網絡安全桌面演練ip地址沖突簡報-tft每日頭條

網絡安全應用之終端IP地址沖突管控

最近客戶那邊反應局域網絡中經常有IP地址沖突現象，影響正常的業務通訊。

客戶提出讓所有員工電腦的IP地址都使用自動獲取，禁止私自手工配置IP地址。打印機要通過網絡共享，所以要使用固定的IP地址。

根據需求，給出的實施方案是将所有員工電腦的IP地址都設置為通過DHCP方式獲取，再通過部署IPSG，實現員工隻能使用DHCP Server分配的IP地址，才能正常聯網，如果私自指定IP地址将無法訪問網絡。網絡拓撲如下圖

網絡安全桌面演練ip地址沖突簡報（網絡安全應用之終端IP地址沖突管控）1

網關設備作為DHCP示意圖

IPSG，IP 源防護（IP Source Guard）是一種基于 IP/MAC 的端口流量過濾技術，它可以防止局域網内的 IP 地址欺騙攻擊。

通過在設備接入用戶側的端口上啟用IPSG功能，能夠對端口收到的報文進行過濾控制，防止非法報文通過端口，從而限制了非授權的設備非法使用網絡資源（比如非法主機仿冒合法用戶IP接入網絡），提高了網絡的安全性。

IPSG應用生産環境：

在網絡中經常出現利用仿冒合法用戶IP/MAC等信息的報文訪問或攻擊網絡的情況，導緻合法用戶無法獲得穩定、安全的網絡服務。配置IP報文檢查功能，可以防範上述情況的發生。當使能了IP報文的檢查功能後，默認會對IP報文中的IP、MAC、VLAN、接口信息進行綁定表匹配檢查，隻有與綁定表匹配的IP報文才能被轉發，否則被丢棄。

IPSG實施條件：

由于該功能是基于綁定表進行匹配檢查的，因此：

1）對于DHCP環境中的用戶，需要使能DHCP Snooping自動生成動态綁定表。

2）對于無DHCP環境，靜态配置IP的用戶，需要手工配置靜态綁定。

IPSG實施步驟：

1、在接入交換機上配置DHCP Snooping功能，生成DHCP Snooping動态綁定表。

DHCP Snooping功能實施在“數據通訊之電腦網絡連接時不時上不了網”一文已經詳細說明，這裡不再闡述。

網絡安全桌面演練ip地址沖突簡報（網絡安全應用之終端IP地址沖突管控）2

dhcp snooping相關配置命令參考

2、接入交換機上連接員工主機的接口上使能IPSG功能。

網絡安全桌面演練ip地址沖突簡報（網絡安全應用之終端IP地址沖突管控）3

IPSG配置命令參考

3、打印機配置固定IP地址

根據實施文檔為打印機配置規劃好的IP地址信息

總結：通過以上IPSG配置後，終端電腦在自動獲得IP地址後，交換機就會生成dhcp snooping 用戶信息動态綁定表（display dhcp snooping user-bind all）。此時如果員工再手動設置IP地址就無法正常使用網絡了，即使手動設置的IP地址就是自動獲取的IP地址，也無法使用網絡。

本文介紹所實現的功能是僅限制終端電腦不能手動更改IP地址，并不限制終端接入網絡的位置，即隻要是在網絡服務範圍内，且能正常自動獲取IP地址信息，都是允許使用網絡的。

IPSG實施常見問題：

1、彙聚交換機要不要配置ip source check user-bind enable，如圖中彙聚交換機的g0/0/8口有終端接入。

這裡說明一下實施的思路，我們在對某個工具某個命令作配置時，首先要弄明白，此工具命令的作用是什麼，可以實現什麼功能，可能會造成什麼後果。

ip source check user-bind enable命令是啟動IP報文的檢查功能，包括IP、MAC、VLAN、接口編号等信息，功能是比對讀上來的這些信息和表裡的信息是否匹配，目的是過濾非法的終端，後果是造成非法的終端無法使用網絡。所以答案出來了，此接口如果接的是需要管控的電腦終端，就需要配置此命令，否則不需要配置此命令。

2、配置完ip source check user-bind enable，交換機卡了，或是訪問不了互聯網了。

1）上行口配置了ip source check user-bind enable，上行口不能配置IPSG檢查功能。

2）在接入交換機的vlan下配置了ip source check user-bind enable，而上行口也包含此vlan，導緻接入交換機無法和此vlan的網關設備正常通訊。解決方法是拿掉此命令配置，改在接口配置ip source check user-bind enable或在全局使用user-bind static mac-address綁定上行網關設備對應三層接口的mac地址，而且是隻綁定mac地址，不要綁定IP地址。如果上行是中繼鍊路，建議都在接口上配置ip source check user-bind enable。

3、display dhcp snooping user-bind all發現已經創建并生成了綁定表，但IPSG功能沒有生效。

1）檢查IPSG功能是否在指定接口或者指定VLAN上使能。隻有在指定接口或在指定VLAN上使能IPSG後功能才生效。當上行是路由鍊路，首選在vlan下配置ip source check user-bind enable，當上行是中繼鍊路，首選在接口上配置ip source check user-bind enable。

2）要在真機上實施。