开启Cisco交换机IP Source Guard功能

gdx

　　一、IP地址盗用
　　IP地址的盗用方法多种多样，其常用方法主要有以下几种：
　　1、静态修改IP地址
　　对于任何一个TCP/IP实现来说，IP地址都是其用户配置的必选项。如果用户在配置TCP/IP或修改TCP/IP配置时，使用的不是授     权分配的IP地址，就形成了IP地址盗用。由于IP地址是一个逻辑地址，因此无法限制用户对于其主机IP地址的静态修改。
　　2、成对修改IP-MAC地址
　　对于静态修改IP地址的问题，现在很多单位都采用IP与MAC绑定技术加以解决。针对绑定技术，IP盗用技术又有了新的发展，即成对修改  IP-MAC地址。现在的一些兼容网卡，其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的  IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址，其同样可以接入网络。
　　另外，对于那些MAC地址不能直接修改的网卡来说，用户还可以采用软件的办法来修改MAC地址，即通过修改底层网络软件达到欺骗上层网络软件的目的。
　　3、动态修改IP地址
　　某些***程序在网络上收发数据包，可以绕过上层网络软件，动态修改自己的 IP地址（或IP-MAC地址对），以达到IP欺骗。
　　二、IP Source Guard技术介绍
　　IP源防护（IP Source  Guard，简称IPSG）是一种基于IP/MAC的端口流量过滤技术，它可以防止局域网内的IP地址欺骗***。IPSG能够确保第2层网络中终端设备的 IP地址不会被劫持，而且还能确保非授权设备不能通过自己指定IP地址的方式来访问网络或***网络导致网络崩溃及瘫痪。
　　交换机内部有一个IP源绑定表（IP Source Binding Table）作为每个端口接受到的数据包的检测标准，只有在两种情况下，交换机会转发数据：
　　所接收到的IP包满足IP源绑定表中Port/IP/MAC的对应关系
　　所接收到的是DHCP数据包
　　其余数据包将被交换机做丢弃处理。
　　IP源绑定表可以由用户在交换机上静态添加，或者由交换机从DHCP监听绑定表（DHCP Snooping Binding Table）自动学习获得。 静态配置是一种简单而固定的方式，但灵活性很差，因此Cisco建议用户最好结合DHCP Snooping技术使用IP Source Guard，由DHCP监听绑定表生成IP源绑定表。
　　以DHCP Snooping技术为前提讲一下IP Source Guard技术的原理。  在这种环境下，连接在交换机上的所有PC都配置为动态获取IP地址，PC作为DHCP客户端通过广播发送DHCP请求，DHCP服务器将含有IP地址信息 的DHCP回复通过单播的方式发送给DHCP客户端，交换机从DHCP报文中提取关键信息（包括IP地址，MAC地址，vlan号，端口号，租期等），并 把这些信息保存到 DHCP 监听绑定表中。（以上这个过程是由DHCP Snooping完成的）
　　接下来的由IP  Source  Guard完成。交换机根据DHCP监听绑定表的内容自动生成IP源绑定表，然后IOS根据IP源绑定表里面的内容自动在接口加载基于端口的VLAN  ACL（PVACL），由该ACL（可以称之为源IP地址过滤器）来过滤所有IP流量。客户端发送的IP数据包中，只有其源IP地址满足源IP绑定表才会 被发送，对于具有源IP绑定表之外的其他源IP地址的流量，都将被过滤。
　　PC没有发送DHCP请求时，其连接的交换机端口默认拒绝除了DHCP请求之外的所有数据包，因此PC使用静态IP是无法连接网络的（除非已经存在绑定好的源IP绑定条目，如静态源IP绑定条目或者是之前已经生成的动态IP绑定条目还没过期，而且PC还必须插在正确的端口并设置正确的静态IP地址）。
　　IP源防护只支持第2层端口，其中包括接入（access）端口和干道（trunk）接口。IP源防护的信任端口/非信任端口也就是DHCP监听的信任端口/非信任端口。对于非信任端口存在以下两种级别的IP流量安全过滤：
　　源IP地址过滤： 根据源IP地址对IP流量进行过滤，只有当源IP地址与IP源绑定条目匹配，IP流量才允许通过。当端口创建、 修改、  删除新的IP源绑定条目的时候，IP源地址过滤器将发生变化。为了能够反映IP源绑定的变更，端口PACL将被重新修改并重新应用到端口上。  默认情况下，如果端口在没有存在IP源绑定条目的情况下启用了IP源防护功能，默认的PACL将拒绝端口的所有流量（实际上是除  DHCP报文以外的所有IP流量）。
