Cisco/ip_source_guard.txt

Router:
hostname R1
!
ip dhcp pool MY_POOL
 network 192.168.1.0 255.255.255.0
!
ip cef
!
interface FastEthernet0/0
 ip address 192.168.1.254 255.255.255.0
!
end


Przełącznik (router podłączony na porcie g0/1):
hostname SW1
!
ip dhcp snooping vlan 1
no ip dhcp snooping information option
ip dhcp snooping
!
interface GigabitEthernet0/1
 switchport mode access
 spanning-tree portfast
 ip dhcp snooping trust
!
interface GigabitEthernet0/2
 switchport mode access
 spanning-tree portfast
!
interface GigabitEthernet0/3
 switchport mode access
 spanning-tree portfast
!
interface GigabitEthernet0/4
 switchport mode access
 spanning-tree portfast
!
end


Konfigurujemy "IP Source Guard" dla komputera podłączonego na porcie g0/2:
SW1(config)#interface GigabitEthernet 0/2
SW1(config-if)#ip verify source

SW1#show ip verify source
Interface  Filter-type  Filter-mode  IP-address       Mac-address        Vlan   Log
---------  -----------  -----------  ---------------  -----------------  ----   ---
Gi0/2      ip           active       192.168.1.1                         1      disabled


SW1 zezwala teraz tylko na źródłowy adres IP 192.168.1.1 (bo taki PC dostanie pierwszy z brzegu) na 
interfejsie GigabitEthernet 0/2. Pole adresu MAC jest puste, także w tej chwili przełącznik sprawdza 
tylko źródłowy adres IP. Można jednak również sprawdzać źródłowy adres MAC.
Do tego celu trzeba wykorzystać jeszcze mechanizm port-security:
SW1(config)#interface GigabitEthernet 0/2
SW1(config-if)#switchport port-security
SW1(config-if)#ip verify source port-security

SW1#show ip verify source
Interface  Filter-type  Filter-mode  IP-address       Mac-address        Vlan   Log
---------  -----------  -----------  ---------------  -----------------  ----   ---
Gi0/2      ip-mac       active       192.168.1.1      00:11:22:44:33:AA  1      disabled


Załóżmy, że skonfigurujemy na porcie G0/3 kolejny PC, który będzie mieć statycznie przypisane dane adresowe:
SW1(config)#interface GigabitEthernet 0/3
SW1(config-if)#switchport port-security
SW1(config-if)#ip verify source port-security

SW1#show ip verify source 
Interface  Filter-type  Filter-mode  IP-address       Mac-address        Vlan   Log
---------  -----------  -----------  ---------------  -----------------  ----   ---
Gi0/2      ip-mac       active       192.168.1.1      00:11:22:44:33:AA  1      disabled
Gi0/3      ip-mac       active       deny-all         deny-all           1

Jeżeli teraz z tego powyższego komputera spróbujemy wykonać jakąkolwiek transmisję (choćby ping), to nie pwoiedzie się, będzie blokowane.



Możemy również przypisać statycznie adres mac oraz adres IP do zadanego portu, np. dla portu G0/4:
SW1(config)#interface GigabitEthernet 0/4
SW1(config-if)#switchport port-security
SW1(config-if)#ip verify source port-security
SW1(config)#ip source binding 0011.aabb.0088 vlan 1 192.168.1.200 interface GigabitEthernet 0/4


SW1#show ip verify source                               
Interface  Filter-type  Filter-mode  IP-address       Mac-address        Vlan   Log
---------  -----------  -----------  ---------------  -----------------  ----   ---
Gi0/2      ip-mac       active       192.168.1.1      00:11:22:44:33:AA  1      disabled
Gi0/3      ip-mac       active       deny-all         deny-all           1
Gi0/4      ip-mac       active       192.168.1.200    00:11:AA:BB:00:88  1      disabled