Nebula Swtch IP 來源防護功能介紹

選項
Zyxel小編 Corey
Zyxel小編 Corey 文章數: 209  Zyxel Employee
First Answer First Comment Friend Collector Sixth Anniversary
已編輯 Jun 26 日 Nebula 常見問題

什麼是 IP 來源防護?

IP 來源防護 (IP Source Guard) 是 Zyxel 交換器提供的一項進階安全功能。它能有效防禦兩種常見的內部網路威脅:

  1. 阻擋未經授權的 DHCP 伺服器:防止使用者私接家用分享器等設備,派發錯誤的 IP 位址,干擾整個網路。 image.png
  2. 防止使用者私設靜態 IP:阻擋使用者手動設定 IP 位址,來繞過網管策略或存取未經授權的網路資源。 image.png

前提須知

必要授權:IP 來源防護為 Nebula 專業版 (Pro Pack) 功能。

免費版替代方案:若您使用基本版授權,可參考此篇文章,使用 ACL 達成類似的 DHCP 保護效果:➡️ 如何使用 ACL 阻擋未經授權的 DHCP 伺服器

支援型號:此功能僅在部分交換器型號上支援,您可以在設定頁面點擊型號列表來確認。

版本資訊:本篇教學的截圖與操作,基於 Nebula Control Center 19.00 版本

image.png

運作原理

啟用此功能後,交換器會像一位嚴格的警衛,對連接埠上的流量進行檢查:

  • 針對動態 IP (DHCP):交換器會透過「DHCP Snooping」技術,被動監聽合法的 DHCP 派發過程。當一台正常的電腦透過 DHCP 取得 IP 後,交換器會自動學習其 IP + MAC + VLAN + 連接埠 的綁定資訊,並將其加入「白名單」,允許其通訊。 image.png
  • 針對靜態 IP:如果一台設備使用手動設定的靜態 IP,它的資訊就不會被自動學習。此時,除非管理者已手動將其加入白名單,否則其所有流量都將被阻擋。 image.png
  • 阻擋非法 DHCP Offer:任何來自非信任埠的 DHCP Offer/ACK 封包,都會被交換器直接丟棄,從而達到阻擋非法 DHCP 伺服器的效果。

⚠️ 極重要設定原則:僅在「終端使用者」的連接埠上啟用!

IP 來源防護 是一個強大的安全功能,但設定錯誤會導致網路中斷。請務必遵守以下最高原則:

僅在連接終端設備(如電腦、IP 電話、印表機)的存取埠 (Access Port) 上啟用此功能。

絕對不要在以下類型的連接埠上啟用:

  • 交換器之間的上行鏈路埠 (Uplink)。
  • 連接無線基地台 (AP) 的埠。
  • 連接防火牆 (Firewall) 的埠。
  • 連接合法的 DHCP 伺服器的埠。
  • 違反此原則將導致合法的網路服務被阻擋,造成大規模斷線。

設定流程

步驟一:啟用 IP 來源防護功能

  1. 前往 【設定 > 交換器 > 交換器設定】
  2. 捲動至頁面最下方,找到「IP 來源防護 」區塊,將其開關啟用 image.png

步驟二:建立靜態IP白名單 (若有需要)

如果您的網路中有需要使用靜態 (固定) IP 的設備(如伺服器、印表機、NAS),您必須在啟用保護前,手動將它們加入白名單。

image.png
  1. 「IP 來源防護」區塊中,點擊「+增加用戶」的編輯按鈕。 image.png
  2. 依序填入該設備的 MAC 位址、要指定的 IP 位址、以及所在的 VLAN ID image.png

步驟三:在指定的存取埠上啟用保護

  1. 「IP 來源防護」區塊中,點擊「受保護的埠」的編輯按鈕。 image.png
  2. 在彈出的視窗中,僅勾選那些連接終端設備的埠,進行「編輯」。請再次確認沒有勾選到任何不應保護的埠 image.png
  3. 啟用「受保護」功能,點擊「更新」。 image.png

步驟四:儲存設定

完成上述所有設定後,務必點擊頁面底部的「儲存」按鈕。

如何監控與管理

查看阻擋紀錄

若有任何非法流量被阻擋,您可以前往 【監控 > 交換器 > 事件日誌】,篩選「ARP Inspection」相關的事件來查看詳細紀錄。

image.png

查看即時用戶清單與白名單管理

您可以透過以下兩種方式,查看當前通過(或被阻擋)的用戶清單:

  • 方法一:在 IP 來源防護的設定頁面(交換器設定頁面底部),點擊「執行 (Run)」按鈕。 image.png 這份清單中,您可以勾選被誤擋的用戶,並直接將其「轉換為白名單」,快速恢復其連線。 image.png
  • 方法二:前往【設備 > 交換器】,點擊目標交換器進入狀態頁面,使用「Live tools」中的功能來查看。 image.png