IPSG配置实战：用静态绑定表锁死PC上网IP

IPSG（IP Source Guard）是一种基于二层接口的源IP地址过滤技术。它的核心作用是防止恶意主机伪造合法主机的IP地址进行仿冒，确保非授权主机无法通过私自指定IP地址的方式访问网络或发起攻击。

在华为路由器上，为多台PC创建静态绑定表，将它们的IP地址与MAC地址进行固定关联。随后，在连接这些PC的用户侧接口上启用IPSG功能，强制PC只能使用管理员分配的固定IP地址上网，任何私自篡改IP的行为都将被拦截。

配置前的准备

在开始配置前，请确保你已经获取了需要绑定的PC的MAC地址，并规划好了要分配给它们的静态IP地址。本次实验我们将PC1（MAC: 0000-0000-0000）绑定到192.168.0.3，将PC2（MAC: 1111-1111-1111）绑定到192.168.0.4。

一、创建静态绑定表

首先，我们需要进入系统视图，并使用user-bind static命令手工创建IP地址与MAC地址的绑定关系。这条命令会生成一张静态绑定表，作为IPSG进行报文检查的依据。

<Huawei> system-view [Huawei] user-bind static ip-address 192.168.0.3 mac-address 0000-0000-0000 [Huawei] user-bind static ip-address 192.168.0.4 mac-address 1111-1111-1111

执行以上命令后，设备内部就记录了这两对IP与MAC的合法绑定关系。任何不符合这个关系的报文，在后续的检查中都将被视为非法。

二、在用户侧接口启用IPSG

绑定表创建完成后，我们需要在连接用户PC的具体接口上应用IPSG检查功能。缺省情况下，所有接口都是非信任接口，这意味着从这些接口收到的IP报文都会受到检查。

配置Eth0/0/1接口

首先进入连接PC1的Eth0/0/1接口，并开启IP报文检查功能

[Huawei] interface ethernet 0/0/0 [Huawei-Ethernet0/0/1] ip source check user-bind enable [Huawei-Ethernet0/0/1] quit

配置Eth0/0/2接口

接着，对连接PC2的Eth0/0/2接口进行同样的操作

[Huawei] interface ethernet 0/0/1 [Huawei-Ethernet0/0/1] ip source check user-bind enable [Huawei-Ethernet0/0/1] quit

当接口使能了ip source check user-bind enable后，设备会自动基于之前创建的绑定表，向该接口下发ACL（访问控制列表）。此后，该接口收到的所有IP报文都会与绑定表进行匹配，只有源IP和源MAC地址都完全匹配的报文才被允许通过，不匹配的报文将被直接丢弃。

验证配置结果

配置完成后，确保绑定表项已经正确生成。可以使用display命令来查看当前所有的静态用户绑定信息。

[Huawei] display dhcp static user-bind all

执行该命令后，看到类似下面的输出，这表明静态绑定已经生效

IP Address MAC Address ------------------------------------- 192.168.0.3 0000-0000-0000 192.168.0.4 1111-1111-1111 -------------------------------------

此，IPSG配置全部完成。连接到Eth0/0/1和Eth0/0/2接口的PC，现在只能使用我们指定的192.168.0.3和192.168.0.4这两个IP地址上网。如果用户尝试手动修改电脑IP为其他地址，其网络访问请求将被路由器拒绝，从而有效保障了内网的安全与稳定。