IPSG根据绑定表对二层接口收到的IP报文进行匹配检查 可以防止主机修改IP地址/更换接入位置,非法获取网络权限等
Part1绑定表是什么?
Part2绑定表从何而来?
取决于网络中主机IP地址的获取方式。
Part3IPSG检查哪些内容?
Part4基于静态绑定表的IPSG配置
1、系统视图下手工配置静态绑定表
IP/MAC/接口/VLAN可根据需要选择配置,例如: user-bind static ip-address 10.1.1.1 user-bind static ip-address 10.1.1.2 mac-address 2-2-2 user-bind static ip-address 10.1.1.3 mac-address 3-3-3 interface gigabitEthernet 1/0/1 vlan 10
2、接口视图或VLAN视图下使能IPSG
接口下使能时仅对该接口生效,其他接口不会进行IPSG检查 VLAN下使能时仅对该VLAN生效,其他VLAN不会进行IPSG检查
批量删除静态绑定表项
undo user-bind static 删除所有绑定表项 undo user-bind static interface xx 删除指定接口的所有表项 undo user-bind static vlan xx 删除指定VLAN的所有表项
Part5基于DHCP Snooping动态绑定表的IPSG
1、系统视图下使能DHCP Snooping
dhcp enable dhcp snooping enabel
2、配置信任接口(DHCP服务器相连的接口)
接口视图:dhcp snooping trusted vlan视图:dhcp snooping trusted interface xx
3、接口视图或VLAN视图下使能IPSG
dhcpsnooping enable ip source check user-bind enable
如果只想检查部分绑定表项,接口/VLAN下配置如下命令 ip source check user-bind check-item xx
