Функция защиты IP-адреса (IP Source Guard) предназначена для фильтрации трафика, принятого с интерфейса, на основании таблицы соответствий DHCP snooping и статических соответствий IP Source Guard. Таким образом, IP Source Guard позволяет бороться с подменой IP-адресов в пакетах.
Поскольку функция контроля защиты IP-адреса использует таблицы соответствий DHCP snooping, имеет смысл использовать данную функцию, предварительно настроив и включив DHCP snooping.
Пример настройки
- Включить функцию защиты IP-адреса для фильтрации трафика на основании таблицы соответствий DHCP snooping и статических соответствий IP Source Guard. Интерфейс в 398-й группе VLAN:
console(config)# ip dhcp snooping
console(config)# ip dhcp snooping vlan 398
- Включить функцию защиты IP-адреса для интерфейса gigabitethernet 0/10:
console(config-if)# ip verify source port-security
- На порт, за которым находится DHCP-север необходимо ввести настройку:
console(config-if)# set port-role uplink
console(config-if)# port-security-state trusted
Если не используется DHCP-сервер, таблицу соответствий необходимо заполнить статически:
Для порта gi 0/10 IP-адрес клиента – 192.168.2.10, его MAC-адрес – 00:11:22:33:44:55
console(config)# ip source binding 00:11:22:33:44:55 vlan 398 192.168.2.10 interface gigabitethernet 0/10