IPSourceGuard:防止用户私设静态IP

在DHCP 环境的网络里经常会出现用户随意设置静态IP 地址的问题，用户随意设置的IP 地址不但使网络难以维护，而且会导致一些合法的使用DHCP 获取IP 的用户因为冲突而无法正常使用网络。

为了阻止用户随意设置静态 IP，可以配置IP Source Guard功能。IP Source Guard 功能维护一个 IP 源地址绑定数据库，通过将该数据库中的用户信息[VLAN、MAC、IP、PORT]设置为硬件过滤表项，从而允许合法用户访问网络。

IP Source Guard之所以在DHCP使用中能够有效地进行安全控制，主要取决于 IP 源地址绑定数据库，IP Source Guard会自动将DHCP Snooping绑定数据库中的合法用户绑定同步到IP Source Guard的IP源地址绑定数据库，这样IP Source Guard就可以在打开DHCP Snooping功能的设备上对客户端的报文进行严格过滤。

DHCP Snooping绑定数据库是启用DHCP Snooping功能的交换机通过窥探Client 和Server 之间交互的报文，记录用户获取到的IP信息以及用户MAC、所属VLAN编号、端口、租约时间等信息而形成的。

针对手工配置IP地址的PC3，在二层交换机上完成下列配置，使主机设置静态IP 地址后端口f0/3不再为主机转发数据。

保持PC3上手动配置的IP地址1.1.123.2/24，网关1.1.123.254，使用“ping”命令测试与PC1、PC2和网关的连通性，结果显示不能通信了。在二层交换机查看绑定信息：

因为在端口f0/3上启用了IP Source Guard功能，DHCP Snooping绑定数据库中没有关于端口FastEthernet 0/3的IP绑定信息，所以IP Source Guard的IP源地址绑定数据库中也没有能同步过来的关于端口FastEthernet 0/3的绑定信息。因此，IP Source Guard的过滤表项中Ip-address和Mac-address字段都为“deny-all”，即任何IP和MAC的数据包都不允许通过。(www.xing528.com)

接下来取消端口f0/3上的DHCP请求报文抑制，并在PC3上更改获得IP参数的设置为动态获得IP。再次查看DHCP Snooping绑定数据库、IP Source Guard的IP源地址绑定数据库和过滤表项，测试PC3与PC1、PC2和网关的连通性。

DHCP Snooping绑定数据库和IP Source Guard的IP源地址绑定数据库中增加了端口f0/3对应的记录。IP Source Guard过滤表项在原记录前也增加了新的允许IP地址为1.1.123.3且MAC地址为4016.9ff2.48ca的数据包通过的记录。PC3能够“ping”通PC1、PC2和网关了。此时即使将PC3的IP地址参数手工配置为与动态获得的一模一样（1.1.123.3/24）也无法访问网络。

在某些应用情况下，某些端口下的用户希望能够静态使用某些IP，可以通过添加静态用户信息到IP源地址绑定数据库中来实现。例如，PC3需要手工配置静态IP地址参数，同时也能访问网络，在二层交换机上配置如下。

在PC3上手工配置IP地址参数为1.1.123.3/24，网关为1.1.123.254，DNS为8.8.8.8，测试与PC1、PC2和网关的连通性，可以“ping”通。在二层交换机上查看绑定信息：

静态记录是管理员手工添加的，不是从DHCP Snooping绑定数据库中同步而来的。

IP Source Guard利用DHCP Snooping功能产生的记录限制用户私设静态IP，其配置维护简单，无须手工完成每个用户的IP和MAC的绑定，但它对交换机的安全功能要求较高，需要同时支持DHCP Snooping和IP Source guard功能。对于需要设置静态IP地址的主机，网络管理员可以手工配置完成。