文章目录

1 DHCP snooping2 IPSG（IP Source Guard）2.1 配置基于VLAN的IP Source Guard2.2 配置基于接口的IP Source Guard

强烈推荐文档：

IPSG简介-官方文档-可下载pdf

简化版拓扑图：

设备：

华为S2700华为S5700PC1

IP：10.0.0.10/24

mac：0000-1111-2222

1 DHCP snooping

DHCP Snooping大致具有以下两方面的功能：

保证DHCP客户端从合法的DHCP服务器处获取IP地址。

为了使DHCP客户端能通过合法的DHCP服务器获取IP地址，DHCP Snooping安全机制允许将端口（可以在二层连核心的上联口）分为"信任端口"（Trusted Port）和"不信任端口"（Untrusted Port）两大类。信任端口正常转发接收到的DHCP报文；而不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后，丢弃该报文。然后把连接合法DHCP服务器和其他DHCP Snooping设备的端口设置为信任端口，其他所有端口（包括连接DHCP客户端的端口）均设置为不信任端口。目前，可以配置为DHCP Snooping信任端口的接口类型包括：二层以太网端口、二层聚合端口记录DHCP客户端IP地址与MAC地址的对应关系。

启用DHCP Snooping功能后，通过监听非信任端口收到的DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文可以记录DHCP Snooping表项，其中包括客户端的MAC地址、获取到的IP地址、与DHCP客户端连接的端口及该端口所属的VLAN等信息。利用这些信息可以帮助实现一些其他安全功能，如ARP快速响应、ARP检测、IPSG（IP Source Guard，IP源防护）

配置dhcp snooping

[Quidway]dhcp enable [Quidway]dhcp snooping enable# 若有vlan还需要在vlan中开启dhcp snooping[Quidway]vlan 100[Quidway-vlan100]dhcp snooping enable# 上联口配置dhcp snooping trusted[Quidway]int Ethernet0/0/22[Quidway-Ethernet0/0/22]dhcp snooping trusted[Quidway-Ethernet0/0/22]dis th#interface Ethernet0/0/22port link-type trunkport trunk allow-pass vlan 2 to 4094dhcp snooping trusted#return

2 IPSG（IP Source Guard）

IPSG可以防范针对源IP地址进行欺骗的攻击行为。

IP Source Guard功能是基于绑定表对IP报文进行匹配检查。当设备在转发IP报文时，将此报文中的源IP、源MAC、端口、VLAN信息和绑定表的信息进行比较，如果信息匹配，表明是合法用户，则允许报文正常转发，否则认为报文时攻击报文，并丢弃该报文。

IP Source Guard功能是基于绑定表对IP报文进行匹配检查。检查内容包括：源IP地址、源MAC地址、VLAN和接口。

常用的两种配置：

配置基于VLAN的IP Source Guard配置基于接口的IP Source Guard

2.1 配置基于VLAN的IP Source Guard

最好在三层配置基于VLAN的IP Source Guard

1 开启IP报文检查功能[HeXin]vlan 100[HeXin-vlan100]ip source check user-bind enable2 配置IP报文检查项（默认mac）[HeXin-vlan100]ip source check user-bind check-item ?interface Interface ip-address IP address mac-address MAC address3 实现用户上网[HeXin]user-bind static mac-address 0000-1111-2222

2.2 配置基于接口的IP Source Guard

可在三层交换机或二层交换机上配置

1 先在二层交换机创建一个组，把想要配置同一个vlan的接口放入此组（方便配置管理），然后开始做mac限制。[Quidway]port-group 100# 创建端口组[Quidway-port-group-100]group-member Ethernet 0/0/1 to Ethernet 0/0/21# 把1~21口划入到端口组中[Quidway-port-group-100]port link-type access# 端口类型改为access[Quidway-port-group-100]port default vlan 100# 配置默认允许的vlan[Quidway-port-group-100]ip source check user-bind enable# 开启准入策略[Quidway-port-group-100]ip source check user-bind check-item mac-address # 配置基于mac的准入策略2 最好在核心交换机中的dhcp地址池中进行IP和mac的绑定，这样可以更好地管理人员IP和mac。[HeXin]ip pool 100[HeXin-ip-pool-100]static-bind ip-address 10.0.0.10 mac-address 0000-1111-22223 若有用户需要上网，则只需在二层系统视图下加一条命令即可[Quidway]user-bind static mac-address 0000-1111-22224 取消此mac的准入[Quidway]undo user-bind static mac-address 0000-1111-22225 查询mac对应哪台交换机（1）在核心查此IP连接哪个二层交换机（即找接口连的交换机）dis arp dynamic | include 10.0.0.10（2）在网络拓扑图中找到此接口对应的二层交换机，登录操作即可dis mac-address | include 0000-1111-2222# 可查询此mac对应二层交换机的接口

参考文章

1）DHCP Snooping的两个主要功能

2）华为IPSG技术白皮书