　　源IP和源MAC地址过滤：根据源IP地址和源MAC地址对IP 流量进行过滤，只有当源IP地址和源MAC地址都与IP源绑定条目匹配，IP流量才允许通过。当以IP和MAC地址作为过滤的时候，为了确保DHCP协议 能够正常的工作，还必须启用DHCP监听选项82。  对于没有选项82的数据，交换机不能确定用于转发DHCP服务器响应的客户端主机端口。相反地，DHCP服务器响应将被丢弃，客户机也不能获得IP地址。
　　注：交换机使用端口安全（Port Security）来过滤源MAC地址。
　　当交换机只使用“IP源地址过滤”时，IP源防护功能与端口安全功能是相互独立的关系。 端口安全是否开启对于IP源防护功能来说不是必须的。  如果同时开启，则两者也只是一种宽松的合作关系，IP源防护防止IP地址欺骗，端口安全防止MAC地址欺骗。而当交换机使用“源IP和源MAC地址过滤” 时，IP源防护功能与端口安全功能是就变成了一种“集成”关系，更确切的说是端口安全功能被集成到  IP源防护功能里，作为IP源防护的一个必须的组成部分。
　　在这种模式下，端口安全的违规处理（violation）功能将被关闭。对于非法的二层报文，都将只是被简单的丢弃，而不会再执行端口安全的违规处理了。 IP源防护功能不能防止客户端PC的ARP***。ARP***问题必须由DAI功能来解决。如果要支持IP源防护功能，必须是35系列及以上的交换机。 2960目前不支持该功能。
　　三、IP Source Guard的配置(IPSG配置前必须先配置ip dhcp snooping）
　　Switch(config-if)# ip verify source
　　Switch(config-if)#ip verify source vlan dhcp-snooping //接口级命令；在该接口下开启IP源防护功能
　　说明：
　　I、这两条语句的作用是一样的，不同的是：
　　ip verify source是35系列交换机的命令
　　ip verify source vlan dhcp-snooping是45/65系列交换机以及76系列路由器的命令
　　II、这两条命令后还有个参数port-security，即命令：
　　Switch (config-if)#ip verify source port-security
　　Switch (config-if)#ip verify source vlan dhcp-snooping port-security
　　不加port-security参数，表示IP源防护功能只执行“源IP地址过滤”模式
　　加上port-security参数以后，就表示IP源防护功能执行“源IP和源MAC地址过滤”模式
　　另外，在执行这两条命令之前需要先执行switchport port-security命令。
　　III、当执行“源IP和源MAC地址过滤”模式时，还可以通过以下命令限制非法MAC包的速度
　　Switch (config-if)#switchport port-security limit rate invalid-source-mac 50
　　//接口级命令；限制非法二层报文的速度为每秒50个；可以用参数none表示不限制
　　//只在“源IP和源MAC地址过滤”模式下有效，并且只有45系列及以上才支持该命令；
　　IV、 另外，在发生IP地址欺骗时，35/45系列交换机不会提供任何报错信息，只是丢弃数据报文；而65系列交换机会发出IP地址违背的报错信息。
　　添加一条静态IP源绑定条目：
　　Switch (config)#ip source binding 000f.1fc5.1008 vlan 10 192.168.10.131 interface fa0/2
　　//全局命令；对应关系为：vlan10 - 000f.1f05.1008 - 192.168.10.131 - fa0/2
　　四、显示IP Source Guard的状态
　　Switch#show ip source binding                //显示当前的IP源绑定表
　　Switch#show ip verify source                //显示当前的IP源地址过滤器的实际工作状态
五、IP Source Guard实例　　1、单交换机环境（所有主机位于同一个VLAN）

