DHCP场景防止用户私自配置IP地址造成网络冲突
2026/7/6 14:13:00 网站建设 项目流程

应用场景:    

IP Source Guard可以实现防止用户私设IP地址及防止用户变化源IP的扫描行为,要求用户必须动态DHCP方式获取IP,否则将无法使用网络;

IP Source Guard配合ARP-check功能使用可以有效预防ARP欺骗,具体配置参考"典型场景配置--》IP Source Guard + ARP-Check方案"    

   

功能简介:    

IP Source Guard:IP Source Guard(IP源防护)维护一个IP 源地址绑定数据库, IP Source Guard可以在对应的接口上主机报文进行基于源IP、源IP和源MAC的报文过滤,从而保证只有IP源地址绑定数据库中的主机才能正常使用网络。

IP Source Guard会自动将DHCP Snooping绑定数据库中的合法用户绑定同步到IP Source Guard的IP源地址绑定数据库(硬件安全表项中),这样IP Source Guard就可以在打开DHCP Snooping设备上对客户端的进行严格过滤;默认情况下,打开IP Source Guard的功能的端口会过滤所有非DHCP的IP报文;只有当客户端通过DHCP从服务器获取到合法的IP或者管理员为客户端配置了静态的IP源地址绑定,端口将允许和这个客户端匹配的IP报文通过。

IP Source Guard支持基于IP+MAC或者基于IP的过滤,如果打开基于IP+MAC的过滤,IP Source Guard会对所有报文的MAC+IP进行检测,仅仅允许IP源地址绑定表格中存在的用户报文通过;而基于IP的过滤,仅仅会对报文的源IP地址进行检测。

   

   

一、组网需求    

用户网关在核心交换机上,核心交换机创建DHCP Server,接入交换机下联PC使用动态DHCP获取IP地址,为了防止内网用户私设IP,需要实施IPSource Guard功能,对于私设IP地址的用户不让访问外网。

     

二、组网拓扑    

    

   

     

三、配置要点    

1、在核心交换机上开启DHCP Server功能(部分场景中,客户可能采用专用DHCP服务器,则核心交换机只需要启用DHCP Relay功能即可)

需要专业的网站建设服务?

联系我们获取免费的网站建设咨询和方案报价,让我们帮助您实现业务目标

立即咨询