如何透過 Nebula Switch IP 來源防護阻擋非法 DHCP 伺服器與非法入侵者? (Nebula 專業版本功能)

Zyxel小編 Corey · 九月 2023

為什麼需要使用 IP 來源防護功能?

為了增強網路交換器的安全性，Zyxel 提供了 IP 來源防護功能，保護您的交換器免受不受信任的 DHCP 伺服器的影響，以及阻擋非法使用者自行設定 IP 位址存取內部網路，確保網路環境更安全、更可靠。

當非法使用者私自設定 IP 位址串接到您公司的網路，IP 來源防護將主動為您阻擋。

IP 來源防護透過白名單、受保護的 Port 區分網路中授權和未授權的 DHCP 和 ARP 封包。

當該 Port 啟用 IP 來源防護，只要底下的裝置透過 DHCP 自動取得 IP，交換器會擷取 DHCP 封包，自動加入白名單，該裝置即可正常傳輸。

只有 DHCP Server 會發出 Offer 的封包，如果啟用 IP 來源防護的 Port 接收到 DHCP Offer 的封包，交換器會直接丟棄，成功阻擋非法 DHCP Server。

如果裝置使用手動設定 IP 位址，然後 IP、MAC 並不在白名單內，表示該客戶端未經授權，流量將被阻擋；反之只要裝置的資料有加入白名單，則可以正常傳輸。

如果未正確設定必要的配置，將影響網路連線。

IP 來源防護設計用於針對連接終端裝置的 Port 進行限制，因此請只在連接電腦、NAS、IPCAM這類終端設備的 Port 啟用此功能。若該 Port 後方將串接多台設備，如 : Switch、AP、Firewall、合法 DHCP Server，請不要開啟 IP來源保護。

請確保您僅在連接終端設備的交換器 Port 啟用保護功能，以避免網路服務出現任何中斷。

請透過以下步驟，正確啟用 IP 來源防護 :

移動到頁面最底部

成功啟用後，點選受保護的埠，編輯要啟用的 Switch Port

只在連接終端設備的 Port 啟用保護功能，例如 : 電腦、NAS、IPCAM、印表機

若該 Port 後方將串接多台設備，如 : Switch、AP、Firewall、合法 DHCP Server，請不要開啟保護，維持預設值即可。

若有印表機、NAS類別裝置需要設定固定 IP ，請在白名單輸入該裝置 MAC 位址、IP 位址、VLAN

前往交換器狀態頁面，透過 Live Tools 可以查看當前用戶清單

透過 IP 來源保護啟用頁面，點選 RUN 也可以查詢用戶清單

此處產生的清單可以勾選用戶，轉換為白名單，允許被封鎖的用戶傳輸流量。

前往 整個站點 > 監控 > 交換器 > 事件日誌，可以查詢 IP來源保護封鎖紀錄。