IPSG(IP和MAC綁定)配置
功能介紹:
IPSG可以防止惡意主機偽造合法主機的IP地址仿冒合法主機來訪問網絡或攻擊網絡
它是利用交換機上的綁定表過濾非法主機發送的報文,以阻止非法主機訪問網絡或者攻擊網絡
綁定表分為 靜態綁定表和DHCP Snooping動態綁定表
靜態綁定表:通過user-bind命令手工配置。該方法使用於局域網絡中主機數較少,且主機使用靜態配置Ip地址的網絡環境
DHCP Snooping動態綁定表:配置DHCP Snooping功能后,DHCP主機動態獲取IP地址時,設備根據DHCP服務器發送的DHCP回復報文動態生成。該方式適用於局域網絡中主機較多,且主機使用DHCP動態獲取Ip地址的網絡環境
下面來看靜態配置示例:
需求:
1、某公司員工通過交換機連接網絡,研發人員ip地址為10.0.0.1,人力資源員工ip地址為10.0.0.11,設備上配置ACL,只允許人力資源員工10.0.0.11可以訪問internet
2、在人力資源員工出差關機的情況下,研發員工也不能通過私自將ip地址更改為10.0.0.11訪問internet
配置思路 :
1、在switch上創建研發員工和人力資源員工的綁定表
2、在Switch的GE0/0/1和GE0/0/2接口下使能IPSG檢查功能
操作步驟:
system-view //進入系統視圖
user-bind static ip-address 10.0.0.1 mac 0000-0000-0001 //創建研發人員綁定表項
user-bind static ip-address 10.0.0.11 mac 0000-0000-0002 //創建人力資源員工的綁定表項
interface g0/0/1 //進入GE0/0/1接口視圖
ip source check user-bind enable //使能GE0/0/1接口的IPSG檢查功能
interface g0/0/2 //進入GE0/0/2接口視圖
ip source check user-bind enable //使能GE0/0/2接口的IPSG檢查功能
動態配置示例:
需求:
公司某部門員工IP地址均通過DHCP方式獲取,通過部署IPSG實現員工只能使用DHCP Server分配的IP地址,不允許私自配置靜態IP地址,如果私自制定IP地址將無法訪問網絡
配置思路
1、在switch上配置DHCP Snooping功能,生成DHCP snooping 動態綁定表
2、在switch連接員工主機的vlan10上使能IPSG功能
跳過dhcp配置,假設pc 通過DHCP方式動態獲取到IP地址
system-view //進入系統視圖
dhcp enable //全局使能DHCP功能
dhcp snooping //全局使能DHCP Snooping 功能
vlan10 // 進入vlan10視圖
dhcp Snooping enable //在vlan視圖下使能DHCP Snooping功能
dhcp Snooping trusted interface g0/0/3 //將連接DHCP server的g0/0/3接口配置為信任接口
ip source check user-bind enable //基於vlan使能IPSG檢查功能