IP Source Guard

IP Source Guard 功能H3C交换机用于对端口收到的报文进行过滤控制，以防止非法用户报文通过。配置了 IP Source Guard 功能的端口只转发与绑定表项匹配的报文。 IP Source Guard 绑定表项可以通过手工配置（命令行手工配置产生静态绑定表项）和动态获取（根据 DHCP 的相关表项动态生成绑定表项）两种方式生成。

基于静态绑定的IP Source Guard配置：

第1步：配置静态IP与MAC绑定关系(3种方式如下)

[H3C]ip source binding ip-address 192.168.1.50 mac-address 3085-a973-d64d

#这是在全局模式下配置的，所以该绑定关系在任意端口都可以通行。

H3C-Ethernet1/0/1]ip source binding ip-address 192.168.1.50 mac-address 3085-a973-d64d

#物理接口配置，只有在该端口上绑定数据才能正常通过。

[H3C-Vlan-interface1]ip source binding ip-address 192.168.1.50 mac-address 3085-a973-d64d

#vlan接口配置，只有在该vlan接口中绑定数据才能正常通过。

第2步：配置需要验证的位置（2种方式如下）

[H3C-Ethernet1/0/1]ip verify source ip-address mac-address

#通过该物理端口需要验证绑定关系。(在配置前确保绑定关系正常)

[H3C-Vlan-interface1]ip verify source ip-address mac-address

#该vlan中的数据包需要验证绑定关系。(在配置前确保绑定关系正常)

第3步：验证生效，和检查绑定

[H3C]display ip source binding static

Total entries found: 1

IP Address MAC Address Interface VLAN Type

192.168.1.50 3085-a973-d64d N/A N/A Static

基于动态DHCP绑定的IP Source Guard配置：

主要是结合DHCP Snooping功能自动记录IP与MAC绑定关系。

第1步：配置dhcp snooping

[H3C]dhcp snooping enable

[H3C]interface GigabitEthernet 1/0/8

[H3C-GigabitEthernet1/0/8]dhcp snooping trust #配置与dhcp服务器连接的接口为信任区域

[H3C-Ethernet1/0/2]dhcp snooping binding record #端口上的dhcp snooping表项记录功能

//可以针对vlan在vlan视图配置记录功能

[H3C-Ethernet1/0/2]ip verify source ip-address mac-address #开启ip和mac的绑定关系检查

第2步：终端重新获取ip,并两种查看方法

[H3C]display ip source binding dhcp-snooping #查看绑定关系

Total entries found: 1

IP Address MAC Address Interface VLAN Type

192.168.1.147 3085-a973-d64d Eth1/0/2 1 DHCP snooping

[H3C]display dhcp snooping binding

1 DHCP snooping entries found.

IP address MAC address Lease VLAN SVLAN Interface

=============== ============== ============ ===== ===== =================

192.168.1.147 3085-a973-d64d 7176 1 N/A Eth1/0/2

基于动态DHCP中继绑定的IP Source Guard配置：

第1步：配置中继

[S3100]dhcp enable

[S3100-Vlan-interface10]ip address 192.168.10.252 24

[S3100-Vlan-interface10]dhcp select relay

[S3100-Vlan-interface10]dhcp relay server-address 192.168.10.254

[S3100-Vlan-interface10]quit

第2步：配置记录和开启验证

[S3100]dhcp relay client-information record #记录dhcp中继表项

[S3100]interface Vlan-interface 10

[S3100-Vlan-interface10]ip verify source ip-address mac-address #启动绑定关系

[S3100-Vlan-interface10]quit

第3步：验证配置

[S3100]display ip source binding dhcp-relay

Total entries found: 1

IP Address MAC Address Interface VLAN Type

192.168.10.1 3085-a973-d64d Vlan10 10 DHCP relay

-------------------------------------------------------------------------------------------------------