IP Source Guard配置

Cisco交换机的安全特性一、端口安全二、AAA服务认证三、DHCP欺骗四、IP Source Guard五、ARP六、DAI的介绍七、SSH认证八、VTY线路出入站的ACL九、HTTP server十、ACL功能十一、PVLAN一、端口安全：A、通过端口安全特性可以检查连接交换机的MAC地址的真实性。

管理员可以通过这个特性将固定的MAC地址写在交换机中。

B、配置顺序：1）启动端口安全程序，2）配置有效的MAC地址学习上线，3）配置静态有效MAC地址（动态学习不需要配置），4）配置违反安全规定的处理方法（方法有三种：shut down直接关闭端口，需要后期由管理员手工恢复端口状态；protect过滤掉不符合安全配置的MAC地址；restrict过滤掉非安全地址后启动计时器，记录单位时间内非安全地址的连接次数），5）配置安全地址的有效时间（静态配置的地址永远生效，而动态学习的地址则需要配置有效时间）。

C、配置实例：D、当管理员需要静态配置安全MAC地址，而又不知道具体MAC地址时，可通过sticky特性实现需求。

命令如下：switchport port-security mac-address stickysticky特性会将动态学习到的MAC地址自动配置为静态安全地址。

且该条目可以在show run中看到（记得保存配置）。

E、校验命令：show port-security [interface interface-id] [address]具体端口明细信息show port-security显示端口安全信息show port-security address显示安全地址及学习类型二、AAA认证1、AAA：A、Authentication 身份认证：校验身份B、Authorization 授权：赋予访问者不同的权限C、Accounting 日志：记录用户访问操作2、AAA服务认证的三要素：AAA服务器、各种网络设备、客户端客户端：AAA服务中的被管理者各种网络设备：AAA服务器的前端代理者AAA服务器：部署用户、口令等注：CC IE-RS只涉及网络设备上的一小部分,不作为重点。

应用场景：IP Source Guard可以实现防止用户私设IP地址及防止用户变化源IP的扫描行为，要求用户必须动态DHCP方式获取IP，否则将无法使用网络；IP Source Guard配合ARP-check功能使用可以有效预防ARP欺骗，具体配置参考IP Source Guard+ ARP-check防范ARP功能简介：IP Source Guard：IP Source Guard（IP源防护）维护一个IP 源地址绑定数据库，IP Source Guard可以在对应的接口上主机报文进行基于源IP、源IP和源MAC的报文过滤，从而保证只有IP源地址绑定数据库中的主机才能正常使用网络。

IP Source Guard会自动将DHCP Snooping绑定数据库中的合法用户绑定同步到IPSource Guard的IP源地址绑定数据库（硬件安全表项中），这样IP Source Guard就可以在打开DHCP Snooping设备上对客户端的进行严格过滤；默认情况下，打开IP Source Guard的功能的端口会过滤所有非DHCP的IP报文；只有当客户端通过DHCP从服务器获取到合法的IP或者管理员为客户端配置了静态的IP源地址绑定，端口将允许和这个客户端匹配的IP报文通过。

IP Source Guard支持基于IP+MAC或者基于IP的过滤，如果打开基于IP+MAC的过滤，IP Source Guard会对所有报文的MAC+IP进行检测，仅仅允许IP源地址绑定表格中存在的用户报文通过；而基于IP的过滤，仅仅会对报文的源IP地址进行检测。

一、组网需求用户网关在核心交换机上，核心交换机创建DHCP Server，接入交换机下联PC使用动态DHCP获取IP地址，为了防止内网用户私设IP，需要实施IP Source Guard功能，对于私设IP地址的用户不让访问外网。

二、组网拓扑三、配置要点1、在核心交换机上开启DHCP Server功能（部分场景中，客户可能采用专用DHCP服务器，则核心交换机只需要启用DHCP Relay功能即可）2、在接入交换机上全局开启dhcp snooping功能，并且在上联核心的端口开启DHCPSnooping信任口3、在接入交换机连接用户的端口开启IP Source Guard功能4、网络中存在个别用户使用静态IP，配置IP Source Guard功能后也能实现安全控制。

IP DHCP Snooping 和 Ip Source Guard、 DAI1.目的为了配合使用公司的dhcp enforcement准入控制组件，强制终端电脑用dhcp来获取IP，并使用内部网络。

为了防止终端用户通过手动设置IP来绕过DHCP，必须在交换机上配合使用IP DHCP Snooping、IP Source Guard、或DAI（dynamic arp inspection）技术，使得手动设置IP的终端电脑无法使用网络。

