Nebula Swtch IP 來源防護功能介紹

Zyxel小編 Corey

什麼是 IP 來源防護？

IP 來源防護 (IP Source Guard) 是 Zyxel 交換器提供的一項進階安全功能。它能有效防禦兩種常見的內部網路威脅：

1. 阻擋未經授權的 DHCP 伺服器：防止使用者私接家用分享器等設備，派發錯誤的 IP 位址，干擾整個網路。
2. 防止使用者私設靜態 IP：阻擋使用者手動設定 IP 位址，來繞過網管策略或存取未經授權的網路資源。

前提須知

必要授權：IP 來源防護為 Nebula 專業版 (Pro Pack) 功能。

免費版替代方案：若您使用基本版授權，可參考此篇文章，使用 ACL 達成類似的 DHCP 保護效果：➡️ 如何使用 ACL 阻擋未經授權的 DHCP 伺服器

支援型號：此功能僅在部分交換器型號上支援，您可以在設定頁面點擊型號列表來確認。

版本資訊：本篇教學的截圖與操作，基於 Nebula Control Center 19.00 版本。

運作原理

啟用此功能後，交換器會像一位嚴格的警衛，對連接埠上的流量進行檢查：

• 針對動態 IP (DHCP)：交換器會透過「DHCP Snooping」技術，被動監聽合法的 DHCP 派發過程。當一台正常的電腦透過 DHCP 取得 IP 後，交換器會自動學習其 IP + MAC + VLAN + 連接埠 的綁定資訊，並將其加入「白名單」，允許其通訊。
• 針對靜態 IP：如果一台設備使用手動設定的靜態 IP，它的資訊就不會被自動學習。此時，除非管理者已手動將其加入白名單，否則其所有流量都將被阻擋。
• 阻擋非法 DHCP Offer：任何來自非信任埠的 DHCP Offer/ACK 封包，都會被交換器直接丟棄，從而達到阻擋非法 DHCP 伺服器的效果。

⚠️ 極重要設定原則：僅在「終端使用者」的連接埠上啟用！

IP 來源防護 是一個強大的安全功能，但設定錯誤會導致網路中斷。請務必遵守以下最高原則：

僅在連接終端設備（如電腦、IP 電話、印表機）的存取埠 (Access Port) 上啟用此功能。

絕對不要在以下類型的連接埠上啟用：

• 交換器之間的上行鏈路埠 (Uplink)。
• 連接無線基地台 (AP) 的埠。
• 連接防火牆 (Firewall) 的埠。
• 連接合法的 DHCP 伺服器的埠。
• 違反此原則將導致合法的網路服務被阻擋，造成大規模斷線。

設定流程

步驟一：啟用 IP 來源防護功能

1. 前往 【設定 > 交換器 > 交換器設定】。
2. 捲動至頁面最下方，找到「IP 來源防護 」區塊，將其開關啟用。

步驟二：建立靜態IP白名單 (若有需要)

如果您的網路中有需要使用靜態 (固定) IP 的設備（如伺服器、印表機、NAS），您必須在啟用保護前，手動將它們加入白名單。

1. 在「IP 來源防護」區塊中，點擊「+增加用戶」的編輯按鈕。
2. 依序填入該設備的 MAC 位址、要指定的 IP 位址、以及所在的 VLAN ID。

步驟三：在指定的存取埠上啟用保護

1. 在「IP 來源防護」區塊中，點擊「受保護的埠」的編輯按鈕。
2. 在彈出的視窗中，僅勾選那些連接終端設備的埠，進行「編輯」。請再次確認沒有勾選到任何不應保護的埠。
3. 啟用「受保護」功能，點擊「更新」。

步驟四：儲存設定

完成上述所有設定後，務必點擊頁面底部的「儲存」按鈕。

如何監控與管理

查看阻擋紀錄

若有任何非法流量被阻擋，您可以前往 【監控 > 交換器 > 事件日誌】，篩選「ARP Inspection」相關的事件來查看詳細紀錄。

查看即時用戶清單與白名單管理

您可以透過以下兩種方式，查看當前通過（或被阻擋）的用戶清單：

• 方法一：在 IP 來源防護的設定頁面（交換器設定頁面底部），點擊「執行 (Run)」按鈕。 這份清單中，您可以勾選被誤擋的用戶，並直接將其「轉換為白名單」，快速恢復其連線。
• 方法二：前往【設備 > 交換器】，點擊目標交換器進入狀態頁面，使用「Live tools」中的功能來查看。