　　环境：
　　DHCP服务器和PC客户端都位于vlan 10
　　DHCP服务器的MAC为000B.DB47.36EF，需要静态分配IP地址192.168.10.2，接在fa0/1
　　特殊应用服务器MAC为0016.D49F.4866，需要静态分配IP地址192.168.10.3，接在fa0/2
　　客户端PC的MAC为000F.1FC5.1008，通过DHCP动态获得地址，接在fa0/3
　　交换机为3560，Vlan 10的网关为192.168.10.1
　　当前相关配置如下：
　　ip dhcp snooping vlan 10
　　ip dhcp snooping
　　!
　　interface FastEthernet0/1
　　description : Connect to Win2003 DHCP Server
　　switchport access vlan 10
　　switchport mode access
　　spanning-tree portfast
　　ip verify source
　　ip dhcp snooping trust
　　!
　　interface FastEthernet0/2
　　switchport access vlan 10
　　switchport mode access
　　spanning-tree portfast
　　ip verify source
　　ip dhcp snooping limit rate 15
　　!
　　interface FastEthernet0/3
　　switchport access vlan 10
　　switchport mode access
　　spanning-tree portfast
　　ip verify source
　　ip dhcp snooping limit rate 15
　　!
　　interface Vlan10
　　ip address 192.168.10.1 255.255.255.0
　　测试步骤：
　　1、初始状态：交换机当前已经配置好DHCP Snooping和端口的IP Source  Guard（具体配置如上所示），但还没有添加DHCP服务器和特殊应用服务器的静态源IP绑定条目；并且DHCP服务器，特殊应用服务器和客户端PC都 还没有连接到交换机，即交换机端口处于down状态
　　显示工作状态：

　　Switch#show ip dhcp snooping binding
　　MacAddress         IpAddress       Lease(sec)    Type            VLAN    Interface
　　------------------     ---------------    ----------       -------------     ----        --------------------
　　Total number of bindings: 0
　　当前没有任何DHCP监听绑定条目
　　Switch#show ip source binding
　　MacAddress        IpAddress       Lease(sec)    Type             VLAN   Interface
　　------------------    ---------------    ----------       -------------     ----        --------------------
　　Total number of bindings: 0
　　当前也没有任何IP源绑定条目
　　Switch#show ip verify source
　　Interface  Filter-type   Filter-mode       IP-address        Mac-address      Vlan
　　---------   -----------      -----------           ---------------     -----------------    ----------
　　Fa0/1      ip                 inactive-trust-port
　　Fa0/2      ip                 inactive-no-snooping-vlan
　　Fa0/3      ip                 inactive-no-snooping-vlan

　　由于当前这三个端口都是down的，所以IP源地址过滤器显示工作状态为非激活
　　注意当前“Filter-type”列里的“ip”说明当前是“源IP地址过滤”模式；
　　如果显示的是“ip-mac”则说明是“源IP和源MAC地址过滤”模式。
　　2、将DHCP服务器接上交换机的fa0/1口；特殊应用服务器接在fa0/2上；确定端口这两端口为up状态

　　Switch#show ip dhcp snooping binding
　　MacAddress        IpAddress        Lease(sec)    Type            VLAN    Interface
　　------------------    ---------------    ----------        -------------     ----        --------------------
　　Total number of bindings: 0
　　由于两台服务器都是静态指定IP地址，所以当前没有任何DHCP监听绑定条目
　　Switch#show ip source binding
　　MacAddress        IpAddress        Lease(sec)   Type            VLAN    Interface
　　------------------    ---------------    ----------        -------------     ----       --------------------
　　Total number of bindings: 0
　　//IP源绑定表没有任何条目，因为两服务器的静态IP源绑定条目还未添加
　　Switch#show ip verify source
　　Interface    Filter-type   Filter-mode     IP-address       Mac-address      Vlan
　　---------     -----------      -----------         ---------------    -----------------    ----------
　　Fa0/1        ip                 inactive-trust-port
　　Fa0/2        ip                 active              deny-all                                      10
　　Fa0/3        ip                 inactive-no-snooping-vlan

