首页
/
每日頭條
/
科技
/
網絡安全桌面演練ip地址沖突簡報
網絡安全桌面演練ip地址沖突簡報
更新时间:2026-07-04 09:23:11

網絡安全應用之終端IP地址沖突管控

最近客戶那邊反應局域網絡中經常有IP地址沖突現象,影響正常的業務通訊。

客戶提出讓所有員工電腦的IP地址都使用自動獲取,禁止私自手工配置IP地址。打印機要通過網絡共享,所以要使用固定的IP地址。

根據需求,給出的實施方案是将所有員工電腦的IP地址都設置為通過DHCP方式獲取,再通過部署IPSG,實現員工隻能使用DHCP Server分配的IP地址,才能正常聯網,如果私自指定IP地址将無法訪問網絡。網絡拓撲如下圖

網絡安全桌面演練ip地址沖突簡報(網絡安全應用之終端IP地址沖突管控)1

網關設備作為DHCP示意圖

IPSG,IP 源防護(IP Source Guard)是一種基于 IP/MAC 的端口流量過濾技術,它可以防止局域網内的 IP 地址欺騙攻擊。

通過在設備接入用戶側的端口上啟用IPSG功能, 能夠對端口收到的報文進行過濾控制,防止非法報文通過端口,從而限制了非授權的設備非法使用網絡資源(比如非法主機仿冒合法用戶IP接入網絡),提高了網絡的安全性。

IPSG應用生産環境:

在網絡中經常出現利用仿冒合法用戶IP/MAC等信息的報文訪問或攻擊網絡的情況,導緻合法用戶無法獲得穩定、安全的網絡服務。配置IP報文檢查功能,可以防範上述情況的發生。當使能了IP報文的檢查功能後,默認會對IP報文中的IP、MAC、VLAN、接口信息進行綁定表匹配檢查,隻有與綁定表匹配的IP報文才能被轉發,否則被丢棄。

IPSG實施條件:

由于該功能是基于綁定表進行匹配檢查的,因此:

1)對于DHCP環境中的用戶,需要使能DHCP Snooping自動生成動态綁定表。

2)對于無DHCP環境,靜态配置IP的用戶,需要手工配置靜态綁定。

IPSG實施步驟:

1、在接入交換機上配置DHCP Snooping功能,生成DHCP Snooping動态綁定表。

DHCP Snooping功能實施在“數據通訊之電腦網絡連接時不時上不了網”一文已經詳細說明,這裡不再闡述。

網絡安全桌面演練ip地址沖突簡報(網絡安全應用之終端IP地址沖突管控)2

dhcp snooping相關配置命令參考

2、接入交換機上連接員工主機的接口上使能IPSG功能。

網絡安全桌面演練ip地址沖突簡報(網絡安全應用之終端IP地址沖突管控)3

IPSG配置命令參考

3、打印機配置固定IP地址

根據實施文檔為打印機配置規劃好的IP地址信息

總結:通過以上IPSG配置後,終端電腦在自動獲得IP地址後,交換機就會生成dhcp snooping 用戶信息動态綁定表(display dhcp snooping user-bind all)。此時如果員工再手動設置IP地址就無法正常使用網絡了,即使手動設置的IP地址就是自動獲取的IP地址,也無法使用網絡。

本文介紹所實現的功能是僅限制終端電腦不能手動更改IP地址,并不限制終端接入網絡的位置,即隻要是在網絡服務範圍内,且能正常自動獲取IP地址信息,都是允許使用網絡的。

IPSG實施常見問題:

1、彙聚交換機要不要配置ip source check user-bind enable,如圖中彙聚交換機的g0/0/8口有終端接入。

這裡說明一下實施的思路,我們在對某個工具某個命令作配置時,首先要弄明白,此工具命令的作用是什麼,可以實現什麼功能,可能會造成什麼後果。

ip source check user-bind enable命令是啟動IP報文的檢查功能,包括IP、MAC、VLAN、接口編号等信息,功能是比對讀上來的這些信息和表裡的信息是否匹配,目的是過濾非法的終端,後果是造成非法的終端無法使用網絡。所以答案出來了,此接口如果接的是需要管控的電腦終端,就需要配置此命令,否則不需要配置此命令。