2.环境如下图其中：3.原理介绍3.1. DHCP Server用于管理分配IP地址从特定的地址池，它可以是一个PC/ROUTER/SWITCH。

3.2. DHCP Relay Agent一个用于在DHCP SERVER与DHCP Client之间转发DHCP Packets的中间三层设备。

它主要应用于DHCP SERVER与Client端在不同的子网时，临时作为一个代理，在它们之间传递数据包。

DHCP Relay Agent的中继转发不同与一般的二层转发，它在收到一个DHCP消息时，会生成一个新的DHCP消息同时发送到外出接口。

3.3. DHCP Snooping一种DHCP安全特性，通过监听DHCP流量，来建立和维护一个DHCP Snooping Binding Database/Table,并且过滤untrusted DHCP消息。

连接在交换机上的所有PC都配置为动态获取IP地址，PC作为DHCP客户端通过广播发送DHCP请求，DHCP服务器将含有IP地址信息的DHCP回复通过单播的方式发送给DHCP客户端，交换机从DHCP报文中提取关键信息（包括IP地址，MAC地址，vlan号，端口号，租期等），并把这些信息保存到DHCP 监听绑定表中。

DHCP Snooping就像是运行在untrusted hosts与DHCP SERVER之间的一个firewall 一样。

IP Source Guard配置说明●IP Source Guard原文说明：●IP Source Guard解释----IP Source Guard是一种二层网络安全技术，应用在一个非路由端口下,可以通过dhcp 状态表或手工绑定的ip binding进行流量的严格限制。

应用后，在端口下会被产生一个隐藏的port acl，该acl将限制只有ip source binding的数据流可以流过该端口-—--IP Source Guard可以应用在accesss端口，也可以应用在trunk端口下—-——使用IP Source Guard时，必须配合ip dhcp snooping使用，当应用在access端口下时，打开该端口所属VLAN的ip dhcp snooping,应用在trunk口下时，打开终端连接端口所属VLAN的ip dhcp snooping--—-IP Source Guard可以基于ip地址进行流量过滤（只要ip地址符合即可通过）；也可以基于ip 和mac进行过滤（必须ip和mac同时匹配才可以通过），●IP Source Guard配置及步骤说明以下所有的说明基于以下拓扑：拓扑说明：一台核心交换机，提供vlan 30，vlan 40的网关,通过trunk与接入层交换机连接,所有的配置在核心交换机上完成，接入层交换机上使用了两个vlan（30,40)，user1 和user2分别位于vlan 30和vlan 401.打开dhcp snooping功能命令：（config）#ip dhcp snooping2.在需要进行IP Source Guard的vlan下打开dhcp snooping功能,针对某个vlan进行实施,如果有多个vlan，则需要打开多个vlan的dhcp snooping功能(这里举例vlan40）命令:（config)＃ip dhcp snooping vlan 403.进行IP和MAC地址绑定,例如：命令：ip source binding 00C0。

默认情况下，交换机在二层接口上转发数据时，只查看数据包的MAC地址，并不会查看数据包的IP地址，如果要让交换机根据数据包的IP或者同时根据IP与MAC做出转发决定，有多种方法可以实现。

如根据IP 转发，可以通过在接口上应用Port ACL来实现，如果要根据MAC转发，可以通过应用port-security来实现，但无论是Port ACL还是port-security，都存在一些局限性，下面介绍一种扩展性较高的安全防护特性- IP Source Guard，IP Source Guard可以根据数据包的IP地址或IP与MAC地址做出转发决定，如果数据包的IP或MAC是不被允许的，那么数据包将做丢弃处理。

因为IP Source Guard需要根据数据包的IP或者同时根据IP与MAC做出转发决定，所以IP Source Guard 在工作时，需要有一张IP和MAC的转发表，在这张表中，明确记录着哪些IP是可以转发的，哪些MAC可以被转发，其它不能被转发的统统丢弃。

这表转发表称为IP source binding table，并且只能被IP source guard使用。

而IP source binding table表，只有在交换机上开启DHCP snooping功能后，才会生成。

IP Source Guard的这张转发表的条目可以自动学习，也可以手工静态添加，如果是自动学习，是靠DHCP snooping功能学习的，所以只有客户端是通过DHCP请求获得地址，并且DHCP服务器的回复是经过交换机时，才能被DHCP snooping学习到。

当在交换机上同时开启了IP Source Guard与DHCP snooping后，交换机将在开启了的接口上拒绝所有流量通过，只放行DHCP流量，并且会自动应用一条ACL到接口上，也只有ACL允许的IP才能通过，这条ACL无法在正常配置中查看，只能通过表的方式查看。

