IP Source Guard использует записи DHCP Snooping Binding для проверки трафика.
На каждом порту коммутатор сверяет IP- и MAC-адреса входящих пакетов с данными из binding-таблицы в соответствующем VLAN и пропускает только те, что совпадают.
Настройка
Для работы данной функции необходимо настроить DHCP Snooping Binding, подробнее смотрите в соответствующем разделе.
Включение IP Source Guard на портах:
SW1(config)#int ethernet 1/0/1-10 SW1(config-if-port-range)#ip dhcp snooping binding user-control
Удаление всех записей из таблицы binding DHCP snooping:
SW1#clear ip dhcp snooping binding all
Отдельные записи удаляются, когда порт принимает пакет DHCP RELEASE.
Определение максимального количества связей IP-MAC на порту:
SW1(config)#int ethernet 1/0/1 SW1(config-if-ethernet1/0/1)#ip dhcp snooping binding user-control max-user 1
Проверка
В порт 1 подключаем дополнительный коммутатор без настройки. В этот коммутатор подключаем оба ПК.
На SW1 в целях тестирования дополнительно настраиваем IP-адрес в VLAN 33:
SW1(config)#int vlan 33 SW1(config-if-vlan33)#ip address 192.168.33.100 255.255.255.0
Просматриваем таблицу binding DHCP snooping:
SW1(config)#show ip dhcp snooping binding all ip dhcp snooping static binding count:0, dynamic binding count:1 MAC IP address Interface Vlan ID Flag 00-1f-e2-14-3e-de 192.168.33.3 Ethernet1/0/1 33 DL 3c-97-0e-d1-ad-28 192.168.33.2 Ethernet1/0/1 33 D 3c-97-0e-44-55-66 192.168.33.33 Ethernet1/0/3 33 SL ----------------------------------------------------------------------- D - The dynamic binding type S - The static binding L - The connection is allowed due to binding control
• ПК с MAC-адресом 00-1f-e2-14-3e-de имеет флаг DL – возможен пинг до 192.168.33.100.
• ПК с MAC-адресом 3c-97-0e-d1-ad-28 имеет флаг D — пинг до 192.168.33.100 невозможен.
Если IP Source Guard включен, пересылаться будет только трафик от записей с флагами DL и SL. Другие записи, превышающие максимальное значение пользователей, будут иметь флаг D.
