IP Source Guard 配置

IPSG配置前必須先配置ip dhcp snooping）

 

Switch(config-if)# ip verify source
Switch(config-if)#ip verify source vlan dhcp-snooping //接口級命令；在該接口下開啓IP源防護功能

 

說明：

I、這兩條語句的作用是一樣的，不同的是：
ip verify source是35系列交換機的命令
ip verify source vlan dhcp-snooping是45/65系列交換機以及76系列路由器的命令

II、這兩條命令後還有個參數port-security，即命令：

 

Switch (config-if)#ip verify source port-security
Switch (config-if)#ip verify source vlan dhcp-snooping port-security

 

不加port-security參數，表示IP源防護功能只執行“源IP地址過濾”模式
加上port-security參數以後，就表示IP源防護功能執行“源IP和源MAC地址過濾”模式

另外，在執行這兩條命令之前需要先執行switchport port-security命令。

III、當執行“源IP和源MAC地址過濾”模式時，還可以通過以下命令限制非法MAC包的速度

 

Switch (config-if)#switchport port-security limit rate invalid-source-mac 50
//接口級命令；限制非法二層報文的速度爲每秒50個；可以用參數none表示不限制
//只在“源IP和源MAC地址過濾”模式下有效，並且只有45系列及以上才支持該命令；

 

IV、 另外，在發生IP地址欺騙時，35/45系列交換機不會提供任何報錯信息，只是丟棄數據報文；而65系列交換機會發出IP地址違背的報錯信息。

添加一條靜態IP源綁定條目：

 

Switch (config)#ip source binding 000f.1fc5.1008 vlan 10 192.168.10.131 interface fa0/2
//全局命令；對應關係爲：vlan10 - 000f.1f05.1008 - 192.168.10.131 - fa0/2

 

四、顯示IP Source Guard的狀態

 

Switch#show ip source binding //顯示當前的IP源綁定表
Switch#show ip verify source //顯示當前的IP源地址過濾器的實際工作狀態