IPSG(IP Source Guard)即 IP 源保护,是一种基于 IP 地址和 MAC 地址绑定的安全功能,用于防止 IP 地址欺骗和非法的 IP 地址访问。以下是配置 IPSG 功能的一般步骤:
基于端口的 IPSG 配置
- 进入接口配置模式 :在交换机或路由器的命令行界面中,使用
interface
命令进入要配置 IPSG 功能的接口。例如,如果要在以太网接口GigabitEthernet0/0/1
上配置 IPSG,可以输入interface GigabitEthernet0/0/1
。 - 启用 IPSG :在接口配置模式下,使用
ip source guard enable
命令启用 IPSG 功能。这将使接口开始检查通过该接口的 IP 数据包的源 IP 地址和源 MAC 地址是否与绑定表中的记录匹配。 - 配置绑定表 :可以手动配置 IP 地址和 MAC 地址的绑定关系,也可以通过 DHCP Snooping 功能动态生成绑定表。
- 手动配置绑定表 :使用
ip source binding ip-address mac-address [vlan vlan-id]
命令手动添加绑定记录。例如,ip source binding 192.168.1.10 00-11-22-33-44-55 vlan 10
表示将 IP 地址192.168.1.10
和 MAC 地址00-11-22-33-44-55
在 VLAN 10 中进行绑定。 - 通过 DHCP Snooping 动态生成绑定表:首先要确保交换机上已经启用了 DHCP Snooping 功能。当客户端通过 DHCP 获取 IP 地址时,交换机将自动根据 DHCP 报文信息构建绑定表。在这种情况下,接口上配置 IPSG 功能后会自动使用 DHCP Snooping 绑定表中的信息进行 IP 源地址的检查。
- 手动配置绑定表 :使用
- 配置违规处理动作 :当 IPSG 检测到违规的 IP 数据包时,可以配置相应的处理动作。常见的动作有
shutdown
(关闭接口)、restrict
(丢弃违规数据包并发送通知)和protect
(仅丢弃违规数据包)。使用ip source guard violation {shutdown | restrict | protect}
命令进行配置。例如,ip source guard violation restrict
表示当检测到违规时,丢弃违规数据包并发送通知。
基于 VLAN 的 IPSG 配置
- 进入 VLAN 配置模式 :使用
vlan vlan-id
命令进入要配置 IPSG 功能的 VLAN 配置模式。例如,vlan 10
进入 VLAN 10 的配置模式。 - 启用 IPSG :在 VLAN 配置模式下,使用
ip source guard enable
命令启用 VLAN 级别的 IPSG 功能。这将对该 VLAN 内的所有接口应用 IPSG 检查。 - 配置绑定表 :与基于端口的配置类似,可以手动配置 VLAN 内的 IP 地址和 MAC 地址绑定关系,也可以依靠 DHCP Snooping 动态生成绑定表。手动配置时,使用
ip source binding ip - address mac - address
命令,无需指定 VLAN ID,因为已经在 VLAN 配置模式下。 - 配置违规处理动作 :同样使用
ip source guard violation {shutdown | restrict | protect}
命令来配置 VLAN 级别的违规处理动作。
配置完成后,可以使用 show ip source binding
命令查看 IPSG 的绑定表信息,使用 show ip source guard
命令查看 IPSG 功能的启用状态和相关配置信息。需要注意的是,不同厂商的设备在具体命令和配置选项上可能会有所差异,实际配置时应参考设备的说明书进行操作。