DHCP+IP SOURCE GUARD的配置实例在正常开启DHCP Snooping的情况下：Ruijie(config-FastEthernet 0/1)#ip verify sourceRuijie#ping 192.168.1.2Sending 5, 100-byte ICMP Echoes to 192.168.1.2, timeout is 2 seconds:< press Ctrl+C to break >…..Success rate is 0 percent (0/5)此情况证明此端口已经应用了根防护，所以端口下得主机自己配置了地址之后无法通过端口。

之后在全局下配置：Ruijie(config)#ip source binding 0025.6454.b680 vlan 1 192.168.1.2 int f 0/1Ruijie#ping 192.168.1.2Sending 5, 100-byte ICMP Echoes to 192.168.1.2, timeout is 2 seconds:< press Ctrl+C to break >Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms此现象表明，在全局下绑定了端口信息之后，既可以通过。

此绑定信息是通过IP MAC VLAN 端口等四元组来确定信息的。

Ruijie#sh ip verify sourceInterface Filter-type Filter-mode Ip-address Mac-address VLAN-------------------- ----------- ----------- --------------- -------------- --------FastEthernet 0/1 ip active 192.168.1.2 1FastEthernet 0/1 ip active deny-allRuijie#sh ip verRuijie#sh ip soRuijie#sh ip source binRuijie#sh ip source bindingMacAddress IpAddress Lease(sec) Type VLAN Interface------------------ --------------- ------------ ------------- ----- --------------------0025.6454.b680 192.168.1.2 infinite static 1 FastEthernet 0/1Total number of bindings: 1Ruijie#sh ip verify sourceInterface Filter-type Filter-mode Ip-address Mac-address VLAN-------------------- ----------- ----------- --------------- -------------- --------FastEthernet 0/1 ip active 192.168.1.2 1FastEthernet 0/1 ip active deny-all。

您好：感谢您使用H3C的系列产品和长期以来对我们工作的支持！！推荐您使用ip源防护来防止ARP攻击比较好：如果您网络内使用DHCP分配，则使用动态ip源防护；如果您网络内的PC都是使用手工分配IP地址，这推荐您使用静态源防护，具体操作请参考以下内容:1.1 IP Source Guard简介通过IP Source Guard绑定功能，可以对端口转发的报文进行过滤控制，防止非法IP地址和MAC地址的报文通过端口，提高了端口的安全性。

端口接收到报文后查找IP Source Guard绑定表项，如果报文中的特征项与绑定表项中记录的特征项匹配，则端口转发该报文，否则做丢弃处理。

IP Source Guard支持的报文特征项包括：源IP地址、源MAC地址，可支持端口与如下特征项的组合（下文简称绑定表项）：●源IP●源MAC●源IP＋源MAC该特性提供两种绑定机制：一种是通过手工配置方式提供绑定表项，称为静态绑定；另外一种由DHCP Snooping提供绑定表项，称为动态绑定。

而且，绑定是针对端口的，一个端口被绑定后，仅该端口被限制，其他端口不受该绑定影响。

注意：IP Source Guard功能与端口加入聚合组互斥。

1.2 配置静态绑定表项表1-1 配置静态绑定表项说明：●绑定策略：不支持一个端口上相同表项的重复绑定；相同的表项可以在多个端口上绑定。

●合法绑定表项的MAC地址不能为全0、全F（广播MAC）和组播MAC，IP地址必须为A、B、C三类地址之一，不能为127.x.x.x和0.0.0.0。

1.3 配置动态绑定功能端口上使能动态绑定功能后，根据设备对各动态绑定类型的支持情况，IP Source Guard会选择接收并处理相应的DHCP Snooping表项。

表项内容包括MAC地址、IP地址、VLAN信息、端口信息及表项类型。

IP Source Guard把这些动态获取的表项添加到动态绑定表项中，实现过滤端口转发报文的功能。

DAI(动态ARP监控技术)和IP Source Guard一、ARP Poisoning(ARP毒化技术)正常情况下PC-A是正常PC，路由器是我们的网关，正常情况下PC-A作一个ARP Request请问10.1.1.1这个网关的MAC地址是多少，网关正常就会回网关是10.1.1.1，MAC地址是 C.C.C.C，PC-A会有一个正常的ARP条目:这样PC-A就可以正常把流量交给网关了就上网了，但是现在PC-B这个攻击者作了ARP毒化的处理，它会伪装网关给PC-A 发送一个免费ARP毒化PC-A的ARP的映射表项，让PC-A的ARP映射表项映射为这个时候PC-A上网的流量就会送给PC-B，然后PC-B代理交给服务器，同样PC-B还会作一个毒化ARP的映射去毒化网关的ARP说10.1.1.2的MAC地址是B.B.B.B，这样网关回的包也会绕到PC-B，这样去回的包都要受攻击者来控制。

