IP Source Guard<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
IP Source Guard
是一种二层网络安全技术,应用在非路由端口下,可以通过
dhcp
绑定表和
ip binding
进行流量的严格控制,应用后端口产生一个隐藏的
acl
,该控制列表只是许可
ip binding
的条目通过该端口,
IP Source Guard
可以应用在
access
模式下,也可以应用在
trunk
模式下,在使用
IP Source Guard
时候,必须配合
ip dhcp binding
使用,
当应用在
access
端口下时,打开该端口所属
VLAN
的
ip dhcp snooping
,应用在
trunk
口下时,打开终端连接端口所属
VLAN
的
ip dhcp snooping
----IP Source Guard
可以基于
ip
地址进行流量过滤(只要
ip
地址符合即可通过);也可以基于
ip
和
mac
进行过滤(必须
ip
和
mac
同时匹配才可以通过),
IP Source
l
Guard
配置及步骤说明
以下所有的说明基于以下拓扑:
拓扑说明:一台核心交换机,提供
vlan 30
,
vlan 40
的网关,通过
trunk
与接入层交换机连接,所有的配置在核心交换机上完成,接入层交换机上使用了两个
vlan(30,40)
,
user1
和
user2
分别位于
vlan 30
和
vlan 40
1.
打开
dhcp snooping
功能
命令:
(config)#ip dhcp snooping
2.
在需要进行
IP Source Guard
的
vlan
下打开
dhcp snooping
功能,针对某个
vlan
进行实施,如果有多个
vlan
,则需要打开多个
vlan
的
dhcp snooping
功能(这里举例
vlan 40
)
命令:
(config)# ip dhcp snooping vlan 40
3.
进行
IP
和
MAC
地址绑定,例如:
命令:
ip source binding 00C0.9F40.148E vlan 40 10.30.3.2 interface Gi3/24
/*
在
vlan 40
内,将
00C0.9F40.148E
与
10.30.3.2
进行绑定,并应用到端口
gi3/24*/
4.
在端口启用
ip source guard
(参数
port-security
表示同时基于
ip
和
mac
地址过滤)
命令:
ip verify source vlan dhcp-snooping port-security
/*IOS
版本的不同,这命令行可能不一致,有些版本命令行为
ip verify source port-security */
5.
检查
命令:
show ip source binding
Show ip verify source
转载于:https://blog.51cto.com/yuchunwang/275441
