Настройка IP Source Guard на коммутаторах QSW-2850/3470/4610

IP Source Guard это механизм коммутатора, который ограничивает прохождение трафика через интерфейс коммутатора, если он не входит в таблицу привязок DHCP Snoping или не указан статически.

Для понимания, если у Вас настроен IP Source Guard то ПК не сможет взаимодействовать с сетью пока он не получит адрес по DHCP или его IP+MAC адрес не будет включен в статическую таблицу.

Настраивается IP Source Guard следующим образом

1) Нам необходимо настроить DHCP Snoping

Для этого в режиме конфигурации необходимо включить DHCP Snoping и указать доверенный интерфейс для DHCP Snooping trust

QSW-2850-28T-AC#config 
QSW-2850-28T-AC(config)#ip dhcp snooping enable
QSW-2850-28T-AC(config)#ip dhcp snooping vlan 10
QSW-2850-28T-AC(config)#ip dhcp snooping binding enable
QSW-2850-28T-AC(config)#vlan 1-4094 
QSW-2850-28T-AC(config)#Interface Ethernet1/0/1
QSW-2850-28T-AC(config-if-ethernet1/0/1)# switchport access vlan 10
Set the port Ethernet1/0/1 access vlan 10 successfully
QSW-2850-28T-AC(config)#Interface Ethernet1/0/24
QSW-2850-28T-AC(config-if-ethernet1/0/24)# switchport mode trunk
Set the port Ethernet1/0/24 mode Trunk successfully
QSW-2850-28T-AC(config-if-ethernet1/0/24)# ip dhcp snooping trust

После чего необходимо проверить работу DHCP Snooping, заполняется ли табличка соответствия. Сделать это можно введя команду.

show  ip dhcp snooping binding all 

Если все работает, то можно приступать непосредственно к настройке IP Source Guard. Иначе трафик проходящий через коммутатор в выбранных портах будет заблокирован.

QSW-2850-28T-AC#config 
QSW-2850-28T-AC(config)#Interface Ethernet1/0/1
QSW-2850-28T-AC(config-if-ethernet1/0/1)#ip dhcp snooping binding user-control

IP Source Guard может применяться как на access порты к абонентам, так и на trunk.
Но при использовании на Trunk порту может возникнуть ситуация, при которой, на части Vlan будет требоваться использовать IP Soure Guard, а на части нет.
Для этого в команде на порту необходимо перечислить все Vlan на которых IP Source Guard должен работать

QSW-2850-28T-AC(config-if-ethernet1/0/26)#switchport mode  trunk 
Set the port Ethernet1/0/26 mode Trunk successfully
QSW-2850-28T-AC(config-if-ethernet1/0/26)#ip dhcp snooping binding user-control vlan 10,15

Так же, в случае когда за контролируемым портом есть хост статическим IP, бывает необходимо задать его вручную. Делается это следующей командой.

QSW-2850-28T-AC(config)#ip dhcp snooping binding user 54-ab-3a-f7-0d-cf address 10.10.254.7 vlan 10 interface Ethernet1/0/1

То есть

 ip dhcp snooping binding user (MAC Устройства ) address  (IP адрес хоста) vlan Номер Vlan interface  (Указание интерфейса за которым находится хост)