功能简介:
外部人员通过修改自己的IP地址,使用内部员工的IP地址和MAC地址,伪造合法的IP报文去攻击或访问网络,为了避免这种情况发生,在接入交换机上配置静态绑定表,并在连接终端的接口开启IP报文检查功能,只有符合静态绑定表项的报文才能正常访问内外网,不符合静态绑定表的报文给丢掉。
配置:
创建静态绑定表项
[Huawei] user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002 interface gigabitethernet 0/0/1
[Huawei] user-bind static ip-address 10.0.0.5 mac-address 0005-0005-0005 interface gigabitethernet 0/0/2
接口使能IPSG功能
[Huawei] interface gigabitethernet 0/0/1
[Huawei-Gigabitethernet 0/0/1] ip source check user-bind enable
[Huawei-Gigabitethernet 0/0/1] quit
[Huawei] interface gigabitethernet 0/0/2
[Huawei-Gigabitethernet 0/0/2] ip source check user-bind enable
[Huawei-Gigabitethernet 0/0/2] quit
一个接口下可绑定多个静态表项