配置IP Source Guard示例

配置网络设备的端口安全机制防止非法设备连接网络设备的端口安全机制是网络安全的重要组成部分，它能够有效地防止非法设备连接网络，确保网络的安全性和稳定性。

本文将就如何配置网络设备的端口安全机制进行阐述，以提供一些参考和指导。

一、端口安全机制的基础概念1. MAC地址过滤MAC地址是网络设备的唯一标识符，通过设置网络设备的ACL （Access Control List）表，可以设定只允许特定的MAC地址通过，其他非法设备将无法连接到网络。

配置ACL表的方法是在网络设备的配置界面中，设置允许的MAC地址列表，并配置相应的动作，如允许或禁止连接。

2. DHCP SnoopingDHCP Snooping是一种防止非法DHCP服务器攻击的机制，通过记录网络中合法DHCP服务器的MAC地址和绑定IP地址的关系，对非法DHCP服务器的请求进行过滤，确保只有合法的DHCP服务器能够分配IP地址。

配置DHCP Snooping需要在网络设备上启用该功能，并对合法DHCP服务器进行授权。

3. IP Source GuardIP Source Guard是一种用于保护网络环境中的IP地址不被非法源地址冒充的机制。

通过将端口与MAC地址和IP地址进行绑定，只允许指定的MAC地址和IP地址从特定端口发送和接收数据包。

配置IP Source Guard需要在网络设备上启用该功能，并进行相应的绑定和限制。

二、端口安全机制的配置步骤1. 登录网络设备管理界面首先，通过SSH、Telnet或串口等方式登录网络设备的管理界面，输入正确的用户名和密码进行认证。

2. 进入端口安全配置界面在管理界面中，根据设备型号和软件版本的不同，找到相应的端口安全配置入口，如"Security"、"Port Security"等。

进入该界面后，可以看到各个接口的配置信息和选项。

3. 配置MAC地址过滤选择需要配置的接口，并启用MAC地址过滤功能。

1.1 IP Source Guard简介1.1.1 概述IP Source Guard功能用于对接口收到的报文进行过滤控制，通常配置在接入用户侧的接口上，以防止非法用户报文通过，从而限制了对网络资源的非法使用（比如非法主机仿冒合法用户IP接入网络），提高了接口的安全性。

IP Source Guard绑定表项可以通过手工配置和动态获取两种方式生成。

图1-1 IP Source Guard功能示意图1.6 IP Source Guard典型配置举例1.6.1 IPv4静态绑定表项配置举例1. 组网需求如图1-2所示，Host A、Host B分别与Device B的接口GigabitEthernet2/0/2、GigabitEthernet2/0/1相连；Host C与Device A的接口GigabitEthernet2/0/2相连。

Device B接到Device A的接口GigabitEthernet2/0/1上。

各主机均使用静态配置的IP地址。

要求通过在Device A和Device B上配置IPv4静态绑定表项，满足以下各项应用需求：∙ Device A的接口GigabitEthernet2/0/2上只允许Host C发送的IP报文通过。

∙ Device A的接口GigabitEthernet2/0/1上只允许Host A发送的IP报文通过。

∙ Device B的接口GigabitEthernet1/0/1上允许Host B发送的IP报文通过。

2. 组网图图1-2 配置静态绑定表项组网图3. 配置步骤(1) 配置Device A# 配置各接口的IP地址（略）。

# 在接口GigabitEthernet2/0/2上配置IPv4接口绑定功能，绑定源IP地址和MAC 地址。

<DeviceA> system-view[DeviceA] interface gigabitethernet 2/0/2[DeviceA-GigabitEthernet2/0/2] ip verify source ip-address mac-address# 配置IPv4静态绑定表项，在Device A的GigabitEthernet1/0/2上只允许MAC地址为0001-0203-0405、IP地址为192.168.0.3的数据终端Host C发送的IP报文通过。

IP DHCP Snooping 和 Ip Source Guard、 DAI1.目的为了配合使用公司的dhcp enforcement准入控制组件，强制终端电脑用dhcp来获取IP，并使用内部网络。

为了防止终端用户通过手动设置IP来绕过DHCP，必须在交换机上配合使用IP DHCP Snooping、IP Source Guard、或DAI（dynamic arp inspection）技术，使得手动设置IP的终端电脑无法使用网络。