毒化的过程（1）ARP这种解析是后到者优先，当你们正常合法的映射已经完成时，攻击者就会作一个免费ARP的Replies来毒化你们的ARP的缓存。

（2）免费ARP：免费ARP有好处，也有坏处的。

免费ARP好处：比如我一个PC的地址设置为1.1.1.1，当我开机的时候可能会弹出一个报错，什么MAC地址跟我的IP址重叠，这是怎么发现的呢？比如PC开机就会发送一个免费ARP，免费ARP的内容是请问1.1.1.1的MAC地址是多少，自己问自己IP地址的MAC地址是多少，它不希望任何人可以回应这个，如果没有人回应MAC地址就没有重叠，如果有人回应了说我是1.1.1.1我的MAC地址是什么什么，这时PC就会报一个错说这个MAC地址它的IP地址和我的重叠了，这是免费ARP的好处。

免费ARP的坏处：ARP这种解析是后到者优先，当你们正常合法的映射已经完成时，攻击者就会作一个免费ARP的Replies来毒化你们的ARP 的缓存。

二、启用DAI动态ARP监控技术能够抵御这种ARP毒化攻击（1）能保护ARP毒化的攻击（2）DAI技术需要使用DHCP Snooping的绑定表，就是利用这个绑定表的资源来判断这个ARP是正确的，还是有问题的（3）这个绑定表是通过来追踪整个DHCP一个过程构建起来的，了解到是合法IP和MAC地址的映射，这样我基于这个绑定表作DAI抵御ARP的欺骗。

H3C S12500 IP Source Guard配置举例Copyright © 2013 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

目录1 简介 (1)2 配置前提 (1)3 使用限制 (1)4 静态绑定表项配置举例 (1)4.1 组网需求 (1)4.2 使用版本 (2)4.3 配置注意事项 (2)4.4 配置步骤 (2)4.4.1 Switch A的配置 (2)4.4.2 Switch B的配置 (2)4.5 验证配置 (3)4.6 配置文件 (3)5 动态生成绑定表项配置举例 (4)5.1 组网需求 (4)5.2 使用版本 (4)5.3 配置注意事项 (4)5.4 配置步骤 (4)5.5 验证配置 (5)5.6 配置文件 (5)6 相关资料 (5)1 简介本文档介绍IP Source Guard的配置举例。

IP Source Guard功能用于对端口收到的报文进行过滤控制，以防止非法用户报文通过。

配置了IP Source Guard功能的端口只转发与绑定表项匹配的报文。

IP Source Guard绑定表项可以通过手工配置（命令行手工配置产生静态绑定表项）和动态获取（根据DHCP的相关表项动态生成绑定表项）两种方式生成。

2 配置前提本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解本文档中的IP Source Guard特性。

3 使用限制当设备上存在EB/EC2类单板（丝印后缀为EB/EC2）且这类单板工作在ACL标准模式时，该类单板上的接口不支持MAC绑定表项、IP＋MAC绑定表项、MAC＋VLAN绑定表项和IP＋MAC＋VLAN绑定表项。

Ipguard加密部份安装设置及演示此文档一步一步按操作完成目录一、安装部份 (2)二、离线加解密 (3)A---服务器部分操作一解说 (3)B ---客户端部分操作一解说 (5)C---服务器部分操作一解说 (7)D---客户端部分操作一解说 (9)三、离线外发申请 (12)A---服务器部分操作一解说 (12)B ---客户端部分操作一解说 (15)C---服务器部分操作一解说 (18)D---客户端部分操作一解说 (19)四、在线加解密 (20)在线加密部份 (20)在线申请解密 (21)一、安装部份1、安装数据库SQL2005EXPRESS SP2（注意启动TCP/IP协议、如服务器连不上数据库注意SQL服务器启动时的帐号）2、安装IPGUARD服务器3、安装IPGUARD客户端（远程安装/在服务器创建客户端安装包）4、外发查看器安装包（安装在要打开加密文件的客户端PC上）5、安装完成的界面服务器如下：文档安全管理界面如下：安装客户端功能及加密文档的图标如下：A---服务器部分操作一解说先在IPGUARD服务器控制台—文档安全管理-离线权限设置离线权限设置中可以设置启用离线授权、允许解密、允许外发申请、允许直接外发1）首先如果要离线使用加密的文档，首先要事前在服务器的安全文档管理中启用离线授权，加密的文档在脱离IPGUARD加密系统的前提下才能解密及外发。