2、配置完ip source check user-bind enable,交換機卡了,或是訪問不了互聯網了。

1)上行口配置了ip source check user-bind enable,上行口不能配置IPSG檢查功能。

2)在接入交換機的vlan下配置了ip source check user-bind enable,而上行口也包含此vlan,導緻接入交換機無法和此vlan的網關設備正常通訊。解決方法是拿掉此命令配置,改在接口配置ip source check user-bind enable或在全局使用user-bind static mac-address綁定上行網關設備對應三層接口的mac地址,而且是隻綁定mac地址,不要綁定IP地址。如果上行是中繼鍊路,建議都在接口上配置ip source check user-bind enable。

3、display dhcp snooping user-bind all發現已經創建并生成了綁定表,但IPSG功能沒有生效。

1)檢查IPSG功能是否在指定接口或者指定VLAN上使能。隻有在指定接口或在指定VLAN上使能IPSG後功能才生效。當上行是路由鍊路,首選在vlan下配置ip source check user-bind enable,當上行是中繼鍊路,首選在接口上配置ip source check user-bind enable。

2)要在真機上實施。

,
Comments
Welcome to tft每日頭條 comments! Please keep conversations courteous and on-topic. To fosterproductive and respectful conversations, you may see comments from our Community Managers.
Sign up to post
Sort by
Show More Comments
推荐阅读
暢享10有沒有指紋解鎖功能
暢享10有沒有指紋解鎖功能
1、有。2、華為暢享10繼承了這華為暢享系列的優良傳統,處理器采用麒麟八核處理器,一塊擁有90%屏占比的6.39寸極點全面屏,外加4800萬像素高清攝像頭,支持超級夜景,大光圈等模式。
2026-07-04
長城皮卡報廢期限多少年
長城皮卡報廢期限多少年
1、報廢年限為十年。長城皮卡系列車型屬于輕型普通貨車,可以申請延期,一年兩審,最長到十五年強制報廢。2、事實上,從國内皮卡車主使用情況來看,皮卡在使用5-8年後機械損耗導緻維修成本激增,油耗增多,車價折損比例高,而且15年後半年一檢的費用也讓很多皮卡車主扛不住,往往選擇在5-10年換車。3、柴油皮卡車報廢最高補貼可達到4萬元/輛,部分地區依然執行國三車報廢補貼标準,而有條件的地方可依托市場交易平台
2026-07-04
剛出生嬰兒腿彎怎麼辦
剛出生嬰兒腿彎怎麼辦
第一、了解腿彎的原因寶寶出生之前在媽媽體内是蜷縮的狀态,剛出生的話,腿彎是很正常的現象,因為在母體中已經習慣的彎曲,随着不斷長大,孩子到了寬松的環境中,腿彎的現象會逐漸緩解。第二、善于觀察了解腿彎的原因以後,寶媽要在今後照顧寶寶的過程中,多關注寶寶的腿,适當的讓寶寶多處于平直的狀态,當然不要去固定寶寶的腿,這樣也不利于寶寶腿型的發展。第三、及時補鈣寶寶的生長發育離不開鈣,特别是骨骼的發育,要及時給
2026-07-04
手機離枕頭多遠沒輻射
手機離枕頭多遠沒輻射
1、大多數人以1.5米為宜!睡覺的時候最好關機,因為手機有輻射,無論放在床的哪邊都有輻射,晚上一定要...
2026-07-04
為什麼要設立世界環境日
為什麼要設立世界環境日
1、1972年6月5日聯合國在瑞典首都斯德哥爾摩召開了聯合國人類環境會議,會議通過了《人類環境宣言》,并提出将每年的6月5日定為世界環境日”。同年10月,第27屆聯合國大會通過決議接受了該建議。世界環境日WorldEnvironmentDay),是聯合國促進全球環境認識、提高政府對環境問題的注意并采取行動的主要媒介之一。2、聯合國系統和各國政府,每年都在6月5日的這一天開展各項活動來宣傳與強調保護
2026-07-04
Copyright 2023-2026 - www.tftnews.com All Rights Reserved