2.环境如下图其中：3.原理介绍3.1. DHCP Server用于管理分配IP地址从特定的地址池，它可以是一个PC/ROUTER/SWITCH。

3.2. DHCP Relay Agent一个用于在DHCP SERVER与DHCP Client之间转发DHCP Packets的中间三层设备。

它主要应用于DHCP SERVER与Client端在不同的子网时，临时作为一个代理，在它们之间传递数据包。

DHCP Relay Agent的中继转发不同与一般的二层转发，它在收到一个DHCP消息时，会生成一个新的DHCP消息同时发送到外出接口。

3.3. DHCP Snooping一种DHCP安全特性，通过监听DHCP流量，来建立和维护一个DHCP Snooping Binding Database/Table,并且过滤untrusted DHCP消息。

连接在交换机上的所有PC都配置为动态获取IP地址，PC作为DHCP客户端通过广播发送DHCP请求，DHCP服务器将含有IP地址信息的DHCP回复通过单播的方式发送给DHCP客户端，交换机从DHCP报文中提取关键信息（包括IP地址，MAC地址，vlan号，端口号，租期等），并把这些信息保存到DHCP 监听绑定表中。

DHCP Snooping就像是运行在untrusted hosts与DHCP SERVER之间的一个firewall 一样。

IP Source Guard配置说明●IP Source Guard原文说明：●IP Source Guard解释----IP Source Guard是一种二层网络安全技术，应用在一个非路由端口下,可以通过dhcp 状态表或手工绑定的ip binding进行流量的严格限制。

应用后，在端口下会被产生一个隐藏的port acl，该acl将限制只有ip source binding的数据流可以流过该端口-—--IP Source Guard可以应用在accesss端口，也可以应用在trunk端口下—-——使用IP Source Guard时，必须配合ip dhcp snooping使用，当应用在access端口下时，打开该端口所属VLAN的ip dhcp snooping,应用在trunk口下时，打开终端连接端口所属VLAN的ip dhcp snooping--—-IP Source Guard可以基于ip地址进行流量过滤（只要ip地址符合即可通过）；也可以基于ip 和mac进行过滤（必须ip和mac同时匹配才可以通过），●IP Source Guard配置及步骤说明以下所有的说明基于以下拓扑：拓扑说明：一台核心交换机，提供vlan 30，vlan 40的网关,通过trunk与接入层交换机连接,所有的配置在核心交换机上完成，接入层交换机上使用了两个vlan（30,40)，user1 和user2分别位于vlan 30和vlan 401.打开dhcp snooping功能命令：（config）#ip dhcp snooping2.在需要进行IP Source Guard的vlan下打开dhcp snooping功能,针对某个vlan进行实施,如果有多个vlan，则需要打开多个vlan的dhcp snooping功能(这里举例vlan40）命令:（config)＃ip dhcp snooping vlan 403.进行IP和MAC地址绑定,例如：命令：ip source binding 00C0。

默认情况下，交换机在二层接口上转发数据时，只查看数据包的MAC地址，并不会查看数据包的IP地址，如果要让交换机根据数据包的IP或者同时根据IP与MAC做出转发决定，有多种方法可以实现。

如根据IP 转发，可以通过在接口上应用Port ACL来实现，如果要根据MAC转发，可以通过应用port-security来实现，但无论是Port ACL还是port-security，都存在一些局限性，下面介绍一种扩展性较高的安全防护特性- IP Source Guard，IP Source Guard可以根据数据包的IP地址或IP与MAC地址做出转发决定，如果数据包的IP或MAC是不被允许的，那么数据包将做丢弃处理。

因为IP Source Guard需要根据数据包的IP或者同时根据IP与MAC做出转发决定，所以IP Source Guard 在工作时，需要有一张IP和MAC的转发表，在这张表中，明确记录着哪些IP是可以转发的，哪些MAC可以被转发，其它不能被转发的统统丢弃。

这表转发表称为IP source binding table，并且只能被IP source guard使用。

而IP source binding table表，只有在交换机上开启DHCP snooping功能后，才会生成。

IP Source Guard的这张转发表的条目可以自动学习，也可以手工静态添加，如果是自动学习，是靠DHCP snooping功能学习的，所以只有客户端是通过DHCP请求获得地址，并且DHCP服务器的回复是经过交换机时，才能被DHCP snooping学习到。

当在交换机上同时开启了IP Source Guard与DHCP snooping后，交换机将在开启了的接口上拒绝所有流量通过，只放行DHCP流量，并且会自动应用一条ACL到接口上，也只有ACL允许的IP才能通过，这条ACL无法在正常配置中查看，只能通过表的方式查看。

