华为交换机：配置IPSG防止主机私自更改IP地址示例（静态绑定）,如果换ip就上不了网

华为交换机：配置IPSG防止主机私自更改IP地址示例（静态绑定）,如果换ip就上不了网

管理员希望Host使用管理员分配的固定IP地址上网，不允许私自更改IP地址非法获取网络访问权限。

（1）拓扑图

（2）基础配置

sw1:

#
interface Vlanif1
 ip address 10.12.1.102 255.255.0.0
#
interface GigabitEthernet0/0/1
#
interface GigabitEthernet0/0/2

#

pc1 ping 网关：通

手动修改成其他ip地址也是可以ping通网关的。

（3.1）配置静态绑定表项
[sw1]user-bind static ip-address 10.12.11.116 mac-address 54ee-757c-1573
（3.2）使能IPSG并设置丢弃报文上报告警功能
# 在连接PC1的GE0/0/2接口使能IPSG和IP报文检查告警功能，当丢弃报文阈值到达200将上报告警。
interface GigabitEthernet0/0/2
  ip source check user-bind enable
  ip source check user-bind alarm enable
  ip source check user-bind alarm threshold 200

display dhcp static user-bind all

测试：已经ping不通了。

把pc1配置成静态ip 10.12.11.116, 结果：通

配置同一个网段的多个ip地址，结果：通

配置不同一个网段的多个ip地址，网关为10.12.12.254，结果：通，重启交换机后结果也是通。

配置不同一个网段的多个ip地址，网关为192.168.1.254，结果：通，重启交换机后结果也是通。

把pc1配置成自动获取，结果：获取不到ip地址

原因：被IPSG阻止了。

Oct  1 2008 03:09:12+08:00 sw1 SECE/4/IPSG_DROP_ALARM:OID 1.3.6.1.4.1.2011.5.25.165.2.2.3.1 The packet number dropped by IPSG reaches 203, exceed the alarm threshold 200, interface GigabitEthernet0/0/2, The most dropped packet is: VLAN=1 SourceMAC=54ee-757c-1573 SourceIP=169.254.89.173.

（4.1）如果PC1先认证了，那PC2虽然ip不是10.12.11.116，是不是也可以跟着可以上网了？

PC1可以ping通网关后，pc2再ping,也ping不通网关10.12.12.254

PC1:

PC2:

IPSG（列表、list、全）ipsglist
http://www.zh-cjh.com/wenzhangguilei/3433.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html