一、IP地址

　　1、静态修改IP地址

　　对于任何一个TCP/IP实现来说，IP地址都是其用户配置的必选项。如果用户在配置TCP/IP或修改TCP/IP配置时，使用的不是授权分配的IP地址，就形成了IP地址。由于IP地址是一个逻辑地址，因此无法用户对于其主机IP地址的静态修改。

　　2、成对修改IP-MAC地址

　　对于静态修改IP地址的问题，现在很多单位都采用IP与MAC绑定技术加以解决。针对绑定技术，IP技术又有了新的发展，即成对修改IP-MAC地址。现在的一些兼容网卡，其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台主机的IP地址和MAC地址，其同样可以接入网络。

　　另外，对于那些MAC地址不能直接修改的网卡来说，用户还可以采用软件的办法来修改MAC地址，即通过修改底层网络软件达到上层网络软件的目的。

　　3、动态修改IP地址

　　某些程序在网络上收发数据包，可以绕过上层网络软件，动态修改自己的IP地址(或IP-MAC地址对)，以达到IP。

　　二、IPSourceGuard技术介绍

　　IP源防护(IPSourceGuard，简称IPSG)是一种基于IP/MAC的端口流量过滤技术，它可以防止局域网内的IP地址。IPSG能够确保第2层网络中终端设备的IP地址不会被劫持，而且还能确保非授权设备不能通过自己指定IP地址的方式来访问网络或网络导致网络崩溃及瘫痪。

　　交换机内部有一个IP源绑定表(IPSourceBindingTable)作为每个端口接受到的数据包的检测标准，只有在两种情况下，交换机会转发数据：

　　所接收到的IP包满足IP源绑定表中Port/IP/MAC的对应关系

　　所接收到的是DHCP数据包

　　其余数据包将被交换机做丢弃处理。

　　IP源绑定表可以由用户在交换机上静态添加，或者由交换机从DHCP绑定表(DHCPSnoopingB192.168.10.1indingTable)自动学习获得。静态配置是一种简单而固定的方式，但灵活性很差，因此Cisco用户最好结合DHCPSnooping技术使用IPSourceGuard，由DHCP绑定表生成IP源绑定表。

　　以DHCPSnooping技术为前提讲一下IPSourceGuard技术的原理。在这种下，连接在交换机上的所有PC都配置为动态获取IP地址，PC作为DHCP客户端通过发送DHCP请求，DHCP服务器将含有IP地址信息的DHCP回复通过单播的方式发送给DHCP客户端，交换机从DHCP报文中提取关键信息(包括IP地址，MAC地址，vlan号，端口号，租期等)，并把这些信息保存到DHCP绑定表中。(以上这个过程是由DHCPSnooping完成的)

　　接下来的由IPSourceGuard完成。交换机根据DHCP绑定表的内容自动生成IP源绑定表，然后IOS根据IP源绑定面的内容自动在接口加载基于端口的VLANACL(PVACL)，由该ACL(可以称之为源IP地址过滤器)来过滤所有IP流量。客户端发送的IP数据包中，只有其源IP地址满足源IP绑定表才会被发送，对于具有源IP绑定表之外的其他源IP地址的流量，都将被过滤。

　　PC没有发送DHCP请求时，其连接的交换机端口默认除了DHCP请求之外的所有数据包，因此PC使用静态IP是无法连接网络的(除非已经存在绑定好的源IP绑定条目，如静态源IP绑定条目或者是之前已经生成的动态IP绑定条目还没过期，而且PC还必须插在正确的端口并设置正确的静态IP地址)。

　　IP源防护只支持第2层端口，其中包括接入(access)端口和干道(trunk)接口。IP源防护的信任端口/非信任端口也就是DHCP的信任端口/非信任端口。对于非信任端口存在以下两种级别的IP流量安全过滤：