您好：感谢您使用H3C的系列产品和长期以来对我们工作的支持！！推荐您使用ip源防护来防止ARP攻击比较好：如果您网络内使用DHCP分配，则使用动态ip源防护；如果您网络内的PC都是使用手工分配IP地址，这推荐您使用静态源防护，具体操作请参考以下内容:1.1 IP Source Guard简介通过IP Source Guard绑定功能，可以对端口转发的报文进行过滤控制，防止非法IP地址和MAC地址的报文通过端口，提高了端口的安全性。

端口接收到报文后查找IP Source Guard绑定表项，如果报文中的特征项与绑定表项中记录的特征项匹配，则端口转发该报文，否则做丢弃处理。

IP Source Guard支持的报文特征项包括：源IP地址、源MAC地址，可支持端口与如下特征项的组合（下文简称绑定表项）：●源IP●源MAC●源IP＋源MAC该特性提供两种绑定机制：一种是通过手工配置方式提供绑定表项，称为静态绑定；另外一种由DHCP Snooping提供绑定表项，称为动态绑定。

而且，绑定是针对端口的，一个端口被绑定后，仅该端口被限制，其他端口不受该绑定影响。

注意：IP Source Guard功能与端口加入聚合组互斥。

1.2 配置静态绑定表项表1-1 配置静态绑定表项说明：●绑定策略：不支持一个端口上相同表项的重复绑定；相同的表项可以在多个端口上绑定。

●合法绑定表项的MAC地址不能为全0、全F（广播MAC）和组播MAC，IP地址必须为A、B、C三类地址之一，不能为127.x.x.x和0.0.0.0。

1.3 配置动态绑定功能端口上使能动态绑定功能后，根据设备对各动态绑定类型的支持情况，IP Source Guard会选择接收并处理相应的DHCP Snooping表项。

表项内容包括MAC地址、IP地址、VLAN信息、端口信息及表项类型。

IP Source Guard把这些动态获取的表项添加到动态绑定表项中，实现过滤端口转发报文的功能。

DAI(动态ARP监控技术)和IP Source Guard一、ARP Poisoning(ARP毒化技术)正常情况下PC-A是正常PC，路由器是我们的网关，正常情况下PC-A作一个ARP Request请问10.1.1.1这个网关的MAC地址是多少，网关正常就会回网关是10.1.1.1，MAC地址是 C.C.C.C，PC-A会有一个正常的ARP条目:这样PC-A就可以正常把流量交给网关了就上网了，但是现在PC-B这个攻击者作了ARP毒化的处理，它会伪装网关给PC-A 发送一个免费ARP毒化PC-A的ARP的映射表项，让PC-A的ARP映射表项映射为这个时候PC-A上网的流量就会送给PC-B，然后PC-B代理交给服务器，同样PC-B还会作一个毒化ARP的映射去毒化网关的ARP说10.1.1.2的MAC地址是B.B.B.B，这样网关回的包也会绕到PC-B，这样去回的包都要受攻击者来控制。

毒化的过程（1）ARP这种解析是后到者优先，当你们正常合法的映射已经完成时，攻击者就会作一个免费ARP的Replies来毒化你们的ARP的缓存。

（2）免费ARP：免费ARP有好处，也有坏处的。

免费ARP好处：比如我一个PC的地址设置为1.1.1.1，当我开机的时候可能会弹出一个报错，什么MAC地址跟我的IP址重叠，这是怎么发现的呢？比如PC开机就会发送一个免费ARP，免费ARP的内容是请问1.1.1.1的MAC地址是多少，自己问自己IP地址的MAC地址是多少，它不希望任何人可以回应这个，如果没有人回应MAC地址就没有重叠，如果有人回应了说我是1.1.1.1我的MAC地址是什么什么，这时PC就会报一个错说这个MAC地址它的IP地址和我的重叠了，这是免费ARP的好处。

免费ARP的坏处：ARP这种解析是后到者优先，当你们正常合法的映射已经完成时，攻击者就会作一个免费ARP的Replies来毒化你们的ARP 的缓存。

二、启用DAI动态ARP监控技术能够抵御这种ARP毒化攻击（1）能保护ARP毒化的攻击（2）DAI技术需要使用DHCP Snooping的绑定表，就是利用这个绑定表的资源来判断这个ARP是正确的，还是有问题的（3）这个绑定表是通过来追踪整个DHCP一个过程构建起来的，了解到是合法IP和MAC地址的映射，这样我基于这个绑定表作DAI抵御ARP的欺骗。