　　两台服务器接上以后，在IP源地址过滤器里结果却是不一样的
　　fa0/1还是为非激活状态，是由于该端口是DHCP监听的信任端口
　　fa0/2为激活状态，但却是拒绝所有IP流量（虽然这么显示，不过DHCP请求是可以通过的）
　　说明IP源绑定对于DHCP监听的信任端口和非信任端口的处理方式是不一样的。
　　此时在交换机上ping DHCP服务器的IP地址：

　　Switch#ping 192.168.10.2
　　Type escape sequence to abort.
　　Sending 5, 100-byte ICMP Echos to 192.168.10.2, timeout is 2 seconds:
　　!!!!!
　　Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
　　可以ping通

　　再ping特殊应用服务器的IP地址：

　　Switch#ping 192.168.10.3
　　Type escape sequence to abort.
　　Sending 5, 100-byte ICMP Echos to 192.168.10.3, timeout is 2 seconds:
　　.....
　　Success rate is 0 percent (0/5)
　　可以看到无法ping通

3、添加这两台服务器的静态IP源绑定条目

　　ip source binding 000B.DB47.36EF vlan 10 192.168.10.2 interface fa0/1
　　ip source binding 0016.D49F.4866 vlan 10 192.168.10.3 interface fa0/2
　　Switch#show ip dhcp snooping binding
　　MacAddress             IpAddress        Lease(sec)      Type            VLAN      Interface
　　------------------         ---------------    ----------           -------------    ----         --------------------
　　Total number of bindings: 0
　　//由于两台服务器都是静态指定IP地址，所以当前没有任何DHCP监听绑定条目
　　Switch#show ip source binding
　　MacAddress                IpAddress        Lease(sec)    Type            VLAN      Interface
　　------------------            ---------------     ----------       -------------      ----        --------------------
　　00:0B:DB:47:36:EF   192.168.10.2     infinite         static                10        FastEthernet0/1
　　00:16:D4:9F:48:66     192.168.10.3     infinite         static                10        FastEthernet0/2

　　可以看到手工添加的两条静态条目已经存在了，其租约为infinite，类型为静态；另外，很明显该条目不是从DHCP监听绑定表中学习到的。
　　Switch#show ip verify source
　　Interface  Filter-type   Filter-mode      IP-address       Mac-address       Vlan
　　---------   -----------       -----------          ---------------    -----------------    ----------
　　Fa0/1      ip                   inactive-trust-port
　　Fa0/2      ip                   active              192.168.10.3                               10
　　Fa0/3      ip                   inactive-no-snooping-vlan
　　此时 IP 源地址过滤器里的 fa0/1 没有任何变化，而 fa0/2 由于在 IP 源绑定表里有了该条目，现已允许192.168.10.3这个地址通过了
　　再次ping特殊应用服务器的IP地址

　　再次ping特殊应用服务器的IP地址
　　Switch#ping 192.168.10.3
　　Type escape sequence to abort.
　　Sending 5, 100-byte ICMP Echos to 192.168.10.3, timeout is 2 seconds:
　　!!!!!
　　Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
　　现在可以ping通了

