IP Source Guard<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

IP Source Guard 是一种二层网络安全技术,应用在非路由端口下,可以通过 dhcp 绑定表和 ip binding 进行流量的严格控制,应用后端口产生一个隐藏的 acl ,该控制列表只是许可 ip binding 的条目通过该端口, IP Source Guard 可以应用在 access 模式下,也可以应用在 trunk 模式下,在使用 IP Source Guard 时候,必须配合 ip dhcp binding 使用, 当应用在 access 端口下时,打开该端口所属 VLAN ip dhcp snooping ,应用在 trunk 口下时,打开终端连接端口所属 VLAN ip dhcp snooping
----IP Source Guard 可以基于 ip 地址进行流量过滤(只要 ip 地址符合即可通过);也可以基于 ip mac 进行过滤(必须 ip mac 同时匹配才可以通过),

        IP Source l Guard 配置及步骤说明
以下所有的说明基于以下拓扑:

拓扑说明:一台核心交换机,提供 vlan 30 vlan 40 的网关,通过 trunk 与接入层交换机连接,所有的配置在核心交换机上完成,接入层交换机上使用了两个 vlan(30,40) user1 user2 分别位于 vlan 30 vlan 40
1.        打开 dhcp snooping 功能
命令: (config)#ip dhcp snooping
2.        在需要进行 IP Source Guard vlan 下打开 dhcp snooping 功能,针对某个 vlan 进行实施,如果有多个 vlan ,则需要打开多个 vlan dhcp snooping 功能(这里举例 vlan 40
命令: (config)# ip dhcp snooping vlan 40
3.        进行 IP MAC 地址绑定,例如:
命令: ip source binding 00C0.9F40.148E vlan 40 10.30.3.2 interface Gi3/24
/* vlan 40 内,将 00C0.9F40.148E 10.30.3.2 进行绑定,并应用到端口 gi3/24*/
4.        在端口启用 ip source guard (参数 port-security 表示同时基于 ip mac 地址过滤)
命令: ip verify source vlan dhcp-snooping port-security
/*IOS 版本的不同,这命令行可能不一致,有些版本命令行为 ip verify source port-security */
5.        检查
命令: show ip source binding
      Show ip verify source

本文出自 51CTO.COM技术博客