方案介绍
网络建设项目中,经常有这样需求:
1、电脑客户端采用DHCP方式自动获取IP地址。
2、并且要防止电脑客户端自行手动修改ip地址。
要达到这样的效果,我们需要通过在设备接入用户侧的端口上启用IP Source Guard功能,可以对端口转发的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了端口的安全性。
绑定方式
1.静态绑定:通过手动配置IP Source Guard,同时绑定至端口上。这种绑定方式适用于局域网中主机数目较少,或者需要针对局域网中某台特定的机器进行绑定操作。
2.动态绑定:通过自动获取DHCP Snooping或DHCP Relay的绑定表项来完成端口控制功能。该绑定方法适用于局域网络中主机较多,并且采用DHCP进行动态主机配置的情况,可有效防止IP地址冲突、盗用等问题。其原理是每当DHCP为用户分配一条表项时,动态绑定功能就相应地增加一条绑定表项以允许该用户访问网络。如果某个用户私自设置IP地址,会由于没有触发DHCP分配表项,导致动态绑定功能未增加相应的访问允许规则,使得该用户不能访问网络
2.动态绑定:通过自动获取DHCP Snooping或DHCP Relay的绑定表项来完成端口控制功能。该绑定方法适用于局域网络中主机较多,并且采用DHCP进行动态主机配置的情况,可有效防止IP地址冲突、盗用等问题。其原理是每当DHCP为用户分配一条表项时,动态绑定功能就相应地增加一条绑定表项以允许该用户访问网络。如果某个用户私自设置IP地址,会由于没有触发DHCP分配表项,导致动态绑定功能未增加相应的访问允许规则,使得该用户不能访问网络
配置举例
验证配置结果
这部分内容需付费后浏览.
