管理需求

在园区网内管理员通常希望为终端下发固定的IP地址，但是因为终端数量庞大且移动性强，根本无法做到为每个终端设备分配固定的IP地址，并进行流动性管理。终端使用者计算机水平有限，一方面很难做到自行管理，另外如果将IP配置权交给用户，恶意修改IP情况则会导致整个网络管理混乱。

机房管理者希望营造一个良好的上网环境，例如学校网络环境中，日常教学机房电脑都使用固定IP上网，当学生发表不当言论或者访问不良网站时追溯非常方便。由于机房终端数量庞大，采用手工配置静态IP，难免要耗费大时间与精力，而且容易出错。

园区网内部DNS服务器一般会内置大量的非法域名防护规则来规避内网用户访问污染、垃圾广告、挖矿、恶意网站等资源。通常DNS地址会随IP一起下发，采用自建DNS上网更加快速且安全可信，同时也可以做相应的流量调度工作，强制终端用户使用园区内固定DNS，对园区网日常管理有很大的帮助。

方案原理描述

为了能够更加高效的解决上述管理问题，可采用交换机内置的IPSG功能与华域IPAM设备联动来实现动态地址下发模式的IP固定化管控，并同时实现合法终端安全接入交换机。

管理人员在DHCP设备上配置IP和MAC绑定关系，终端获取到的IP将固定化持有（此部署模式需提前拿到网络内所有终端的MAC地址，前期搜集比较困难，适用于精细化办公网络、机房管理等场景。如果希望实现终端用户自行登记入网则可以使用华域IPAM设备的准入模块，本文未进行准入模块的阐述和说明）。

交换机开启IPSG功能，通过监听终端设备与DHCP服务器的DHCP交互报文，自动更新IPSG安全表项，允许存在于表项中IP和MAC地址的数据报文正常转发。私自配置IP行为，因终端没有与DHCP服务器进行交互，IPSG安全列表不存在IP和MAC对应关系，此行为下的报文不会被转发，也就无法上网。

通过防火墙的DNS白名单功能，只允许自建DNS向外查询或者被查询，终端使用非自建DNS解析域名时，将被防火墙拦截。

按照方案配置并实施完成后，网络内所有终端使用的IP地址将被固化，增强了网络溯源的有效性、避免了私配IP行为，同时也限定了用户使用安全有效的DNS服务器。

方案实施

配置步骤

1. 华域IPAM设备配置DHCP服务，收集终端MAC地址信息，并在设备内进行MAC+IP静态绑定；

2. 配置拒绝为陌生MAC地址分配IP地址；

3. 在交换机内开启DHCP中继服务并指向DHCP服务器，同时启用IPSG功能；

4. 交换机开启DHCP Snooping功能，配置连接DHCP服务器的接口为信任接口，其它为非信任接口阻止非法DHCP 服务器；

5. IPSG通过查询DHCP 中继表项并自动生成IPSG安全表项，处于安全表项中IP可正常访问接入交换机上网；

6. 防火墙配置DNS协议只允许内网合法DNS服务器通过防火墙。