2）解密文档的功能----勾选允许解密文档3）授权软件设置4）安全区域设置B ---客户端部分操作一解说1、先选中要解密的文档---右键---申请解密点击上图中的申请，这样就创建解密申请成功了2、在客户端右下角---点选查看申请情况3、选中刚建的解密申请审批—双击4弹出下图---点击生成离线申请文件---保存离线申请文件（文件名为may）,注后缀名为.ODRC---服务器部分操作一解说5、把生成的离线申请文件may.ODR发送给IPGUARD服务器管理人员批的记录---- --- ----- ---右键---审批点“批准”选中“导出审批结果”保存为may.DRRD---客户端部分操作一解说1、把导出的审批结果may.DRR文档发给用户---用户点电脑右下角---查看审批情况弹出下面图2、导入审批结果文档may.DRR----文档会解密已申批也不是乱码了。

交换机IP Source Guard功能一、IP地址盗用IP地址的盗用方法多种多样，其常用方法主要有以下几种：1、静态修改IP地址对于任何一个TCP/IP实现来说，IP地址都是其用户配置的必选项。

如果用户在配置TCP/IP或修改TCP/IP配置时，使用的不是授权分配的IP地址，就形成了IP地址盗用。

由于IP地址是一个逻辑地址，因此无法限制用户对于其主机IP地址的静态修改。

2、成对修改IP-MAC地址对于静态修改IP地址的问题，现在很多单位都采用IP与MAC绑定技术加以解决。

针对绑定技术，IP盗用技术又有了新的发展，即成对修改 IP-MAC地址。

现在的一些兼容网卡，其MAC地址可以使用网卡配置程序进行修改。

如果将一台计算机的 IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址，其同样可以接入网络。

另外，对于那些MAC地址不能直接修改的网卡来说，用户还可以采用软件的办法来修改MAC地址，即通过修改底层网络软件达到欺骗上层网络软件的目的。

3、动态修改IP地址某些攻击程序在网络上收发数据包，可以绕过上层网络软件，动态修改自己的 IP地址（或IP-MAC 地址对），以达到IP欺骗。

二、IP Source Guard技术介绍IP源防护（IP Source Guard，简称IPSG）是一种基于IP/MAC的端口流量过滤技术，它可以防止局域网内的IP地址欺骗攻击。

IPSG能够确保第2层网络中终端设备的IP地址不会被劫持，而且还能确保非授权设备不能通过自己指定IP地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。

交换机内部有一个IP源绑定表（IP Source Binding Table）作为每个端口接受到的数据包的检测标准，只有在两种情况下，交换机会转发数据：∙所接收到的IP包满足IP源绑定表中Port/IP/MAC的对应关系∙所接收到的是DHCP数据包其余数据包将被交换机做丢弃处理。

