IP Source guard配置说明

IP Source Guard配置说明

●IP Source Guard原文说明：

●IP Source Guard解释

----IP Source Guard是一种二层网络安全技术，应用在一个非路由端口下，可以通过dhcp 状态表或手工绑定的ip binding进行流量的严格限制。应用后，在端口下会被产生一个隐藏的port acl，该acl将限制只有ip source binding的数据流可以流过该端口

----IP Source Guard可以应用在accesss端口，也可以应用在trunk端口下

----使用IP Source Guard时，必须配合ip dhcp snooping使用，当应用在access端口下时，打开该端口所属VLAN的ip dhcp snooping，应用在trunk口下时，打开终端连接端口所属VLAN的ip dhcp snooping

----IP Source Guard可以基于ip地址进行流量过滤（只要ip地址符合即可通过）；也可以基于ip 和mac进行过滤（必须ip和mac同时匹配才可以通过），

●IP Source Guard配置及步骤说明

以下所有的说明基于以下拓扑：

拓扑说明：一台核心交换机，提供vlan 30，vlan 40的网关，通过trunk与接入层交换机连接，所有的配置在核心交换机上完成，接入层交换机上使用了两个vlan(30,40)，user1 和user2分别位于vlan 30和vlan 40

1.打开dhcp snooping功能

命令：(config)#ip dhcp snooping

2.在需要进行IP Source Guard的vlan下打开dhcp snooping功能，针对某个vlan进

行实施，如果有多个vlan，则需要打开多个vlan的dhcp snooping功能（这里举例

vlan 40）

命令：(config)# ip dhcp snooping vlan 40

3.进行IP和MAC地址绑定，例如：

命令：ip source binding 00C0.9F40.148E vlan 40 10.30.3.2 interface Gi3/24

/*在vlan 40内，将00C0.9F40.148E 与10.30.3.2进行绑定，并应用到端口gi3/24*/

4.在端口启用ip source guard （参数port-security表示同时基于ip和mac地址过滤）

命令：ip verify source vlan dhcp-snooping port-security

/*IOS版本的不同，这命令行可能不一致，有些版本命令行为ip verify source port-security */

5.检查

命令：show ip source binding

Show ip verify source

6.检查终端ping的情况