IPSG源保护
源保护特性可防止非法设备盗用合法设备的IP接入网络,只能用于二层端口
需要用到IP绑定表,有两种方式获得绑定条目:
1、静态绑定IP源地址
2、使用DHCP snooping技术中动态生成的源IP绑定表
原理:一旦在一个接口启用了源保护,这个接口默认拒绝所有IP,除非在IP绑定表中有这个接口对应的IP地址绑定条目。
ip source binding aaaa.bbbb.cccc vlan 1 100.1.1.1 interface f0/1 静态绑定
ip dhcp snooping
ip dhcp snooping vlan 1
interface f0/10
ip verify source //开启源保护,只基于IP进行检查,在3560和3750上这样配
ip verify source port-security //开启源保护,基于IP和MAC进行检查,默认对于所有的IP是deny-any,对于mac的动作是permit-any,如果做了端口安全,对于mac的动作就是deny-any。
SW1(config-if)#ip verify source vlan dhcp-snooping port-security 好像4500以上才这样开启
show ip verify source 查看所允许的IP地址
show ip source binding