H3CIPSourceGuard命令命令手册安全分册 IP Source Guard 目录目录第1章IP Source Guard配置命令...........................................................................................1-11.1 IP Source Guard配置命令..................................................................................................1-11.1.1 display ip check source...........................................................................................1-11.1.2 display user-bind.....................................................................................................1-31.1.3 ip check source.......................................................................................................1-41.1.4 user-bind.................................................................................................................1-5本文中标有“请以实际情况为准”的特性描述，表示各型号对于此特性的支持情况可能不同，本节将对此进行说明。

DHCP Snooping，IPSG，DAI 配置实例（本文适用于FSM72xxRS,GSM72xxv2,GSM73xxS,GSM73xxSv2系列交换机8.0以上版本）一、网络拓扑图及说明a）拓扑图b）拓扑说明汇聚层交换机为GSM7328S,核心交换机为GSM7352S，接入层交换机为FS728TS。

GSM7328S上配置IP DHCP Snooping和DAI以及IPSG，上联和下联端口均配置802.1Q VLAN，GSM7352S上配置VLAN 路由和DHCP服务器。

FS728TS配置二层VLAN。

FS728TS的两个VLAN下各接一台电脑。

二、预配置步骤a. 配置GSM7352S上的VLAN路由和DHCP服务器i. 创建VLAN 100，200，启用VLAN100，200的路由ii. 将下联端口1/0/48划入VLAN100，200并打tagging。

iii. 设置VLAN100，200的IP分别为172.16.100.1/24和172.16.200.1/24iv. 启用DHCP服务，为VLAN100，200建立DHCP地址池。

b. 配置GSM7328S和FS728TS上的VLANi. 创建VLAN 100，200将GSM7328S上联口1/0/24，下联口1/0/2划入VLAN100，200并打tagging。

ii. FS728TS上创建VLAN 100，200，将上联口1/g2划入VLAN100，200并打tagging，将下联的端口1/e1和1/e2划入100，1/e3和1/e4划入VLAN200，修改1/e1和1/e2的PVID为100，1/e3和1/e4的PVID为200。

三、DHCP Snooping配置步骤a)启用DHCP Snooping功能i. 从Security/Control/DHCP Snooping／GlobalConfiguration页面，将DHCP SnoopingMode改为Enable, 并添加VLAN 100，VLAN200的DHCP Snooping Mode为Enable。

配置通过IPSG功能对IP报文的接口+IP+MAC信息进行匹配检查示例组网需求如图1所示，HostA与HostB分别与Switch的GE0/0/1和GE0/0/2接口相连。

要求使HostB不能仿冒HostA的IP和MAC欺骗Server，保证HostA的IP报文能正常上送。

图1 配置IPSG组网图配置思路采用如下的思路在Switch上配置IPSG功能（假设用户的IP地址是静态分配的）：1. 接口使能IP报文检查功能。

连接HostA和HostB的接口都需要使能该功能。

2. 配置静态绑定表，对于静态配置IP的用户建立绑定关系表。

说明：以下配置步骤中，只列出了和IP Source Guard配置相关的命令。

操作步骤1. 配置IP报文检查功能# 在连接HostA的GE0/0/1接口使能IP报文检查功能。

<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] interface gigabitethernet 0/0/1[Switch-GigabitEthernet0/0/1] ip source check user-bind enable# 在连接HostA的GE0/0/1接口使能IP报文检查告警功能并配置告警阈值。

[Switch-GigabitEthernet0/0/1] ip source check user-bind alarm enable[Switch-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 200[Switch-GigabitEthernet0/0/1] quit# 在连接HostB的GE0/0/2接口使能IP报文检查功能。

[Switch] interface gigabitethernet 0/0/2[Switch-GigabitEthernet0/0/2] ip source check user-bind enable# 在连接HostB的GE0/0/2接口使能IP报文检查告警功能并配置告警阈值。

禁止非DHCP分配的PC上网一.D HCP Snooping1.配置打开和关闭DHCP Snooping缺省情况下，设备的DHCP Snooping 功能是关闭,当配置ipdhcp snooping命令后，设备就打开了dhcp snooping功能2.配置静态DHCP snooping information option通过配置如下命令，在进行DHCP窥探转发时，给每个DHCP请求添加option82选项。