　　小结，以上结果说明：
　　IP源防护只针对非信任端口起作用，对信任端口不起作用。所以不需要为接在信任端口上的主机添加静态IP源绑定，其依然可以正常通信
　　IP源绑定能阻止非信任端口上的客户端以静态指定IP地址的方式接入网络。 这些客户端将无法通信，除非为其手工添加静态IP源绑定条目。
　　4、将PC客户端设置为动态获得IP地址，接在fa0/3，确定端口处于up状态
　　Switch#show ip dhcp snooping binding
　　MacAddress                IpAddress        Lease(sec)    Type                 VLAN     Interface
　　------------------            ---------------     ----------       -------------          ----        --------------------
　　00:0F:1F:C5:10:08     192.168.10.4     691867        dhcp-snooping    10         FastEthernet0/3
　　Total number of bindings: 1
　　客户端PC通过DHCP方式获得了一个地址192.168.10.4；DHCP监听表里产生了该客户端的监听条目
　　Switch#show ip source binding
　　MacAddress                IpAddress        Lease(sec)    Type                 VLAN      Interface
　　------------------            ---------------     ----------       -------------           ----        --------------------
　　00:0B:DB:47:36:EF    192.168.10.2     infinite        static                    10         FastEthernet0/1
　　00:16:D4:9F:48:66      192.168.10.3     infinite        static                    10         FastEthernet0/2
　　00:0F:1F:C5:10:08      192.168.10.4     691550       dhcp-snooping     10         FastEthernet0/3
　　//此时IP源绑定表根据DHCP监听绑定表里的条目自动生成了相应的条目
　　Switch#show ip verify source
　　Interface  Filter-type    Filter-mode    IP-address       Mac-address     Vlan
　　---------   -----------       -----------         ---------------   -----------------   ----------
　　Fa0/1      ip                   inactive-trust-port
　　Fa0/2      ip                   active             192.168.10.3                             10
　　Fa0/3      ip                   active             192.168.10.4                             10
　　IP源地址过滤器根据IP源绑定表里的条目允许192.168.10.4这个IP地址的流量从fa0/3通过
　　说明：
　　如果PC客户端此时更换了交换机端口，由于客户端会再次发起DHCP请求，这将会引起交换机更新DHCP监听条目。DHCP监听条目的更新会导致IP源绑定条目的更新，所以IP源地址过滤器也将随着更新，以适应PC客户端的实际情况。
　　如果PC客户端不更换端口，但要改成静态IP地址，它只能改成与动态获得的IP地址一样的IP地址，这一举动是可行的。但客户端不再会发出DHCP请求来更新租约，因此随着DHCP监听条目超时后，还是会被阻止通信。
　　客户端不更换端口，但更改为与动态获得的IP地址不一样的静态IP地址，或者更改为同样的静态IP但接在了不一样的端口上，都将会立即被阻止通信。
　　最终配置：
　　ip dhcp snooping vlan 10
　　ip dhcp snooping
　　!
　　interface FastEthernet0/1
　　switchport access vlan 10
　　switchport mode access
　　spanning-tree portfast
　　ip dhcp snooping trust
　　!
　　interface FastEthernet0/2
　　switchport access vlan 10
　　switchport mode access
　　spanning-tree portfast
　　ip verify source
　　ip dhcp snooping limit rate 15
　　!
　　interface FastEthernet0/3
　　switchport access vlan 10
　　switchport mode access
　　spanning-tree portfast
　　ip verify source
　　ip dhcp snooping limit rate 15
　　!
　　interface Vlan10
　　ip address 192.168.10.1 255.255.255.0
　　!
　　ip source binding 0016.d49f.4866 vlan 10 192.168.10.3 interface fa0/2
2、单交换机环境（所有主机位于同一个VLAN）

　　环境：
　　PC1和PC2都位于vlan10；没有DHCP服务器
　　PC1的MAC为000F.1FC5.1008，配置静态IP地址192.168.10.1，接在fa0/1
　　PC2的MAC为0016.D49F.4866，配置静态IP地址192.168.10.2，接在fa0/2
　　interface FastEthernet0/1
　　description : Connect to PC1
　　switchport access vlan 10
　　switchport mode access
　　spanning-tree portfast
　　ip verify source
　　!
　　interface FastEthernet0/2
　　description : Connect to PC2
　　switchport access vlan 10
　　switchport mode access
　　spanning-tree portfast
　　ip verify source
　　!
　　ip source binding 000f.1fc5.1008 vlan 10 192.168.10.1 interface fa0/1
　　ip source binding 0016.d49f.4866 vlan 10 192.168.10.2 interface fa0/2
　　说明：本例是一个纯粹的静态环境，通过手工添加IP源绑定条目实现PC1和PC2互通。可以看出静态IP源绑定不需要交换机同时启用DHCP Snooping功能
　　3、单交换机环境（所有主机位于同一VLAN）

