防止用戶擅自修改IP位址，誰修改誰斷網，連區域網都不通

原標題：防止用戶擅自修改IP位址，誰修改誰斷網，連區域網都不通

你的網絡是不是有過這樣的問題：明明配置了DHCP，還總有IP衝突，排查非常費勁，而且吃力不討好，碰到素質差點的用戶，免不了還被反懟幾句。

對付這樣的人，有三個方法：

1、在域控上下發組策略，禁止用戶修改IP位址；

2、在交換機上配置IPSG，他倒是能改IP位址，但是改了之後，不但上不了外網，就連內網都不通了，那他就只能自己改回來了，免去你排查之苦，就算他不改回來，對網絡也不會產生任何影響。

3、行政手段，一經發現私自修改IP位址，直接罰款，從工資裡面扣那種。

行政罰款也到不了IT外包的手裡，咱們還是用點技術手段吧，那就IPSG走起。

一、原理簡述：

IPSG是IP Source Guard的簡稱。IPSG可以防範針對源IP位址進行欺騙的攻擊行為。

隨著網絡規模越來越大，基於源IP的攻擊也逐漸增多。所謂的攻擊，不一定是惡意的，他也許只是想獲得上網權限而擅自修改IP位址，但是這樣的行為，已經對網絡造成了攻擊，甚至有些人，把自己的IP位址直接改成了網關IP，把整個網絡都搞崩潰了；

二、網絡架構及配置方法

1、廢話不多說，先上拓撲圖；

2、配置要求：

如上圖所示，內網有台伺服器，需要配置靜態IP，並且在接入交換機內靜態綁定；PC1和PC2配置為自動獲取IP位址，並且需要防止用戶修改IP位址接入網絡；核心交換機與接入交換機之間的接口配置為trunk模式，並且放行所有VLAN；

3、配置過程：

（1）核心交換機的配置：

sys

Enter system view, return user view with Ctrl+Z.

[Huawei]sys core //命名交換機

[core]vlan 10 //創建vlan10

[core-vlan10]

[core-vlan10]q

[core]dhcp en //開啟dhcp

[core]ip pool vlan10 //定義vlan10的地址池

[core-ip-pool-vlan10]net 192.168.10.0 mask 24 //在地址池中聲明網絡

[core-ip-pool-vlan10]gateway-list 192.168.10.1 //在地址池中聲明網關

[core-ip-pool-vlan10]dns-list 192.168.10.11 //在地址池中聲明DNS伺服器

[core-ip-pool-vlan10]excluded-ip-address 192.168.10.2 192.168.10.20 //在地址池中聲保留不分配出去的IP位址

[core-ip-pool-vlan10]int vlan 10

[core-Vlanif10]ip add 192.168.10.1 24 //配置vlan的IP位址

[core-Vlanif10]dhcp sele glo //選擇全局的地址池給DHCP客戶端使用

[core-Vlanif10]int g0/0/1

[core-GigabitEthernet0/0/1]p l t //1口配置為trunk模式

[core-GigabitEthernet0/0/1]p t a v a //允許所有vlan通過

（2）接入交換機的配置：

sys

[Huawei]sys SW1

[SW1]vlan 10

[SW1-vlan10]int g0/0/4

[SW1-GigabitEthernet0/0/4]p l t

[SW1-GigabitEthernet0/0/4]p t a v a

[SW1-GigabitEthernet0/0/4]q

[SW1]p g g0/0/1 to g0/0/3 //創建埠組，組成員為1-3口

[SW1-port-group]p l a //1-3口配置為access模式

[SW1-port-group]p d v 10 //1-3口access vlan10

[SW1-port-group]q

[SW1]dhcp en

[SW1]dhcp snooping en //啟用全局DHCP Snooping功能

[SW1]vlan 10

[SW1-vlan10]dhcp sn

[SW1-vlan10]dhcp snooping en //啟用VLAN 10下的DHCP Snooping功能

[SW1-vlan10]dhcp snooping trusted int g0/0/4 //配置4口為DHCP信任口

[SW1-vlan10]q

[SW1]user-bind static ip-address 192.168.10.11 mac-address 5489-98F9-77D6 interface g0/0/3 vlan 10 //創建伺服器的靜態綁定表項

[SW1]vlan 10

[SW1-vlan10]ip source check user-bind en //啟用IPSG功能

[SW1-vlan10]q

配置完成，來查看DHCP綁定是否正確：dis dhcp snooping user-bind all

再查看靜態綁定是否正確：dis dhcp static user-bind all

經過以上配置，PC1和PC2使用DHCP伺服器動態分配的IP位址可以正常訪問網絡，如果將IP位址更改為其他的靜態IP位址，則無法訪問網絡。

同理，伺服器修改為其他IP位址後，也是無法正常通訊的。

這樣一來，網絡就會清靜很多，從此「無絲竹之亂耳，無案牘之勞形」，何不快哉。

文章來源: https://twgreatdaily.com/zh-my/d4b239c25009e140fc3e432c83aba0cb.html