通過IP Source Guard綁定功能,可以對連線埠轉發的報文進行過濾控制,防止非法報文通過連線埠,從而限制了對網路資源的非法使用(比如非法主機仿冒合法用戶IP接入網路),提高了連線埠的安全性。
實現機制,綁定方式,
實現機制
如果一個設備(交換機/路由器)的連線埠配置了IP Source Guard,則當報文到達該連線埠時,設備會檢查IP Source Guard的表項,符合表項的報文則可以轉發或者進入後續流程,不符合表項的報文將被丟棄。綁定功能是針對連線埠的,一個連線埠被綁定後,僅該連線埠被限制,其他連線埠不受該綁定影響。
IP Source Guard的匹配條件有:源IP位址、源MAC地址、VLAN標籤。在不同的設備上,支持的組合方式不同,大體的組合方式有:
1.IP、MAC、IP+MAC
2.IP+VLAN、MAC+VLAN、IP+MAC+VLAN
事實上,用戶可以通過配置ACL規則來實現IP Source Guard功能,有些交換機的廠商就是通過ACL來實現IP Source Guard功能的。
綁定方式
1.靜態綁定:通過手動配置IP Source Guard,同時綁定至連線埠上。這種綁定方式適用於區域網路中主機數目較少,或者需要針對區域網路中某台特定的機器進行綁定操作。
2.動態綁定:通過自動獲取DHCP Snooping或DHCP Relay的綁定表項來完成連線埠控制功能。該綁定方法適用於區域網路中主機較多,並且採用DHCP進行動態主機配置的情況,可有效防止IP位址衝突、盜用等問題。其原理是每當DHCP為用戶分配一條表項時,動態綁定功能就相應地增加一條綁定表項以允許該用戶訪問網路。如果某個用戶私自設定IP位址,會由於沒有觸發DHCP分配表項,導致動態綁定功能未增加相應的訪問允許規則,使得該用戶不能訪問網路。
