ip source guard－495884965

IP source guard的運用

IP source guard可以避免合法使用的IP被其他人盜用的情形，這也是目前許多網路管理人員非常頭痛的問題。當網路管理人員試圖利用流量管制的方式管控每個使用者的流量，並進而對違法流量政策的使用者採取封鎖IP的處罰時，懂得IP設定的使用者便嘗試更改IP，造成被盜用者也無法連上線，或是被盜用者也嘗試使用其他人的IP，如此的惡性循環往往造成整個區域網路IP使用上的困擾，IP source guard無疑是解決這種問題的最佳方式。

IP source guard運作上是依據IP source binding table來檢視比對來自untrust interface的source IP或source IP/MAC-address。而IP source binding table的來源是DHCP snooping產生的DHCP snooping binding database或手動設定的IP source binding。手動設定的IP source binding適用於網路環境並非是由DHCP server來配發IP，因此想要做到全面性的IP/MAC-address binding，網管人員對於使用者的IP/MAC-address資料蒐集必須非常完整。

IP source guard的設定
在設定的觀念上，DHCP snooping是vlan-based，而IP source guard是switch ports-based，且啟用後會套用port ACL於interface上：

1. Switch(config-if)# ip verify source

以上是啟用IP source guard的source ip filtering功能來確認untrust interface的來源IP與IP source binding table中的entry相吻合，並且IP DHCP snooping必須啟用於此interface所屬的vlan 當中。

當啟用了IP source guard，而IP source binding table並不存在時，switch仍會套用port ACL於interface上，但會造成所有啟用IP source guard的interface拒絕轉送IP流量。

2. Switch(config-if)# ip verify source port-security

以上是啟用IP source guard的source ip/MAC-address功能來確認untrust

interface的來源IP/MAC-address與IP source binding table中的entry相吻合。且ip DHCP snooping及port-security必須同時啟動。

當有不吻合的情況發生時，interface可能因為有封包違反port-security而shutdown。

3.手動設定IP source binding的方式如下：

Switch(config)# ip source binding 0011.ccdd.1234 vlan 10
192.168.100.1 interface GigabitEthernet 1/0/5

IP source binding table內容可用 # show ip source binding來檢視

完整的IP source guard設定可參考以下：

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# ip verify source port-security
Switch(config-if)# exit
Switch(config)# ip source binding 0100.0022.0010 vlan 10 10.0.0.2
interface gigabitethernet1/0/1
Switch(config)# ip source binding 0100.0230.0002 vlan 11 10.0.0.4
interface gigabitethernet1/0/1
Switch(config)# end