IP源绑定表可以由用户在交换机上静态添加，或者由交换机从DHCP监听绑定表（DHCP Snooping Bi nding Table）自动学习获得。

端口接入安全：1、端口安全2、全局安全地址3、DHCP Snooping4、IP Source Guard端口安全主要是在二层交换机上建立端口和地址的绑定关系，包括用户的源IP+MAC地址，控制接口记录的最大MAC地址数，默认是128在交换机中的配置及其应用场景和作用：1）Switchport port-security 开启端口安全Switchport-security maximum 1 只允许记录绑定学习一个MAC地址Sw port-security mac-address 0006.1d23.84a0.a345 vlan 10Sw port-security binding 192.168.1.1Sw port-security binding 0000.0000.0000.0233 vlan 10 192.168.1.10Int f0/1!interface FastEthernet 0/1switchport port-security binding 192.168.10.1switchport port-security binding 206a.8a8d.6c32 vlan 10192.168.100.1switchport port-security maximum 1Sw port-security violation protect 设置端口违例方式{ protect |restric | shutdown }查看show port-security address int f0/1Ruijie(config)#switchport port-security helpExamples:-------------------------------------------------------------------------------->switchport port-security interface GigabitEthernet 0/1 mac-address0000.0000.0002 vlan 3Configure the secure address of port Gi0/1.Gi0/1: port number; 0000.0000.0002: MAC address;3: VLAN id;-------------------------------------------------------------------------------->switchport port-security interface GigabitEthernet 0/1 binding 0000.0000.0001vlan 2 192.168.5.113Bind the secure address of port Gi0/1 configured in source IP and source MACintegrated mode.Gi0/1: port number; 0000.0000.0001: MAC address;2: VLAN id; 192.168.5.113: IP address;--------------------------------------------------------------------------------2）交换机全局绑定IP+MAC地址，只有源地址满足绑定关系的用户才能通过该交换机接入网络，防止非授权用户接入，用户接入不再受限于特定的端口Address-bind install 开启全局绑定地址的功能Address-bind 192.168.1.1 0023.8823.9920.00f1Address-bind uplink f0/25 上联口是用户的出接口Ruijie(config)#address-bind helpExamples:-------------------------------------------------------------------------------->address-bind 1.1.1.1 0000.0000.1111Set the IP+MAC address bind.1.1.1.1: IP address; 0000.0000.1111: MAC address;-------------------------------------------------------------------------------->address-bind ipv6-mode compatibleSet the compatible address-bind mode, strict by default.-------------------------------------------------------------------------------->address-bind uplink GigabitEthernet 0/1Set the Gi0/1 as the address-bind exceptional interface.--------------------------------------------------------------3）Dhcp soonping 防用户私设dhcp服务器开启dhcp snooping 后所有端口都是Untrust接口Ip Dhcp snoopingInt gi0/25Ip Dhcp snooping trust 设置上联口为trust口只转发从trust口接受到的dhcp响应报文（offer、ACK、NAK）可以记录dhcp报文中的信息，记录用户IP+MAC 端口VLAN ID等作为安全检查的依据5）IP source guardIPSG维护ip源地址绑定数据库，检查接收到的所有的非Dhcp的IP报文中的源IP+MAC，丢弃不匹配的数据IP source guardRuijie(config-if-GigabitEthernet 0/26)#ip verify source ?port-security Port security<cr>Ruijie(config-if-GigabitEthernet 0/26)#ip verify source port-security在dhcp snooping 的Untrust 口开启IPSG功能，仅仅检查源IP地址IP verify sourceRuijie(config)#ip dhcp snooping verify mac-address ?<cr>在dhcp snooping 的Untrust口开启IPSG功能，检查源IP+源MACInt gi0/25Ip verify source port-seurity6）配置静态源地址绑定：Conf tIp source binding 0025.5511.4411.5531 vlan 10 102.178.1.1 interface f0/1 以上是今天四个接入安全的知识。