　　源IP地址过滤：

　　根据源IP地址对IP流量进行过滤，只有当源IP地址与IP源绑定条目匹配，IP流量才允许通过。当端口创建、修改、删除新的IP源绑定条目的时候，IP源地址过滤器将发生变化。为了能够反映IP源绑定的变更，端口PACL将被重新修改并重新应用到端口上。默认情况下，如果端口在没有存在IP源绑定条目的情况下启用了IP源防护功能，默认的PACL将端口的所有流量(实际上是除DHCP报文以外的所有IP流量)。

　　源IP和源MAC地址过滤：

　　根据源IP地址和源MAC地址对IP流量进行过滤，只有当源IP地址和源MAC地址都与IP源绑定条目匹配，IP流量才允许通过。当以IP和MAC地址作为过滤的时候，为了确保DHCP协议能够正常的工作，还必须启用DHCP选项82。对于没有选项82的数据，交换机不能确定用于转发DHCP服务器响应的客户端主机端口。相反地，DHCP服务器响应将被丢弃，客户机也不能获得IP地址。

　　注：交换机使用端口安全(PortSecurity)来过滤源MAC地址。

　　当交换机只使用“IP源地址过滤”时，IP源防护功能与端口安全功能是相互的关系。端口安全是否对于IP源防护功能来说不是必须的。如果同时，则两者也只是一种宽松的合作关系，IP源防护防止IP地址，端口安全防止MAC地址。而当交换机使用“源IP和源MAC地址过滤”时，IP源防护功能与端口安全功能是就变成了一种“集成”关系，更确切的说是端口安全功能被集成到IP源防护功能里，作为IP源防护的一个必须的组成部分。

　　在这种模式下，端口安全的违规处理(violation)功能将被关闭。对于非法的二层报文，都将只是被简单的丢弃，而不会再执行端口安全的违规处理了。IP源防护功能不能防止客户端PC的ARP。ARP问题必须由DAI功能来解决。如果要支持IP源防护功能，必须是35系列及以上的交换机。2960目前不支持该功能。

　　三、IPSourceGuard的配置(IPSG配置前必须先配置ipdhcpsnooping)

　　Switch(config-if)#ipverifysource

　　Switch(config-if)#ipverifysourcevlandhcp-snooping//接口级命令;在该接口下IP源防护功能

　　说明：

　　I、这两条语句的作用是一样的，不同的是：

　　ipverifysource是35系列交换机的命令

　　ipverifysourcevlandhcp-snooping是45/65系列交换机以及76系列路由器的命令

　　II、这两条命令后还有个参数port-security，即命令：

　　Switch(config-if)#ipverifysourceport-security

　　Switch(config-if)#ipverifysourcevlandhcp-snoopingport-security

　　不加port-security参数，表示IP源防护功能只执行“源IP地址过滤”模式

　　加上port-security参数以后，就表示IP源防护功能执行“源IP和源MAC地址过滤”模式

　　另外，在执行这两条命令之前需要先执行switchportport-security命令。

　　III、当执行“源IP和源MAC地址过滤”模式时，还可以通过以下命令非法MAC包的速度

　　Switch(config-if)#switchportport-securitylimitrateinvalid-source-mac50

　　//接口级命令;非法二层报文的速度为每秒50个;可以用参数none表示不

　　//只在“源IP和源MAC地址过滤”模式下有效，并且只有45系列及以上才支持该命令;

　　IV、另外，在发生IP地址时，35/45系列交换机不会提供任何报错信息，只是丢弃数据报文;而65系列交换机会发出IP地址的报错信息。

　　添加一条静态IP源绑定条目：

　　Switch(config)#ipsourcebinding000f.1fc5.1008vlan10192.168.10.131intece0/2

　　//全局命令;对应关系为：vlan10-000f.1f05.1008-192.168.10.131-0/2

　　四、显示IPSourceGuard的状态

　　Switch#showipsourcebinding//显示当前的IP源绑定表

　　Switch#showipverifysource//显示当前的IP源地址过滤器的实际工作状态

　　四、IPSourceGuard实例

　　单交换机(所有主机位于同一个VLAN)

　　：