| 实现机制
配置了该特性的端口接收到报文后查找IP Source Guard绑定表项,如果报文中的特征项与绑定表项中记录的特征项匹配,则端口转发该报文,否则做丢弃处理。绑定功能是针对端口的,一个端口被绑定后,仅该端口被限制,其他端口不受该绑定影响。
IP Source Guard用于匹配报文的特征项包括:源IP地址、源MAC地址和VLAN标签。并且,可支持端口与如下特征项的组合(下文简称绑定表项):
l IP、MAC、IP+MAC
l IP+VLAN、MAC+VLAN、IP+MAC+VLAN
端口所支持绑定表项的种类与设备的型号有关,请以设备的实际情况为准。
IP Source Guard按照绑定表项的产生方式分为静态绑定和动态绑定:
l 静态绑定:通过手工配置产生绑定表项来完成端口的控制功能,适用于局域网络中主机数较少或者需要为某台主机进行单独的绑定配置的情况;
l 动态绑定:通过自动获取DHCP Snooping或DHCP Relay的绑定表项来完成端口控制功能,适用于局域网络中主机较多,并且采用DHCP进行动态主机配置的情况,可有效防止IP地址冲突、盗用等问题。其原理是每当DHCP为用户分配一条表项时,动态绑定功能就相应地增加一条绑定表项以允许该用户访问网络。如果某个用户私自设置IP地址,会由于没有触发DHCP分配表项,导致动态绑定功能未增加相应的访问允许规则,使得该用户不能访问网络。
2/2 首页 上一页 1 2 |