缺省情况下该功能是关闭的。

下边是配置打开设备DHCP snooping功能：ship dh snoSwitch DHCP snooping is enabledDHCP snooping is configured on following VLANs:111Insertion of option 82 is enabledOption 82 on untrusted port is not allowedVerification of hwaddr field is enabledInterface Trusted Rate limit (pps)------------------------ ------- ----------------FastEthernet0/15 yes unlimitedFastEthernet0/23 yes unlimited3.配置端口为TRUST口用户通过配置此命令来设置一个端口为TRUST口(连接DHCP服务器的端口和交换机级联端口)，默认情况下所有端口全部为UNTRUST口：下边是配置设备的15/23端口为TRUST口：(15口为dhcp服务器,23口为级联) Ruijie# configure terminalRuijie(config)# interface rangeF0/15 , F0/23Ruijie(config-if)# ipdhcp snooping trustRuijie(config-if)# endship dh snoSwitch DHCP snooping is enabledDHCP snooping is configured on following VLANs:111Insertion of option 82 is enabledOption 82 on untrusted port is not allowedVerification of hwaddr field is enabledInterface Trusted Rate limit (pps)------------------------ ------- ----------------FastEthernet0/15 yes unlimitedFastEthernet0/23 yes unlimited二.IP Source Guard的配置(IPSG配置前必须先配置ipdhcp snooping）Switch(config-if)# ip verify source//接口级命令；在该接口下开启IP源防护功能。

DHCP+IP SOURCE GUARD的配置实例在正常开启DHCP Snooping的情况下：Ruijie(config-FastEthernet 0/1)#ip verify sourceRuijie#ping 192.168.1.2Sending 5, 100-byte ICMP Echoes to 192.168.1.2, timeout is 2 seconds:< press Ctrl+C to break >…..Success rate is 0 percent (0/5)此情况证明此端口已经应用了根防护，所以端口下得主机自己配置了地址之后无法通过端口。

之后在全局下配置：Ruijie(config)#ip source binding 0025.6454.b680 vlan 1 192.168.1.2 int f 0/1Ruijie#ping 192.168.1.2Sending 5, 100-byte ICMP Echoes to 192.168.1.2, timeout is 2 seconds:< press Ctrl+C to break >Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms此现象表明，在全局下绑定了端口信息之后，既可以通过。

此绑定信息是通过IP MAC VLAN 端口等四元组来确定信息的。

Ruijie#sh ip verify sourceInterface Filter-type Filter-mode Ip-address Mac-address VLAN-------------------- ----------- ----------- --------------- -------------- --------FastEthernet 0/1 ip active 192.168.1.2 1FastEthernet 0/1 ip active deny-allRuijie#sh ip verRuijie#sh ip soRuijie#sh ip source binRuijie#sh ip source bindingMacAddress IpAddress Lease(sec) Type VLAN Interface------------------ --------------- ------------ ------------- ----- --------------------0025.6454.b680 192.168.1.2 infinite static 1 FastEthernet 0/1Total number of bindings: 1Ruijie#sh ip verify sourceInterface Filter-type Filter-mode Ip-address Mac-address VLAN-------------------- ----------- ----------- --------------- -------------- --------FastEthernet 0/1 ip active 192.168.1.2 1FastEthernet 0/1 ip active deny-all。

H3C S12500 IP Source Guard配置举例Copyright © 2013 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

目录1 简介 (1)2 配置前提 (1)3 使用限制 (1)4 静态绑定表项配置举例 (1)4.1 组网需求 (1)4.2 使用版本 (2)4.3 配置注意事项 (2)4.4 配置步骤 (2)4.4.1 Switch A的配置 (2)4.4.2 Switch B的配置 (2)4.5 验证配置 (3)4.6 配置文件 (3)5 动态生成绑定表项配置举例 (4)5.1 组网需求 (4)5.2 使用版本 (4)5.3 配置注意事项 (4)5.4 配置步骤 (4)5.5 验证配置 (5)5.6 配置文件 (5)6 相关资料 (5)1 简介本文档介绍IP Source Guard的配置举例。

IP Source Guard功能用于对端口收到的报文进行过滤控制，以防止非法用户报文通过。

配置了IP Source Guard功能的端口只转发与绑定表项匹配的报文。

IP Source Guard绑定表项可以通过手工配置（命令行手工配置产生静态绑定表项）和动态获取（根据DHCP的相关表项动态生成绑定表项）两种方式生成。

2 配置前提本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解本文档中的IP Source Guard特性。

3 使用限制当设备上存在EB/EC2类单板（丝印后缀为EB/EC2）且这类单板工作在ACL标准模式时，该类单板上的接口不支持MAC绑定表项、IP＋MAC绑定表项、MAC＋VLAN绑定表项和IP＋MAC＋VLAN绑定表项。

