Nebula Swtch IP 來源防護功能介紹
選項

Zyxel小編 Corey
文章數: 209
Zyxel Employee





什麼是 IP 來源防護?
IP 來源防護 (IP Source Guard) 是 Zyxel 交換器提供的一項進階安全功能。它能有效防禦兩種常見的內部網路威脅:
- 阻擋未經授權的 DHCP 伺服器:防止使用者私接家用分享器等設備,派發錯誤的 IP 位址,干擾整個網路。
- 防止使用者私設靜態 IP:阻擋使用者手動設定 IP 位址,來繞過網管策略或存取未經授權的網路資源。
前提須知
必要授權:IP 來源防護為 Nebula 專業版 (Pro Pack) 功能。
免費版替代方案:若您使用基本版授權,可參考此篇文章,使用 ACL 達成類似的 DHCP 保護效果:➡️ 如何使用 ACL 阻擋未經授權的 DHCP 伺服器
支援型號:此功能僅在部分交換器型號上支援,您可以在設定頁面點擊型號列表來確認。
版本資訊:本篇教學的截圖與操作,基於 Nebula Control Center 19.00 版本。
運作原理
啟用此功能後,交換器會像一位嚴格的警衛,對連接埠上的流量進行檢查:
- 針對動態 IP (DHCP):交換器會透過「DHCP Snooping」技術,被動監聽合法的 DHCP 派發過程。當一台正常的電腦透過 DHCP 取得 IP 後,交換器會自動學習其
IP + MAC + VLAN + 連接埠
的綁定資訊,並將其加入「白名單」,允許其通訊。 - 針對靜態 IP:如果一台設備使用手動設定的靜態 IP,它的資訊就不會被自動學習。此時,除非管理者已手動將其加入白名單,否則其所有流量都將被阻擋。
- 阻擋非法 DHCP Offer:任何來自非信任埠的 DHCP Offer/ACK 封包,都會被交換器直接丟棄,從而達到阻擋非法 DHCP 伺服器的效果。
⚠️ 極重要設定原則:僅在「終端使用者」的連接埠上啟用!
IP 來源防護 是一個強大的安全功能,但設定錯誤會導致網路中斷。請務必遵守以下最高原則:
僅在連接終端設備(如電腦、IP 電話、印表機)的存取埠 (Access Port) 上啟用此功能。
絕對不要在以下類型的連接埠上啟用:
- 交換器之間的上行鏈路埠 (Uplink)。
- 連接無線基地台 (AP) 的埠。
- 連接防火牆 (Firewall) 的埠。
- 連接合法的 DHCP 伺服器的埠。
- 違反此原則將導致合法的網路服務被阻擋,造成大規模斷線。
設定流程
步驟一:啟用 IP 來源防護功能
- 前往 【設定 > 交換器 > 交換器設定】。
- 捲動至頁面最下方,找到「IP 來源防護 」區塊,將其開關啟用。
步驟二:建立靜態IP白名單 (若有需要)
如果您的網路中有需要使用靜態 (固定) IP 的設備(如伺服器、印表機、NAS),您必須在啟用保護前,手動將它們加入白名單。
- 在「IP 來源防護」區塊中,點擊「+增加用戶」的編輯按鈕。
- 依序填入該設備的 MAC 位址、要指定的 IP 位址、以及所在的 VLAN ID。
步驟三:在指定的存取埠上啟用保護
- 在「IP 來源防護」區塊中,點擊「受保護的埠」的編輯按鈕。
- 在彈出的視窗中,僅勾選那些連接終端設備的埠,進行「編輯」。請再次確認沒有勾選到任何不應保護的埠。
- 啟用「受保護」功能,點擊「更新」。
步驟四:儲存設定
完成上述所有設定後,務必點擊頁面底部的「儲存」按鈕。
如何監控與管理
查看阻擋紀錄
若有任何非法流量被阻擋,您可以前往 【監控 > 交換器 > 事件日誌】,篩選「ARP Inspection」相關的事件來查看詳細紀錄。
查看即時用戶清單與白名單管理
您可以透過以下兩種方式,查看當前通過(或被阻擋)的用戶清單:
- 方法一:在 IP 來源防護的設定頁面(
交換器設定
頁面底部),點擊「執行 (Run)」按鈕。 這份清單中,您可以勾選被誤擋的用戶,並直接將其「轉換為白名單」,快速恢復其連線。 - 方法二:前往【設備 > 交換器】,點擊目標交換器進入狀態頁面,使用「Live tools」中的功能來查看。
0