华为交换机配置IPSG——仅允许自动获取IP的用户准入，手写IP地址无法上网

在华为交换机上，开启全局DHCP Snooping 后，若希望实现 仅允许通过 DHCP 分配的 IP 地址通信，禁止用户手动设置静态 IP 地址通信，你需要配合使用 IP Source Guard（IPSG） 功能。

• DHCP Snooping：监听 DHCP 报文，建立 DHCP Snooping 绑定表（Binding Table），记录合法的 IP-MAC-接口-VLAN 映射。
• IP Source Guard（IPSG）：基于 DHCP Snooping 绑定表或静态绑定表，对进入端口的数据包进行源 IP 和源 MAC 的合法性检查。如果不在绑定表中，则丢弃报文。

这样，只有通过 DHCP 获取到 IP 的主机才能通信；手动配置的 IP 不在绑定表中，会被阻止。

# 全局启用 DHCP 功能和 DHCP Snooping

dhcp enable
dhcp snooping enable

# 创建并启用 VLAN 10 的 DHCP Snooping

vlan 10
 dhcp snooping enable


# 配置上联端口（假设为 GigabitEthernet0/0/24）为信任端口

interface GigabitEthernet0/0/24
 dhcp snooping trusted


# 批量配置用户接入端口（假设为 GE0/0/1 到 GE0/0/20）

interface range GigabitEthernet0/0/1 to GigabitEthernet0/0/20
 port link-type access
 port default vlan 10
 ip source check user-bind enable

实现效果：

1. 只有通过 DHCP 获取到的 IP（记录在 DHCP Snooping 绑定表中）才能通信；
2. 手动配置的静态 IP 因不在绑定表中，会被 IPSG 丢弃；
3. 上联口可正常转发 DHCP Server 的响应报文。

 

如需添加静态 IP 设备白名单（如打印机），可额外添加静态绑定条目，例如：

user-bind static ip-address 192.168.10.100 mac-address aaaa-bbbb-cccc interface GigabitEthernet0/0/5 vlan 10