0/0/2] ip source check user-bind enable //使能GE0/0/2接口的IPSG检查功能
[HUAWEI-GigabitEthernet0/0/2] quit //退出GE0/0/2接口视图
IPSG(IP和MAC绑定)动态配置示例
组网需求
公司某部门员工IP地址均通过DHCP方式获取,通过部署IPSG实现员工只能使用DHCP Server分配的IP地址,不允许私自配置静态IP地址,如果私自指定IP地址将无法访问网络。
配置思路
备注:此处省略DHCP配置,要求已完成相关配置,并且员工已通过DHCP方式动态获取到IP地址。
操作步骤
<HUAWEI> system-view //进入系统视图
[HUAWEI] dhcp enable //全局使能DHCP功能
[HUAWEI] dhcp snooping enable //全局使能DHCP Snooping功能
[HUAWEI] vlan 10 //进入VLAN10视图
[HUAWEI-vlan10] dhcp snooping enable //在VLAN视图下使能DHCP Snooping功能
[HUAWEI-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/3 //将连接DHCP Server的GE0/0/3接口配置为信任接口
[HUAWEI-vlan10] ip source check user-bind enable //基于VLAN使能IPSG检查功能
[HUAWEI-vlan10] quit //退出VLAN视图