【原】谁再擅自修改IP地址，我让他直接断网，连局域网都不通

你的网络是不是有过这样的问题：明明配置了DHCP，还总有IP冲突，排查非常费劲，而且吃力不讨好，碰到素质差点的用户，免不了还被反怼几句。

对付这样的人，有三个方法：

1、在域控上下发组策略，禁止用户修改IP地址；

2、在交换机上配置IPSG，他倒是能改IP地址，但是改了之后，不但上不了外网，就连内网都不通了，那他就只能自己改回来了，免去你排查之苦，就算他不改回来，对网络也不会产生任何影响。

3、行政手段，一经发现私自修改IP地址，直接罚款，从工资里面扣那种。

行政罚款也到不了IT外包的手里，咱们还是用点技术手段吧，那就IPSG走起。

一、原理简述：

IPSG是IP Source Guard的简称。IPSG可以防范针对源IP地址进行欺骗的攻击行为。

随着网络规模越来越大，基于源IP的攻击也逐渐增多。所谓的攻击，不一定是恶意的，他也许只是想获得上网权限而擅自修改IP地址，但是这样的行为，已经对网络造成了攻击，甚至有些人，把自己的IP地址直接改成了网关IP，把整个网络都搞崩溃了；

二、网络架构及配置方法

1、废话不多说，先上拓扑图；

2、配置要求：

如上图所示，内网有台服务器，需要配置静态IP，并且在接入交换机内静态绑定；PC1和PC2配置为自动获取IP地址，并且需要防止用户修改IP地址接入网络；核心交换机与接入交换机之间的接口配置为trunk模式，并且放行所有VLAN；

3、配置过程：

（1）核心交换机的配置：

<Huawei>sys

Enter system view, return user view with Ctrl+Z.

[Huawei]sys core //命名交换机

[core]vlan 10 //创建vlan10

[core-vlan10]

[core-vlan10]q

[core]dhcp en //开启dhcp

[core]ip pool vlan10 //定义vlan10的地址池

[core-ip-pool-vlan10]net 192.168.10.0 mask 24 //在地址池中声明网络

[core-ip-pool-vlan10]gateway-list 192.168.10.1 //在地址池中声明网关

[core-ip-pool-vlan10]dns-list 192.168.10.11 //在地址池中声明DNS服务器

[core-ip-pool-vlan10]excluded-ip-address 192.168.10.2 192.168.10.20 //在地址池中声保留不分配出去的IP地址

[core-ip-pool-vlan10]int vlan 10

[core-Vlanif10]ip add 192.168.10.1 24 //配置vlan的IP地址

[core-Vlanif10]dhcp sele glo //选择全局的地址池给DHCP客户端使用

[core-Vlanif10]int g0/0/1

[core-GigabitEthernet0/0/1]p l t //1口配置为trunk模式

[core-GigabitEthernet0/0/1]p t a v a //允许所有vlan通过

（2）接入交换机的配置：

<Huawei>sys

[Huawei]sys SW1

[SW1]vlan 10

[SW1-vlan10]int g0/0/4

[SW1-GigabitEthernet0/0/4]p l t

[SW1-GigabitEthernet0/0/4]p t a v a

[SW1-GigabitEthernet0/0/4]q

[SW1]p g g0/0/1 to g0/0/3 //创建端口组，组成员为1-3口

[SW1-port-group]p l a //1-3口配置为access模式

[SW1-port-group]p d v 10 //1-3口access vlan10

[SW1-port-group]q

[SW1]dhcp en

[SW1]dhcp snooping en //启用全局DHCP Snooping功能

[SW1]vlan 10

[SW1-vlan10]dhcp sn

[SW1-vlan10]dhcp snooping en //启用VLAN 10下的DHCP Snooping功能

[SW1-vlan10]dhcp snooping trusted int g0/0/4 //配置4口为DHCP信任口

[SW1-vlan10]q

[SW1]user-bind static ip-address 192.168.10.11 mac-address 5489-98F9-77D6 interface g0/0/3 vlan 10 //创建服务器的静态绑定表项

[SW1]vlan 10

[SW1-vlan10]ip source check user-bind en //启用IPSG功能

[SW1-vlan10]q

配置完成，来查看DHCP绑定是否正确：dis dhcp snooping user-bind all

再查看静态绑定是否正确：dis dhcp static user-bind all

经过以上配置，PC1和PC2使用DHCP服务器动态分配的IP地址可以正常访问网络，如果将IP地址更改为其他的静态IP地址，则无法访问网络。

同理，服务器修改为其他IP地址后，也是无法正常通讯的。

这样一来，网络就会清静很多，从此“无丝竹之乱耳，无案牍之劳形”，何不快哉。