沒有我的允許，誰也改不了IP；未經我批准，誰也別想擅自接入網路

作為IT人員，你是否經常有這樣的困擾：總有些自以為是的人，喜歡修改IP地址，搞得區域網內經常有人報修，甚至直接改成了閘道器的IP地址，把整個網路都搞崩潰了。

這些內部矛盾其實還好，幾次三番之後，大家也就老實了，還有一些是真正的攻擊者，他們利用欺騙的手段獲取到網路資源，會造成關鍵資訊的洩露，這就比較危險了。

針對以上現象，我們必須對網路作出嚴格的配置：所有電腦全部配置靜態的IP地址，在交換機上做介面限制，所有電腦從固定的介面上線；並且，為了安全考慮，不允許外來人員的電腦隨意接入內網。

IPSG是針對基於源IP的攻擊提供的一種防禦機制，可以有效地防止基於源地址欺騙的網路攻擊行為，正適用於上述配置要求。

一、IPSG工作原理

IPSG是基於繫結表對IP報文進行匹配檢查的功能。當裝置在轉發IP報文時，將此IP報文中的源IP、源MAC、介面、VLAN資訊和繫結表的資訊進行比較，如果資訊匹配，表明是合法使用者，則允許此報文正常轉發，否則認為是攻擊報文，那就丟棄該IP報文，攻擊者無法接入網路，當然也就無法竊取資源了。

二、IPSG配置方法：

1、磨刀不誤砍柴工，開工先上拓撲圖；

2、配置要求：

（1）只允許PC1上網際網路，其他電腦沒有網際網路許可權；

（2）配置靜態繫結表，固定IP和mac地址繫結，擅自修改IP將無法接入網路；

（3）私自攜帶進辦公區域的電腦，無法接入網路。

3、配置過程：

（1）核心交換機的配置：

sys

Enter system view， return user view with Ctrl+Z。

［Huawei］sys Core //命名交換機

［Core］vlan 10 //建立vlan10

［Core-vlan10］int g0/0/1

［Core-GigabitEthernet0/0/1］p l t //1口配置為trunk模式

［Core-GigabitEthernet0/0/1］p t a v 10 //允許vlan10透過

［Core-GigabitEthernet0/0/1］int vlan 10

［Core-Vlanif10］ip add 192。168。10。254 24 //配置vlan的IP地址

［Core-Vlanif10］q

［Core］acl 3001 //配置只允許PC1上網的ACL

［Core-acl-adv-3001］rule permit ip source 192。168。10。1 0

［Core-acl-adv-3001］rule deny ip source 192。168。10。0 0。0。0。255

［Core-acl-adv-3001］q

［Core］traffic classifier c1 //配置基於ACL的流分類

［Core-classifier-c1］if-match acl 3001

［Core-classifier-c1］q

［Core］traffic behavior b1 //配置流行為

［Core-behavior-b1］permit

［Core-behavior-b1］q

［Core］traffic policy p1 //配置流策略

［Core-trafficpolicy-p1］classifier c1 behavior b1

［Core-trafficpolicy-p1］q

［Core］int g0/0/2

［Core-GigabitEthernet0/0/2］traffic-policy p1 outbound //在2口應用流

策略

［Core-GigabitEthernet0/0/2］return //返回

save //儲存配置

（2）接入換機的配置：

sys

Enter system view， return user view with Ctrl+Z。

［Huawei］sys Sw1

［Sw1］vlan 10

［Sw1-vlan10］ip source check user-bind enable //在VLAN10啟用IPSG功能

［Sw1-vlan10］q

［Sw1］int g0/0/3

［Sw1-GigabitEthernet0/0/3］p l t

［Sw1-GigabitEthernet0/0/3］p t a v 10

［Sw1-GigabitEthernet0/0/3］int g0/0/1

［Sw1-GigabitEthernet0/0/1］p l a

［Sw1-GigabitEthernet0/0/1］p d v 10

［Sw1-GigabitEthernet0/0/1］int g0/0/2

［Sw1-GigabitEthernet0/0/2］p l a

［Sw1-GigabitEthernet0/0/2］p d v 10

［Sw1-GigabitEthernet0/0/2］q

［Sw1］user-bind static ip-address 192。168。10。1 mac-address 5489-986A-4E77 interfa

ce g0/0/1 //繫結IP、Mac及埠

［Sw1］user-bind static ip-address 192。168。10。2 mac-address 5489-9876-206F interfa

ce g0/0/2

［Sw1］p g g0/0/1 to g0/0/2

［Sw1-port-group］ip source check user-bind en //在1-2埠啟用IPSG功能

［Sw1-port-group］q

配置完成，檢視靜態繫結表資訊是否正確：display dhcp static user-bind all

再確認一下，1-2介面是否已經啟用IP繫結；

sa //最後，別忘記儲存配置，不然就白辛苦了

經過以上配置，PC1可以訪問網際網路，PC2無法訪問網際網路，即使將PC2的IP地址更改PC1的IP，還是不能上網際網路的；其他未經許可的電腦，接入網線後區域網和網際網路都是無法訪問的，保證了局域網的安全。

這時候，IT終於可以“穩坐釣魚臺”了，想接入網路的，都得來排隊請你出手了，嘿嘿。