IPSGIP Source Guard是一种基于二层接口的源IP地址过滤技术。它的核心作用是防止恶意主机伪造合法主机的IP地址进行仿冒确保非授权主机无法通过私自指定IP地址的方式访问网络或发起攻击。在华为路由器上为多台PC创建静态绑定表将它们的IP地址与MAC地址进行固定关联。随后在连接这些PC的用户侧接口上启用IPSG功能强制PC只能使用管理员分配的固定IP地址上网任何私自篡改IP的行为都将被拦截。配置前的准备在开始配置前请确保你已经获取了需要绑定的PC的MAC地址并规划好了要分配给它们的静态IP地址。本次实验我们将PC1MAC: 0000-0000-0000绑定到192.168.0.3将PC2MAC: 1111-1111-1111绑定到192.168.0.4。一、创建静态绑定表首先我们需要进入系统视图并使用user-bind static命令手工创建IP地址与MAC地址的绑定关系。这条命令会生成一张静态绑定表作为IPSG进行报文检查的依据。Huawei system-view [Huawei] user-bind static ip-address 192.168.0.3 mac-address 0000-0000-0000 [Huawei] user-bind static ip-address 192.168.0.4 mac-address 1111-1111-1111执行以上命令后设备内部就记录了这两对IP与MAC的合法绑定关系。任何不符合这个关系的报文在后续的检查中都将被视为非法。二、在用户侧接口启用IPSG绑定表创建完成后我们需要在连接用户PC的具体接口上应用IPSG检查功能。缺省情况下所有接口都是非信任接口这意味着从这些接口收到的IP报文都会受到检查。配置Eth0/0/1接口首先进入连接PC1的Eth0/0/1接口并开启IP报文检查功能[Huawei] interface ethernet 0/0/0 [Huawei-Ethernet0/0/1] ip source check user-bind enable [Huawei-Ethernet0/0/1] quit配置Eth0/0/2接口接着对连接PC2的Eth0/0/2接口进行同样的操作[Huawei] interface ethernet 0/0/1 [Huawei-Ethernet0/0/1] ip source check user-bind enable [Huawei-Ethernet0/0/1] quit当接口使能了ip source check user-bind enable后设备会自动基于之前创建的绑定表向该接口下发ACL访问控制列表。此后该接口收到的所有IP报文都会与绑定表进行匹配只有源IP和源MAC地址都完全匹配的报文才被允许通过不匹配的报文将被直接丢弃。验证配置结果配置完成后确保绑定表项已经正确生成。可以使用display命令来查看当前所有的静态用户绑定信息。[Huawei] display dhcp static user-bind all执行该命令后看到类似下面的输出这表明静态绑定已经生效IP Address MAC Address ------------------------------------- 192.168.0.3 0000-0000-0000 192.168.0.4 1111-1111-1111 -------------------------------------此IPSG配置全部完成。连接到Eth0/0/1和Eth0/0/2接口的PC现在只能使用我们指定的192.168.0.3和192.168.0.4这两个IP地址上网。如果用户尝试手动修改电脑IP为其他地址其网络访问请求将被路由器拒绝从而有效保障了内网的安全与稳定。