IPSG配置前必须先配置ip dhcp snooping)

 

Switch(config-if)# ip verify source
Switch(config-if)#ip verify source vlan dhcp-snooping
//接口级命令;在该接口下开启IP源防护功能

 

说明:

I、这两条语句的作用是一样的,不同的是:
ip verify source是35系列交换机的命令
ip verify source vlan dhcp-snooping是45/65系列交换机以及76系列路由器的命令

II、这两条命令后还有个参数port-security,即命令:

 

Switch (config-if)#ip verify source port-security
Switch (config-if)#
ip verify source vlan dhcp-snooping port-security

 

不加port-security参数,表示IP源防护功能只执行“源IP地址过滤”模式
加上port-security参数以后,就表示IP源防护功能执行“源IP和源MAC地址过滤”模式

另外,在执行这两条命令之前需要先执行switchport port-security命令。

III、当执行“源IP和源MAC地址过滤”模式时,还可以通过以下命令限制非法MAC包的速度

 

Switch (config-if)#switchport port-security limit rate invalid-source-mac 50
//接口级命令;限制非法二层报文的速度为每秒50个;可以用参数none表示不限制
//只在“源IP和源MAC地址过滤”模式下有效,并且只有45系列及以上才支持该命令;

 

IV、 另外,在发生IP地址欺骗时,35/45系列交换机不会提供任何报错信息,只是丢弃数据报文;而65系列交换机会发出IP地址违背的报错信息。

添加一条静态IP源绑定条目

 

Switch (config)#ip source binding 000f.1fc5.1008 vlan 10 192.168.10.131 interface fa0/2
//全局命令;对应关系为:vlan10 - 000f.1f05.1008 - 192.168.10.131 - fa0/2

 

四、显示IP Source Guard的状态

 

Switch#show ip source binding //显示当前的IP源绑定表
Switch#show ip verify source //显示当前的IP源地址过滤器的实际工作状态