IPSG+DHCP Snooping详解及配置

IPSG（IP Source Guard）IP源防护，是一种基于二层接口的源IP地址过滤的技术，IPSG可以防止接入终端用户伪造合法的主机的IP地址对网络的攻击。IPSG通过静态或动态绑定IP地址，MAC地址，Vlan以及接口（注意：这四个选项是任意组合起来的，并不是严格需要将四个绑定在一起才会有用），然后在网络设备（交换机或者路由器）上面开启IPSG源检查，符合DHCP Snooping表项的才会对其转发，否则丢弃。

IPSG+DHCP Snooping的思路分为3步，但是配置可细分为4步

其实IPSG+DHCP Snooping就是一个建立规则然后实行该规则的过程。首先要开启这个功能，然后写出规则，最后实施规则。

我们以华为设备以及下面这种网络架构为例

首先，有DHCP Snooping并不是说一定要在网关上配置DHCP，如果将终端设置为手动配置IP地址也是一样的。因为华为ensp的这个功能配置完成之后并不会生效，所以就没有展示结果，一下的配置都是我在实际项目中总结出来的配置过程，不对的地方请各位大佬多多指正。

第一步：在接入层开启DHCP和DHCP Snooping功能，命令分别为:

[Huawei]dhcp enable

[Huawei]dhcp snooping enable

第二步：将上行口也就是和核心交换机相连的接口配置为信任端口：

[Huawei-GigabitEthernet0/0/1]dhcp snooping enable

[Huawei-GigabitEthernet0/0/1]dhcp snooping trusted

第三步：添加绑定表：

[Huawei]user-bind static ip-address 192.168.1.1      #注意要选择检查的项目

[Huawei]user-bind static mac-address 5489-9827-7968

[Huawei]user-bind static ip-address 192.168.1.1 mac-address 5489-9827-7968

[Huawei]user-bind static ip-address 192.168.1.1 mac-address 5489-9827-7968 interface Ethernet 0/0/1 vlan 10

我绑了四个例子，从上面这四个例子中就可以看出这四个参数可以任意组合，并没有限制，注意多个条件之间是与的关系，并非或的关系。其次我们需要搞清楚的是他的规则。而他的规则就是检查其中的表项，如果接入交换机从接入端口（注意，这个所谓的接入端口必须是开启了检查的端口，否则不予以检查）收到的数据包，如果他的IP地址，MAC地址，接口或者vlan有任意一个是满足上面表项的内容，则视为合法数据包，予以放行，否则丢弃。所以以第一个只绑定IP地址的为例，如果从任意一个接口收到IP地址为192.168.1.1的报文直接通过，否则丢弃。

第四步：在需要开启检查的端口下面开启检查：

为什么要开启检查？打个比方，比如你是你们家小区的管理人员，有一天你觉得你很不喜欢抽烟的人在小区里面，你觉得很烦，于是你就去写一套规则，规则是禁止抽烟的人进入咱们小区；但是，这只是你写的规则而已，并没有实施起来，于是你就把你写好的规则去小区门口的保安哪里实施，进来一个人摸摸口袋看有没有烟，有烟的就不让进，没烟的就放进来。

开启检查有两种方式，一是在接口下面开启；二是在vlan里面开启，两者都有各自的优势。比如说你的交换机vlan很多个，这时候就可以在接口下面配置直接interface  range G0/0/1 to G0/0/47,开启检查就好了；但是如果所有接口都在一个vlan下面，只需要在vlan里面开启就好了，就不用进接口这么麻烦了。

第一种在接口下面开启检查：

[Huawei-Ethernet0/0/1]ip source check user-bind enable

[Huawei-Ethernet0/0/2]ip source check user-bind enable

第二种在vlan里面开启检查：

[Huawei]vlan 10

[Huawei-vlan10]ip source check user-bind enable

在接入交换机的1口和2口开启了检查，也就是说1口和2口进来的所有报文都会检查一遍，如果在绑定表里面的话就通过，否则丢弃。而其他接口没有开启检查，其他接口就没有这个功能，任何进来的报文都会通过。

在vlan10里面开启检查的话也一样，但是他可以选择检查的项目，（默认检查MAC地址）所以你要是只填了一个IP地址的话还需要选择一个检查IP地址。

[Huawei-vlan10]ip source check user-bind check-item ?
  interface    Interface
  ip-address   IP address
  mac-address  MAC address

[Huawei-Ethernet0/0/1]ip source check user-bind check-item ?
  ip-address   IP address
  mac-address  MAC address
  vlan         Virtual LAN

常用命令：

[Huawei]dis dhcp snooping user-bind all                             #用来查询绑定表

[Huawei]undo user-bind static ip-address 192.168.1.1        #用来删除一个绑定表

注意事项：

在以前的华为交换机中，如果终端设备要和交换机本身通，必须要在绑定表里面才可以，否则终端谁都ping不通。但是后来的华为智选交换机将本设备自动化为信任设备，也就是说不管有没有在绑定表里面，所有终端设备都是和交换机相通的。我当时在项目上测试的时候用交换机去ping终端，不管该终端有没有在绑定表里面，都可以ping通，我觉得很奇怪，我以为是我配置有问题，结果是这个原因导致浪费我很长时间去解决这个问题。

最后，这个小实验只是IPSG和DHCP Snooping其中一个很小的部分，他还有很多功能我这里没有展示出来，因为我没有搜到相关的配置案例，所以自己写了一个，这也是我个人的理解，希望能对大家有所帮助，谢谢大家能看到这里。