在很多组网中有这样的一个需求：

1、客户端采用DHCP方式获取ip地址

2、并且要防止客户端自行手动修改ip地址

这样的功能在H3C交换机上实现起来还是比较方便的，

通过在设备接入用户侧的端口上启用IP Source Guard功能，可以对端口收到的报文进行过滤控制，防止非法报文通过端口，从而限制了对网络资源的非法使用（比如非法主机仿冒合法用户IP接入网络），提高了端口的安全性。

IP Source Guard在端口上用于过滤报文的特征项包括：源IP地址、源MAC地址和VLAN标签。这些特征项可单独或组合起来与端口进行绑定，形成绑定表项，具体包括：IP、MAC、IP＋MAC、IP＋VLAN、MAC＋VLAN和IP＋MAC＋VLAN。配置了IP Source Guard的端口接收到报文后查找IP Source Guard绑定表项，如果报文中的特征项与绑定表项中记录的特征项匹配，则端口转发该报文，否则做丢弃处理。绑定功能是针对端口的，一个端口配置了绑定功能后，仅该端口被限制，其他端口不受该绑定影响。

IP Source Guard按照绑定表项的产生方式分为静态绑定和动态绑定：

l              静态绑定：通过手工配置产生绑定表项来完成端口的控制功能，适用于局域网络中主机数较少或者需要为某台主机进行单独的绑定配置的情况；

l              动态绑定：通过自动获取DHCP Snooping或DHCP Relay的绑定表项来完成端口控制功能，适用于局域网络中主机较多，并且采用DHCP进行动态主机配置的情况，可有效防止IP地址冲突、盗用等问题。其原理是每当DHCP为用户分配一条表项时，动态绑定功能就相应地增加一条绑定表项以允许该用户访问网络。如果某个用户私自设置IP地址，会由于没有触发DHCP分配表项，导致动态绑定功能未增加相应的访问允许规则，使得该用户不能访问网络。

注意：

加入聚合组或加入业务环回组的端口上不能配置IP Source Guard功能，反之亦然。

 

配置相对简单，这里仅列举DHCP方式下的配置情况，更多的请参考H3C相关的软件版本配置手册

(1)        配置Switch A

# 配置端口GigabitEthernet1/0/1的动态绑定功能，绑定源IP地址和MAC地址。

<SwitchA> system-view

[SwitchA] interface gigabitethernet 1/0/1

[SwitchA-GigabitEthernet1/0/1] ip check source ip-address mac-address

[SwitchA-GigabitEthernet1/0/1] quit

# 开启DHCP Snooping功能。

[SwitchA] dhcp-snooping

# 设置与DHCP服务器相连的端口GigabitEthernet1/0/2为信任端口。

[SwitchA] interface gigabitethernet 1/0/2

[SwitchA-GigabitEthernet1/0/2] dhcp-snooping trust

[SwitchA-GigabitEthernet1/0/2] quit

(2)        验证配置结果

# 显示端口GigabitEthernet1/0/1的动态绑定功能配置成功。

[SwitchA] interface gigabitethernet 1/0/1

[SwitchA-GigabitEthernet1/0/1] display this

#

interface GigabitEthernet1/0/1

ip check source ip-address mac-address

#

return

# 显示端口GigabitEthernet1/0/1从DHCP Snooping获取的动态表项。

[SwitchA-GigabitEthernet1/0/1] display ip check source

Total entries found: 1

MAC               IP               Vlan   Port                               Status

0001-0203-0406    192.168.0.1      1      GigabitEthernet 1/0/1              DHCP-SNP

# 显示DHCP Snooping已有的动态表项，查看其是否和端口GigabitEthernet1/0/1获取的动态表项一致。

[SwitchA-GigabitEthernet1/0/1] display dhcp-snooping

DHCP Snooping is enabled.

The client binding table for all untrusted ports.

Type : D--Dynamic , S--Static

Type IP Address      MAC Address    Lease        VLAN Interface

==== =============== ============== ============ ==== =================

D    192.168.0.1     0001-0203-0406 86335        1    GigabitEthernet1/0/1

从以上显示信息可以看出，端口GigabitEthernet1/0/1在配置动态绑定功能之后获取了DHCP Snooping产生的动态表项。