相关文章学习：安全典型配置（一）使用ACL限制FTP访问权限案例 安全典型配置（二）使用ACL限制用户在特定时间访问特定服务器的权限案例 安全典型配置（三）使用ACL禁止特定用户上网案例安全典型配置（四）使用自反ACL实现单向访问控制案例安全典型配置（五）SNMP中应用ACL过滤非法网管案例配置IPSG限制非法主机访问内网案例（静态绑定）IPSG简介IPSG是一种基于二层接口的源IP地址过滤技术，它利用交换机上的绑定表对IP报文进行过滤。绑定表由IP地址、MAC地址、VLANID和接口组成，包括静态和动态两种。静态绑定表是用户手工创建的，动态绑定表即DHCPSnooping绑定表，它是在主机动

一、IPSG(IPSourceGuard):IP源防攻击1.1基于二层接口的源地址过滤技术1.2 防止恶意主机伪造合法主机的IP地址1.3 确保非授权主机不能通过自己制定IP来访问和攻击网络二、IPSG工作原理2.1 利用绑定表去匹配二层接口收到的IP报文，只有匹配绑定表才可以通过，否则丢弃三、IPSG绑定表两种方式：3.1静态绑定：使用user-bind命令手工配置3.2 动态绑定：配置DHCPSnooping(推荐）绑定表生产后，IPSG绑定表向指定的接口或VLAN下发ACL，由ACL来匹配IP报文四、IPSG案例（user-bind+DHCPSnooping）4.1 PC1-PC2连接S

目录DHCPSnooping 与DHCPSnooping联动技术IP源防攻击技术（IPSG）动态ARP检测技术（DAI）配置DHCPSnoopingDHCPSnooping DHCPSnooping时DHCP的一种安全特性，用于保证DHCP客户端从合法的DHCP服务器获取IP地址，并记录DHCP客户端IP地址与MAC地址等参数的对应关系，防止网络上针对DHCP攻击通过配置信任端口和非信任端口来实现安全防护信任接口正常接收DHCP服务器响应的DHCPACK、DHCPNAK和DHCPOffer报文设备只会将DHCP客户端的DHCP请求报文通过信任接口发送给合法的DHCP服务器。非信任接口在接收到D

一、IPSG功能简介IPSG：IPSourceGuard，IP源防攻击是一种基于二层接口的源IP地址过滤技术。它能够防止内网用户修改IP地址（防止恶意主机通过伪造合法主机的IP地址来获取合法主机的网络访问权限或敏感信息等），还确保非授权主机（在静态或动态绑定表中没有相关记录的主机表记录信息）不能通过设置IP地址来访问网络或攻击网络，能有效防止IP地址的私自更改。二、绑定表IPSG参照二个绑定表项来检查接入主机的合法性。分为静态绑定表和动态绑定表。静态绑定表通过user-bind命令手动在网络设备上进行配置，比较适用网络规主机数量比较少且都使用静态IP地址的场景。（交换机MAC地址表数量有限制，