IP-guardV3设置⽅法A-1. IP-guard V3⽹络环境要求 1A-2. IP-guard V3如何实现跨外⽹的部署？ 1A-3. IP-guard V3系统的硬件环境及软件环境要求 1A-4. IP-guard V3会占⽤计算机多少资源？ 1A-5. IP-guard V3服务器是否可以和SQLSERVER分别安装在不同的计算机 1A-6. IP-guard V3安装服务器时提⽰找不到数据库 1A-7. IP-guard V3服务器安装完成以后不能启动 1A-8. IP-guard V3服务器如何启动与停⽌ 2A-9. IP-guard V3服务器不能访问互联⽹，该怎么注册？ 2A-10. IP-guard V3检验码有什么作⽤？如何设置检验码？ 2A-11. IP-guard V3如何升级到新版本？ 2A-12. IP-guard V3服务器需要修改IP地址，对客户端或者控制台会有影响吗？ 3A-13. 客户端与服务器通讯会占⽤多少带宽 3A-14. 安装IP-guard V3客户端有哪些途径 3A-15. 远程安装客户端时，提⽰安装失败 3A-16. 远程安装⼯具扫描不到⽹络内的某些计算机 3A-17. IP-guard V3是否⽀持对终端的监控 3A-18. IP-guard V3的通讯端⼝有哪些？ 4A-19. IP-guard V3安装的控制台数量是否有限制？ 4A-20. 如何查看管理员在控制台做了哪些操作? 4A-21. IP-guard V3客户端离线状态时，如何清除策略、解锁计算机以及卸载客户端 4A-22. 服务器不能启动时，需要卸载客户端或者清除策略怎么办？ 4A-23. IP-guard V3服务器不能启动时，客户端被锁定了该怎样解锁？ 4A-24. IP-guard V3客户端为离线状态时，还能记录⽇志吗，策略还有效吗？ 4A-25. IP-guard V3客户端长期为离线状态时，是否会对系统盘有影响？ 5A-26. IP-guard V3客户端⽇志的数据量参考值 5A-27. 删除基本策略以后，某些策略仍然存在 5A-28. 删除禁⽌修改IP/MAC的策略以后修改了客户端IP地址，再次添加策略后IP地址⾃动还原到第⼀次禁⽌修改之前的IP 5 A-29. 删除某些设备控制的禁⽌策略以后，这些设备仍然没有启⽤ 5A-30. 如何限制3G上⽹卡 5A-31. 限制USB打印机，需要如何设置 5A-32. 限制USB key/USB加密狗，需要如何设置 5A-33. 限制USB扫描仪，需要如何设置 5A-34. 对某⼀个应⽤程序设置了禁⽌策略，但是当客户端修改这个应⽤程序名称以后就不会被禁⽌了 5A-35. 某些客户端实际访问了⽹页，但是⽹页浏览⽇志中没有记录 6A-36. 设置禁⽌访问某些⽹页以后仍然可以访问 6A-37. 如何禁⽌发送⽹页邮件6A-38. 如何解决IP-guard V3 客户端记录的Outlook 2003 Exchange邮件地址为乱码 6A-39. 如何实现对IP-guard客户端设置只有将邮件发送(抄送)到包含指定的某个邮箱时，才能允许发送？ 6A-40. IP-guard V3邮件记录和控制⽀持明细 6A-41. 为什么发送或者接收⼀封邮件却记录了两条⽇志 6A-42. 如何查看和另存为⽂档备份内容 7A-43. 在客户端对⼀个⽂件夹作复制\移动\删除操作时，会记录到⽂件夹下所有⽂件的操作⽇志吗 7A-44. 共享⽂档与⽂档操作⽇志的区别 7A-45. 屏幕历史不记录 7A-46. 设置⽹络控制策略为禁⽌10000以上端⼝后不能打开所有⽹站 7A-47. 如何通过IP-guard V3禁⽌外来计算机访问内⽹计算机的共享资料 7A-48. 如何设置不记录内部员⼯来往邮件的⽇志？ 7A-49. IP-guard V3⽀持的聊天⼯具 7A-50. 如何查看打印内容 7A-51. 打印⽇志中的打印页数是打印⽂档的页数*份数，还是打印⽂档的页数 7A-52. SD卡接⼝能通过移动存储授权控制吗？ 8A-53. ⼀个物理的移动盘格式化为多个分区，通过移动存储授权能控制和记录吗？ 8A-54. U3移动盘有⼀个虚拟的光盘驱动器，是否会影响通过移动存储授权能控制和记录这种U3移动盘？ 8A-55. 不能查看实时屏幕或者其它远程维护信息 8A-56. IP-guard V3如何实现远程控制或远程⽂件传送时，不在客户端弹出授权提⽰ 8A-57. 可否实现远程控制时不在对⽅计算机显⽰正在被远程控制的标签 8A-58. 资产信息中有时某些资产属性不能选择 8A-59. 软件分发是否⽀持静默安装 8A-60. 如何分发注册表⽂件到客户端并且不弹出提⽰直接导⼊注册表 8A-61. 如何分发BAT⽂件到客户端并在客户端运⾏ 9A-62. 接⼊检测中没有扫描到某⼀个⽹段的计算机 9A-63. 补丁管理需要客户端连接互联⽹吗 9A-1. IP-guard V3⽹络环境要求Q.IP-guard V3适⽤于各种不同的⽹络环境，只要被管理的计算机和服务器之间能实现通讯就可以。

H3CIPSourceGuard命令命令手册安全分册 IP Source Guard 目录目录第1章IP Source Guard配置命令...........................................................................................1-11.1 IP Source Guard配置命令..................................................................................................1-11.1.1 display ip check source...........................................................................................1-11.1.2 display user-bind.....................................................................................................1-31.1.3 ip check source.......................................................................................................1-41.1.4 user-bind.................................................................................................................1-5本文中标有“请以实际情况为准”的特性描述，表示各型号对于此特性的支持情况可能不同，本节将对此进行说明。

