IP Source Guard配置说明
IP Source Guard原文说明:
IP Source Guard解释
———-IP Source Guard是一种二层网络安全技术,应用在一个非路由端口下,可以通过dhcp状态表或手工绑定的ip binding进行流量的严格.应用后,在端口下会被产生一个隐藏的port acl,该acl将只有ip source binding的数据流可以流过该端口
————IP Source Guard可以应用在accesss端口,也可以应用在trunk端口下
————使用IP Source Guard时,必须配合ip dhcp snooping使用,当应用在access端口下时,打开该端口所属VLAN的ip dhcp snooping,应用在trunk口下时,打开终端连接端口所属VLAN的ip dhcp snooping
———-IP Source Guard可以基于ip地址进行流量过滤(只要ip地址符合即可通
过);也可以基于ip 和mac进行过滤(必须ip和mac同时匹配才可以通过),
IP Source Guard配置及步骤说明
以下所有的说明基于以下拓扑:
拓扑说明:一台核心交换机,提供vlan 30,vlan 40的网关,通过trunk与接入层交换机连接,所有的配置在核心交换机上完成,接入层交换机上使用了两个vlan(30,40),user1 和user2分别位于vlan 30和vlan 40
1. 打开dhcp snooping功能
命令:(config)#ip dhcp snooping
2. 在需要进行IP Source Guard的vlan下打开dhcp snooping功能,针对某个vlan进行实施,如果有多个vlan,则需要打开多个vlan的dhcp snooping功能(这里举例vlan 40)
命令:(config)# ip dhcp snooping vlan 40
3. 进行IP和MAC地址绑定,例如:
命令:ip source binding 00C0.9F40.148E vlan 40 10。30。3。2 interface Gi3/24
/*在vlan 40内,将00C0。9F40.148E 与10。30.3。2进行绑定,并应用到端口gi3/24*/
4. 在端口启用ip source guard (参数port—security表示同时基于ip和mac地址过滤)
命令:ip verify source vlan dhcp—snooping port-security
/*IOS版本的不同,这命令行可能不一致,有些版本命令行为ip verify source port-security */
5. 检查
命令:show ip source binding
Show ip verify source
6. 检查终端ping的情况
