华为交换机配置IPSG防止DHCP动态主机私自更改IP地址

IPSG简介
IPSG是一种基于二层接口的源IP地址过滤技术，它利用交换机上的绑定表对IP报文进行过滤。绑定表由IP地址、MAC地址、VLAN ID和接口组成，包括静态和动态两种。静态绑定表是用户手工创建的，动态绑定表即DHCP Snooping绑定表，它是在主机动态获取IP地址时，交换机根据DHCP回复报文自动生成的。绑定表生成后，在使能IPSG的接口收到报文后，交换机会将报文中的信息和绑定表匹配，匹配成功则允许报文通过，匹配失败则丢弃报文。匹配的内容可以是IP地址、MAC地址、VLAN ID和接口的任意组合，例如可以只匹配IP地址，或者只匹配IP地址和MAC地址，或者IP地址、MAC地址、VLAN ID和接口都匹配等。

因此，IPSG能够防止恶意主机盗用合法主机的IP地址来仿冒合法主机，还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或者攻击网络。

例如：在主机是DHCP服务器动态分配IP地址的环境下，主机只能使用服务器动态分配的IP地址，私自配置静态IP地址将无法访问网络，除非管理员为主机创建静态绑定表项。

组网需求
Host通过ACC接入网络，Core作为DHCP Server为Host动态分配IP地址，打印机使用静态IP地址，Gateway为企业出口网关。管理员希望Host不能私自配置静态IP地址，私自配置IP地址后将无法访问网络。

配置思路
采用如下的思路配置IPSG功能，实现上述需求。

在Core上配置DHCP Server功能，为Host动态分配IP地址。
在ACC上配置DHCP Snooping功能，保证Host从合法的DHCP Server获取IP地址，同时生成DHCP Snooping动态绑定表，记录Host的IP地址、MAC地址、VLAN、接口的绑定关系。
在ACC上为打印机创建静态绑定表，保证打印机的安全接入。
在ACC连接用户的VLAN上使能IPSG功能，防止Host通过私自配置IP地址的方式访问网络。

设备
华为S5720-28p-LI-AC
VRP ® software, Version 5.170 (S5720 V200R011C10SPC600

操作步骤

在Core上配置DHCP Server功能
system-view
[HUAWEI] sysname Core
[Core] vlan batch 10
[Core] interface gigabitethernet 0/0/1
[Core-GigabitEthernet0/0/1] port link-type trunk
[Core-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[Core-GigabitEthernet0/0/1] quit
[Core] interface vlanif 10
[Core-Vlanif10] ip address 10.1.1.1 255.255.255.0
[Core-Vlanif10] dhcp select interface
[Core-Vlanif10] dhcp server lease day 0 hour 6 minute 0
[Core-Vlanif10]dhcp server dns-list 114.114.114.114

在ACC上配置DHCP Snooping功能

#配置各接口所属VLAN。

system-view
[HUAWEI] sysname ACC
[ACC] vlan batch 10
[ACC] interface gigabitethernet 0/0/1
[ACC-GigabitEthernet0/0/1] port link-type access
[ACC-GigabitEthernet0/0/1] port default vlan 10
[ACC-GigabitEthernet0/0/1] quit
[ACC] interface gigabitethernet 0/0/2
[ACC-GigabitEthernet0/0/2] port link-type access
[ACC-GigabitEthernet0/0/2] port default vlan 10
[ACC-GigabitEthernet0/0/2] quit
[ACC] interface gigabitethernet 0/0/3
[ACC-GigabitEthernet0/0/3] port link-type access
[ACC-GigabitEthernet0/0/3] port default vlan 10
[ACC-GigabitEthernet0/0/3] quit
[ACC] interface gigabitethernet 0/0/4
[ACC-GigabitEthernet0/0/4] port link-type trunk
[ACC-GigabitEthernet0/0/4] port trunk allow-pass vlan 10
[ACC-GigabitEthernet0/0/4] quit

#使能DHCP Snooping功能，并将连接DHCP Server的GE0/0/4接口配置为信任接口。

[ACC] dhcp enable //使能DHCP功能
[ACC] dhcp snooping enable //使能全局DHCP Snooping功能
#dhcp snooping enable ipv4 //只对ipv4使能DHCP Snooping功能
[ACC] vlan 10
[ACC-vlan10] dhcp snooping enable //使能VLAN 10下的DHCP Snooping功能
[ACC-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/4 //配置信任接口
[ACC-vlan10] quit
创建打印机的静态绑定表项
[ACC] user-bind static ip-address 10.1.1.2 mac-address 0003-0003-0003 interface gigabitethernet 0/0/3 vlan 10
#[ACC] user-bind static ip-address 10.1.1.2 mac-address 0003-0003-0003 vlan 10 //用于接入下挂傻瓜交换机没有具体端口
在ACC的VLAN10上使能IPSG功能
[ACC] vlan 10
[ACC-vlan10] ip source check user-bind enable //使能IPSG功能
[ACC-vlan10] quit
验证配置结果
Host上线后，在ACC上执行display dhcp snooping user-bind all命令，可以查看Host的动态绑定表信息。

[ACC] display dhcp snooping user-bind all
DHCP Dynamic Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping

IP Address MAC Address VSI/VLAN(O/I/P) Interface Lease

10.1.1.254 0001-0001-0001 10 /-- /-- GE0/0/1 2014.08.17-07:31
10.1.1.253 0002-0002-0002 10 /-- /-- GE0/0/2 2014.08.17-07:34

Print count: 2 Total count: 2
在ACC上执行display dhcp static user-bind all命令，可以查看打印机的静态绑定表信息。

[ACC] display dhcp static user-bind all

DHCP static Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
IP Address MAC Address VSI/VLAN(O/I/P) Interface

10.1.1.2 0003-0003-0003 10 /-- /-- GE0/0/3

Print count: 1 Total count: 1
Host使用DHCP服务器动态分配的IP地址可以正常访问网络，将Host更改为与动态获得的IP地址不一样的静态IP地址后无法访问网络。