《IP Source guard配置说明》由会员分享,可在线阅读,更多相关《IP Source guard配置说明(2页珍藏版)》请在金锄头文库上搜索。
1、IP Source Guard配置说明l IP Source Guard原文说明:l IP Source Guard解释-IP Source Guard是一种二层网络安全技术,应用在一个非路由端口下,可以通过dhcp状态表或手工绑定的ip binding进行流量的严格限制。应用后,在端口下会被产生一个隐藏的port acl,该acl将限制只有ip source binding的数据流可以流过该端口-IP Source Guard可以应用在accesss端口,也可以应用在trunk端口下-使用IP Source Guard时,必须配合ip dhcp snooping使用,当应用在access端口
2、下时,打开该端口所属VLAN的ip dhcp snooping,应用在trunk口下时,打开终端连接端口所属VLAN的ip dhcp snooping-IP Source Guard可以基于ip地址进行流量过滤(只要ip地址符合即可通过);也可以基于ip 和mac进行过滤(必须ip和mac同时匹配才可以通过),l IP Source Guard配置及步骤说明以下所有的说明基于以下拓扑:拓扑说明:一台核心交换机,提供vlan 30,vlan 40的网关,通过trunk与接入层交换机连接,所有的配置在核心交换机上完成,接入层交换机上使用了两个vlan(30,40),user1和user2分别位于v
3、lan 30和vlan 401. 打开dhcp snooping功能命令:(config)#ip dhcp snooping2. 在需要进行IP Source Guard的vlan下打开dhcp snooping功能,针对某个vlan进行实施,如果有多个vlan,则需要打开多个vlan的dhcp snooping功能(这里举例vlan 40)命令:(config)# ip dhcp snooping vlan 403. 进行IP和MAC地址绑定,例如:命令:ip source binding 00C0.9F40.148E vlan 40 10.30.3.2 interface Gi3/24/*在vlan 40内,将00C0.9F40.148E 与10.30.3.2进行绑定,并应用到端口gi3/24*/4. 在端口启用ip source guard (参数port-security表示同时基于ip和mac地址过滤)命令:ip verify source vlan dhcp-snooping port-security/*IOS版本的不同,这命令行可能不一致,有些版本命令行为ip verify source port-security */5. 检查命令:show ip source binding Show ip verify source6. 检查终端ping的情况
