История страницы

IP Source Guard использует записи DHCP Snooping Binding для проверки трафика.
На каждом порту коммутатор сверяет IP- и MAC-адреса входящих пакетов с данными из binding-таблицы в соответствующем VLAN и пропускает только те, что совпадают.

Для работы данной функции необходимо настроить DHCP Snooping Binding, подробнее смотрите в соответствующем разделе.

Включение IP Source Guard на портах:

SW1(config)#int ethernet 1/0/1-10
SW1(config-if-port-range)#ip dhcp snooping binding user-control

Удаление всех записей из таблицы binding DHCP snooping:

SW1#clear ip dhcp snooping binding all

Отдельные записи удаляются, когда порт принимает пакет DHCP RELEASE.
Определение максимального количества связей IP-MAC на порту:

SW1(config)#int ethernet 1/0/1
SW1(config-if-ethernet1/0/1)#ip dhcp snooping binding user-control max-user 1

Проверка

В порт 1 подключаем дополнительный коммутатор без настройки. В этот коммутатор подключаем оба ПК.
На SW1 в целях тестирования дополнительно настраиваем IP-адрес в VLAN 33:

SW1(config)#int vlan 33
SW1(config-if-vlan33)#ip address 192.168.33.100 255.255.255.0

Просматриваем таблицу binding DHCP snooping:

SW1(config)#show ip dhcp snooping binding all
ip dhcp snooping static binding count:0, dynamic binding count:1
MAC IP address Interface Vlan ID Flag
00-1f-e2-14-3e-de 192.168.33.3 Ethernet1/0/1 33 DL
3c-97-0e-d1-ad-28 192.168.33.2 Ethernet1/0/1 33 D
3c-97-0e-44-55-66 192.168.33.33 Ethernet1/0/3 33 SL
-----------------------------------------------------------------------
D - The dynamic binding type
S - The static binding
L - The connection is allowed due to binding control

• ПК с MAC-адресом 00-1f-e2-14-3e-de имеет флаг DL – возможен пинг до 192.168.33.100.
• ПК с MAC-адресом 3c-97-0e-d1-ad-28 имеет флаг D — пинг до 192.168.33.100 невозможен.
Если IP Source Guard включен, пересылаться будет только трафик от записей с флагами DL и SL. Другие записи, превышающие максимальное значение пользователей, будут иметь флаг D.Для использования данной функции необходимо настроить DHCP ы