ipguard使用技巧IPGuard是一款网络安全工具，用于保护服务器和网络免受恶意攻击。

以下是一些使用IPGuard的技巧：1. 定期更新IPGuard：确保你使用的是最新版本的IPGuard软件，以便获取最新的安全补丁和功能改进。

这有助于保持系统的安全性。

2. 配置访问控制列表（ACL）：使用IPGuard的ACL功能，可以限制允许访问服务器的IP地址范围。

通过仅允许特定的IP地址或IP地址段访问服务器，可以减少潜在的攻击风险。

3. 启用防火墙功能：IPGuard具有内置的防火墙功能，可以通过配置规则来限制传入和传出的网络连接。

合理设置防火墙规则，可以阻止不明来源的连接，提高网络安全性。

4. 监控日志：IPGuard会生成详细的日志文件，记录所有尝试访问服务器的活动。

定期检查日志文件，可以及时发现潜在的攻击行为，并采取相应的措施。

5. 配置报警通知：IPGuard支持设置报警通知，当检测到异常活动时，可以通过电子邮件或短信发送警报。

配置报警通知可以及时获知可能存在的安全威胁。

6. 定期备份数据：无论使用任何安全工具，都不能保证完全防止攻击。

因此，定期备份服务器数据是非常重要的。

如果发生安全事件，可以通过备份数据进行恢复，减少损失。

7. 学习和了解最新的安全威胁：网络安全威胁不断演变，新的攻击技术和漏洞不断出现。

保持学习和了解最新的安全威胁，可以帮助你更好地配置和使用IPGuard来应对这些威胁。

请注意，这些只是一些IPGuard的使用技巧，具体的配置和操作可能因个人需求和实际情况而有所不同。

建议在使用IPGuard之前，详细阅读相关文档和指南，以确保正确、安全地使用该工具。

DHCP Snooping，IPSG，DAI 配置实例（本文适用于FSM72xxRS,GSM72xxv2,GSM73xxS,GSM73xxSv2系列交换机8.0以上版本）一、网络拓扑图及说明a）拓扑图b）拓扑说明汇聚层交换机为GSM7328S,核心交换机为GSM7352S，接入层交换机为FS728TS。

GSM7328S上配置IP DHCP Snooping和DAI以及IPSG，上联和下联端口均配置802.1Q VLAN，GSM7352S上配置VLAN 路由和DHCP服务器。

FS728TS配置二层VLAN。

FS728TS的两个VLAN下各接一台电脑。

二、预配置步骤a. 配置GSM7352S上的VLAN路由和DHCP服务器i. 创建VLAN 100，200，启用VLAN100，200的路由ii. 将下联端口1/0/48划入VLAN100，200并打tagging。

iii. 设置VLAN100，200的IP分别为172.16.100.1/24和172.16.200.1/24iv. 启用DHCP服务，为VLAN100，200建立DHCP地址池。

b. 配置GSM7328S和FS728TS上的VLANi. 创建VLAN 100，200将GSM7328S上联口1/0/24，下联口1/0/2划入VLAN100，200并打tagging。

ii. FS728TS上创建VLAN 100，200，将上联口1/g2划入VLAN100，200并打tagging，将下联的端口1/e1和1/e2划入100，1/e3和1/e4划入VLAN200，修改1/e1和1/e2的PVID为100，1/e3和1/e4的PVID为200。

三、DHCP Snooping配置步骤a)启用DHCP Snooping功能i. 从Security/Control/DHCP Snooping／GlobalConfiguration页面，将DHCP SnoopingMode改为Enable, 并添加VLAN 100，VLAN200的DHCP Snooping Mode为Enable。

ipguard使用技巧IPGuard是一种网络安全工具，通过防止和监控网络流量来保护系统和数据的安全。

学习如何使用IPGuard的技巧可以帮助用户最大限度地保护其网络和数据。

以下是一些使用IPGuard的技巧：1. 要定期更新IPGuard的软件版本。

IPGuard的开发者会不断更新软件版本，以修复可能出现的漏洞和安全问题。

因此，定期检查和更新IPGuard的软件版本是非常重要的，以确保系统得到最新的保护。

2. 配置IPGuard的防护策略。

IPGuard允许用户定义和配置防护策略，以满足其特定的安全需求。

用户可以根据自己的网络环境和风险模型，配置IPGuard的防护策略，例如禁止特定IP地址的访问，限制特定端口的访问等。

通过正确配置IPGuard的防护策略，用户可以提高系统的安全性。

3. 设置IPGuard的日志记录功能。

IPGuard可以记录所有网络流量和连接的详细信息，包括源IP地址、目标IP地址、连接时间等。

启用IPGuard的日志记录功能，可以帮助用户追踪和分析网络攻击事件，以及监控系统的安全状态。

用户可以使用IPGuard的日志记录功能来检测和预防可能的网络威胁。

4. 使用IPGuard的报警系统。

IPGuard的报警系统可以提供实时警报和通知，以便用户及时对网络攻击事件做出反应。

用户可以根据自己的需求，配置IPGuard的报警系统，例如设置特定事件的警报级别、选择警报的通知方式等。

通过及时响应IPGuard的警报信息，用户可以更快地发现和应对网络威胁。

5. 加密流量保护数据。

IPGuard支持加密传输协议，如SSL/TLS，可以帮助保护通过网络传输的敏感数据。

用户可以使用IPGuard的加密功能来保护其数据免受中间人攻击和窃听的威胁。

在配置IPGuard时，用户应确保启用加密传输，以便更好地保护其数据。

6. 定期备份IPGuard的配置文件。

IPGuard的配置文件包含了用户定义的所有防护策略和设置信息。