交换机ip mac 过滤(转)2009-05-16 15:24:15| 分类：网络安全| 标签：|字号大中小订阅本文所提到的攻击和欺骗行为主要针对链路层和网络层。

在网络实际环境中，其来源可概括为两个途径：人为实施；病毒或蠕虫。

人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探，获取管理帐户和相关密码，在网络上中安插木马，从而进行进一步窃取机密文件。

攻击和欺骗过程往往比较隐蔽和安静，但对于信息安全要求高的企业危害是极大的。

而来自木马或者病毒及蠕虫的攻击和往往会偏离攻击和欺骗本身的目的，现象有时非常直接，会带来网络流量加大、设备CPU 利用率过高、二层生成树环路直至网络瘫痪。

目前这类攻击和欺骗工具已经非常成熟和易用，而目前企业在部署这方面的防范还存在很多不足，有很多工作要做。

思科针对这类攻击已有较为成熟的解决方案，主要基于下面的几个关键的技术：? Port Security feature? DHCP Snooping? Dynamic ARP Inspection (DAI)? IP Source Guard下面部分主要针对目前非常典型的二层攻击和欺骗说明如何在思科交换机上组合运用和部署上述技术，从而实现防止在交换环境中实施“中间人”攻击、MAC/CAM 攻击、DHCP 攻击、地址欺骗等，更具意义的是通过上面技术的部署可以简化地址管理，直接跟踪用户IP 和对应的交换机端口；防止IP 地址冲突。

同时对于大多数对二层网络造成很大危害的具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。

1 MAC/CAM攻击的防范1.1MAC/CAM攻击的原理和危害交换机主动学习客户端的MAC 地址，并建立和维护端口和MAC 地址的对应表以此建立交换路径，这个表就是通常我们所说的CAM 表。

CAM 表的大小是固定的，不同的交换机的CAM 表大小不同。

MAC/CAM 攻击是指利用工具产生欺骗MAC ，快速填满CAM 表，交换机CAM 表被填满后，交换机以广播方式处理通过交换机的报文，这时攻击者可以利用各种嗅探攻击获取网络信息。

IP地址管理项目案例分析某xx集团目前拥有较完善的网络设计，采用了有线网络与无线网络相结合的接入方案，可理想的为各终端用户提供高性能的网络服务。

但是随着各种IT基础设施（例如：V oIP、云计算、服务器虚拟化、桌面虚拟化、IPv6和服务自动化等）复杂性的增加，采用传统固定IP地址的管理方式将极大的增加网管人员日常的管理负担，且不利于IP地址准确有效的统计与管理。

基于上述原因，同时为了符合中国“塞班斯法案”对《企业内部控制基本规范》的要求，某xx集团选用自动化的IP地址管理设备来实现对IP地址（含IPv4及IPv6地址）的自动分发、监管、审计等功能。

为符合上述要求，自动化的IP地址管理设备，实现下列功能：1.自动化的IP地址管理设备部署完毕后，某xx集团网络终端设备将摒弃传统的手工设置固定IP地址的方式，全部采用自动获取IP地址的方式；可让管理员有效管理子网（含有线子网及无线子网），并能实现IP地址的有效分配、追踪、回收、审计以达到对网络可视性管理的目的；2.为了使某xx集团现有的上网行为管理设备能管理到具体的终端设备，IP地址管理设备要能基于终端设备的MAC地址实现固定IP地址的推送，保证所有终端设备即使采用DHCP获取IP地址也能获取到固定的IP地址，从而实现对所有终端设备的有效管理；3.替代传统的利用Windows或Linux、交换设备或者路由设备实现简单DHCP Server自动分发IP地址的状态，实现基于DHCP+的IP分发策略。

传统的利用交换设备或者路由设备实现DHCP功能时，不但功能有限且可极大的占用相关网络设备的CPU资源，从而降低网络设备转发数据的效率。

保障IP地址分配的稳定可靠，避免IP地址冲突/欺骗的现象的发生；4.实时地址数据分析。

当前某xx集团采用手工Excel表格进行IP地址的管理，这种管理方式维护量巨大，且极易造成数据不一致、不准确的情况发生。

因此要求IP地址管理设备必须能实现自动报表的功能，将网管人员从繁重的Excel表格中解脱出来，去更高效的从事其他工作；5.某xx集团目前有将近65%的员工已经使用自有设备（BYOD：自携带设备）访问与工作相关的数据。