IPSG(IP和MAC绑定)配置
功能介绍:
IPSG可以防止恶意主机伪造合法主机的IP地址仿冒合法主机来访问网络或攻击网络
它是利用交换机上的绑定表过滤非法主机发送的报文,以阻止非法主机访问网络或者攻击网络
绑定表分为 静态绑定表和DHCP Snooping动态绑定表
静态绑定表:通过user-bind命令手工配置。该方法使用于局域网络中主机数较少,且主机使用静态配置Ip地址的网络环境
DHCP Snooping动态绑定表:配置DHCP Snooping功能后,DHCP主机动态获取IP地址时,设备根据DHCP服务器发送的DHCP回复报文动态生成。该方式适用于局域网络中主机较多,且主机使用DHCP动态获取Ip地址的网络环境
下面来看静态配置示例:
需求:
1、某公司员工通过交换机连接网络,研发人员ip地址为10.0.0.1,人力资源员工ip地址为10.0.0.11,设备上配置ACL,只允许人力资源员工10.0.0.11可以访问internet
2、在人力资源员工出差关机的情况下,研发员工也不能通过私自将ip地址更改为10.0.0.11访问internet
配置思路 :
1、在switch上创建研发员工和人力资源员工的绑定表
2、在Switch的GE0/0/1和GE0/0/2接口下使能IPSG检查功能
操作步骤:
system-view //进入系统视图
user-bind static ip-address 10.0.0.1 mac 0000-0000-0001 //创建研发人员绑定表项
user-bind static ip-address 10.0.0.11 mac 0000-0000-0002 //创建人力资源员工的绑定表项
interface g0/0/1 //进入GE0/0/1接口视图
ip source check user-bind enable //使能GE0/0/1接口的IPSG检查功能
interface g0/0/2 //进入GE0/0/2接口视图
ip source check user-bind enable //使能GE0/0/2接口的IPSG检查功能
动态配置示例:
需求:
公司某部门员工IP地址均通过DHCP方式获取,通过部署IPSG实现员工只能使用DHCP Server分配的IP地址,不允许私自配置静态IP地址,如果私自制定IP地址将无法访问网络
配置思路
1、在switch上配置DHCP Snooping功能,生成DHCP snooping 动态绑定表
2、在switch连接员工主机的vlan10上使能IPSG功能
跳过dhcp配置,假设pc 通过DHCP方式动态获取到IP地址
system-view //进入系统视图
dhcp enable //全局使能DHCP功能
dhcp snooping //全局使能DHCP Snooping 功能
vlan10 // 进入vlan10视图
dhcp Snooping enable //在vlan视图下使能DHCP Snooping功能
dhcp Snooping trusted interface g0/0/3 //将连接DHCP server的g0/0/3接口配置为信任接口
ip source check user-bind enable //基于vlan使能IPSG检查功能