IP 源防护(IPSG)的配置方法,包括静态绑定 IP 与 MAC 地址。IPSG 用于防止 IP 地址欺骗和非法接入,支持基于静态绑定表的配置。文章详细说明了三种配置场景:仅 IP+MAC 绑定、IP+MAC+VLAN 绑定以及 IP+MAC+VLAN+ 端口绑定。配置步骤涵盖创建静态绑定表项、在接口启用 IPSG 及告警功能,并通过 display 命令验证绑定状态是否生效。该方案适用于企业接入层网络,可有效管控终端 IP 使用并提升网络安全性。
IP 源防护(IP Source Guard,简称 IPSG)是一种基于 IP/MAC 的端口流量过滤技术,它可以防止局域网内的 IP 地址欺骗攻击。IPSG 能够确保第 2 层网络中终端设备的 IP 地址不会被劫持,而且还能确保非授权设备不能通过自己指定 IP 地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。
在企业网络安全防护中,管理员在交换机上开启了 IPSG 源防护,希望各部门办公电脑使用固定 IP 地址上网,不允许私自修改 IP 地址。同时为了安全考虑,不允许外来人员的电脑随意接入内网。
采用如下思路配置 IPSG 功能。
[ACC] user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002
[ACC] user-bind static ip-address 10.0.0.5 mac-address 0005-0005-0005
[ACC] interface gigabitethernet 0/0/1
[ACC-GigabitEthernet0/0/1] ip source check user-bind enable
[ACC-GigabitEthernet0/0/1] ip source check user-bind alarm enable
[ACC-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 200
[ACC-GigabitEthernet0/0/1] quit
[ACC] interface gigabitethernet 0/0/2
[ACC-GigabitEthernet0/0/2] ip source check user-bind enable
[ACC-GigabitEthernet0/0/2] ip source check user-bind alarm enable
[ACC-GigabitEthernet0/0/2] ip source check user-bind alarm threshold 200
[ACC-GigabitEthernet0/0/2] quit
[ACC] display dhcp static user-bind all
[ACC] display dhcp static user-bind all verbose
在企业网络安全防护中,管理员在交换机上开启了 IPSG 源防护,希望各部门办公电脑使用固定 IP 地址上网,不允许私自修改 IP 地址。同时为了安全考虑,不允许外来人员的电脑随意接入内网。
采用如下思路配置 IPSG 功能。
[ACC] user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002 vlan 10
[ACC] user-bind static ip-address 10.0.0.5 mac-address 0005-0005-0005 vlan 10
[ACC] interface gigabitethernet 0/0/1
[ACC-GigabitEthernet0/0/1] ip source check user-bind enable
[ACC-GigabitEthernet0/0/1] ip source check user-bind alarm enable
[ACC-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 200
[ACC-GigabitEthernet0/0/1] quit
[ACC] interface gigabitethernet 0/0/2
[ACC-GigabitEthernet0/0/2] ip source check user-bind enable
[ACC-GigabitEthernet0/0/2] ip source check user-bind alarm enable
[ACC-GigabitEthernet0/0/2] ip source check user-bind alarm threshold 200
[ACC-GigabitEthernet0/0/2] quit
[ACC] display dhcp static user-bind all
[ACC] display dhcp static user-bind all verbose
在企业网络安全防护中,管理员在交换机上开启了 IPSG 源防护,希望各部门办公电脑使用固定 IP 地址上网,不允许私自修改 IP 地址。同时为了安全考虑,不允许外来人员的电脑随意接入内网。
采用如下思路配置 IPSG 功能。
[ACC] user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002 interface gigabitethernet 0/0/1 vlan 10
[ACC] user-bind static ip-address 10.0.0.5 mac-address 0005-0005-0005 interface gigabitethernet 0/0/2 vlan 10
[ACC] interface gigabitethernet 0/0/1
[ACC-GigabitEthernet0/0/1] ip source check user-bind enable //启用 IPSG 功能
[ACC-GigabitEthernet0/0/1] ip source check user-bind alarm enable //使能 IP 报文检查告警功能
[ACC-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 200 //配置 IP 报文检查告警阈值,缺省为 100
[ACC-GigabitEthernet0/0/1] quit
[ACC] interface gigabitethernet 0/0/2
[ACC-GigabitEthernet0/0/2] ip source check user-bind enable //启用 IPSG 功能
[ACC-GigabitEthernet0/0/2] ip source check user-bind alarm enable //使能 IP 报文检查告警功能
[ACC-GigabitEthernet0/0/2] ip source check user-bind alarm threshold 200 //配置 IP 报文检查告警阈值,缺省为 100
[ACC-GigabitEthernet0/0/2] quit
[ACC] display dhcp static user-bind all
[ACC] display dhcp static user-bind all verbose
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
将JSON字符串修饰为友好的可读格式。 在线工具,JSON美化和格式化在线工具,online