Функция защиты IP-адреса (IP Source Guard) предназначена для фильтрации трафика, принятого с интерфейса, на основании таблицы соответствий DHCP snooping и статических соответствий IP Source Guard. Таким образом, IP Source Guard позволяет бороться с подменой IP-адресов в пакетах.

Поскольку функция контроля защиты IP-адреса использует таблицы соответствий DHCP snooping, имеет смысл использовать данную функцию, предварительно настроив и включив DHCP snooping.

Пример настройки

• Включить функцию защиты IP-адреса для фильтрации трафика на основании таблицы соответствий DHCP snooping и статических соответствий IP Source Guard. Интерфейс в 1-й группе VLAN:

console(config)# ip dhcp snooping

console(config)# ip dhcp snooping vlan 1

console(config)# ip source-guard

• Если вместо динамических привязок требуется создать статическую запись в таблице соответствия для интерфейса, например, для Gigabitethernet 1/0/1: IP-адрес клиента – 192.168.1.210, его MAC-адрес – 00:60:70:4A:AB:AF:

console(config)# ip source-guard binding 00:60:70:4A:AB:AF 1 192.168.1.210 gigabitethernet 1/0/1

• Включить функцию защиты IP-адреса для интерфейса gigabitethernet 1/0/1:

console(config-if)# ip source-guard

Так как IP Source Guard работает на основании таблицы соответствий DHCP snooping, необходимо настроить для функции DHCP Snooping доверенный порт:

console(config-if)# ip dhcp snooping trust

Также можно записывать таблицу DHCP Snooping в файл для восстановления записей в случае перезагрузки устройства (необходима настроенная синхронизация системного времени по NTP/SNTP):

console(config)# ip dhcp snooping database

Примечание: ведение записи таблицы снупинга в файл актуально для устройств, выполняющих функцию доступа. На коммутаторах ядра и агрегации данный механизм не актуален к использованию.