一、什么是IP Source Guard

IP Source Guard（IPSG）是一种基于 IP/MAC 的端口流量过滤技术，用于防止局域网内的 IP 地址欺骗攻击。

1. 隔绝非法DHCP服务器：通过配置非信任端口，IPSG可以有效阻止非法DHCP服务器向网络中的客户端分配IP地址。这有助于防止网络中的恶意设备冒充DHCP服务器，从而避免客户端从非法服务器获取错误的IP地址和其他网络配置信息。
2. 建立和维护绑定表：IPSG会监听经过本机的DHCP数据包，提取其中的关键信息并生成DHCP Binding Table记录表。这些记录包括IP、MAC、租约时间、端口、VLAN、类型等信息，结合DAI（Dynamic ARP Inspection）和IPSG（IP Source Guard）可实现ARP防欺骗和IP流量控制功能。
3. 防止ARP病毒传播：与交换机DAI配合，IPSG可以防止ARP病毒的传播。ARP病毒是一种利用ARP协议漏洞进行攻击的网络威胁，通过伪造ARP响应报文来篡改网络中的IP地址映射关系，导致网络通信异常。IPSG通过建立和维护DHCP Binding Table，可以有效地检测和阻止这种攻击行为。
4. 提高网络稳定性：通过确保只有合法的DHCP服务器才能为客户端分配IP地址和其他网络配置信息，IPSG可以提高网络的稳定性和可靠性。这有助于减少网络故障和中断的风险，提高用户的网络使用体验。

二、 IP Source Guard有什么用

IP Source Guard（IPSG）是一种基于 IP/MAC 的端口流量过滤技术，用于防止局域网内的 IP 地址欺骗攻击。

1. 防止IP地址盗用：IPSG通过检查进入和离开端口的数据包，只允许满足IP源绑定表中Port/IP/MAC对应关系的报文通过，从而防止未经授权的设备使用非法IP地址接入网络。这有助于避免IP地址冲突和网络异常。
2. 确保网络安全：IPSG能够确保第2层网络中终端设备的IP地址不会被劫持，而且还能确保非授权设备不能通过自己指定IP地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。这提高了网络的安全性和稳定性。
3. 灵活配置：IPSG支持静态和动态两种绑定方式。静态绑定适用于局域网中主机数目较少的情况，而动态绑定则适用于采用DHCP进行动态主机配置的场景，可有效防止IP地址冲突、盗用等问题。用户可以根据实际需求选择合适的绑定方式。
4. 简化网络管理：通过结合DHCP Snooping技术，IPSG可以自动生成IP源绑定表，减少了手动配置的工作量，并提高了配置的准确性和效率。同时，IPSG还支持查看当前配置信息和工作状态，方便网络管理员进行监控和管理。

三、实验拓扑

 

四、实验命令

 

 

 综上所述，IP Source Guard在现代网络设计中扮演着关键角色，特别是对于需要高级别隔离和大规模VLAN管理的场景。它不仅解决了VLAN ID资源紧缺的问题，还提供了灵活的网络分段和隔离能力，简化了网络配置和管理，提高了网络的安全性和可靠性。