　　环境：
　　Cisco IOS DHCP服务器（2821路由器，IOS版本为12.4）和PC客户端都位于vlan 10
　　路由器接在交换机的fa0/1
　　客户端接在fa0/2
　　3560交换机相关配置：
　　ip dhcp snooping vlan 10
　　ip dhcp snooping
　　!
　　interface FastEthernet0/1
　　description : Connect to IOS DHCP Server C2821_Gi0/0
　　switchport access vlan 10
　　switchport mode access
　　spanning-tree portfast
　　ip dhcp snooping trust
　　!
　　interface FastEthernet0/2
　　description : Connect to PC
　　switchport access vlan 10
　　switchport mode access
　　switchport port-security
　　spanning-tree portfast
　　ip verify source port-security
　　ip dhcp snooping limit rate 15
　　2821路由器相关配置：
　　ip dhcp excluded-address 192.168.10.1 192.168.10.2
　　!
　　ip dhcp pool test
　　network 192.168.10.0 255.255.255.0
　　default-router 192.168.10.1
　　lease 8
　　!
　　interface GigabitEthernet0/0
　　description : Connect to C3560_Fa0/1

　　ip dhcp>　　ip address 192.168.10.2 255.255.255.0
　　说明：本例中采用“源IP和源MAC地址过滤”模式，采用该模式需要注意以下三点：
　　（1）交换机必须对客户端的DHCP请求插入选项82信息，即必须配置ip dhcp snooping information  option命令（默认即为开启）。对于没有插入选项82的DHCP请求，交换机不能确定用于转发DHCP服务器响应的客户端主机端口。相反地，DHCP 服务器响应将被丢弃，客户机也不能获得IP地址。
　　实验过程：通过在3560上配置no ip dhcp snooping information option命令，不再对客户端的DHCP请求插入选项82。 通过在客户端（Windows XP）上执行ipconfig /release和ipconfig /renew重新发起DHCP请求过程。结果是客户端无法获得IP地址。参考交换机上的DHCP Snooping的debug过程可以得到如下信息：
　　00:20:02: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet0/1)
　　00:20:02:  DHCP_SNOOPING:  process new DHCP packet,  message  type:  DHCPOFFER,    input   interface: Fa0/1,  MAC da:   ffff.ffff.ffff,  MAC   sa: 0009.b7da.f108,   IP da:  255.255.255.255,   IP  sa:  192.168.10.2,   DHCP ciaddr:   0.0.0.0,  DHCP  yiaddr:   192.168.10.3,  DHCP  siaddr:    0.0.0.0,  DHCP  giaddr:   0.0.0.0,  DHCP  chaddr: 000f.1fc5.1008
　　00:20:02:  DHCP_SNOOPING_SW: client address lookup failed to locate client  interface, retry lookup using packet mac DA: ffff.ffff.ffff
　　00:20:02:  DHCP_SNOOPING_SW:   lookup   packet   destination   port   failed   to   get  mat   entry   for  mac: 000f.1fc5.1008
　　00:20:02: DHCP_SNOOPING: can't find output interface for dhcp reply. the message is dropped.
　　由以上调试信息可以看出从路由器过来的DHCP回复包因为找不到目标端口而被交换机丢弃了。
　　（2）所使用的DHCP服务器必须支持利用DHCP选项82分配IP地址的功能，否则客户端将无法获得IP地址（debug信息类似第（1）项所述）。像 Win2003，Cisco IOS  12.2等作为DHCP服务器时都不支持利用DHCP选项82来分配IP地址。本例中如果采用12.2版本的IOS，将出现客户端无法获得IP地址的情 况。

　　Cisco IOS从版本12.3（4）T 开始支持利用选项82分配IP地址。 最简单的方法，看IOS是否支持命令ip dhcp use>　　可以尝试在交换机上开启 DHCP Snooping 的 debug 过程，查看收到的 DHCP Offer 消息中有没有DHCP选项82信息的调试数据。如：
　　00:10:41: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet0/1)
　　00:10:41:  DHCP_SNOOPING:  process new DHCP packet,  message  type:  DHCPOFFER,    input   interface: Fa0/1,  MAC da:  000f.1fc5.1008,  MAC sa:   0019.e765.d3b0,   IP da:  192.168.10.3,   IP sa:  192.168.10.2,  DHCP  ciaddr:   0.0.0.0,  DHCP  yiaddr:   192.168.10.3,  DHCP  siaddr:    0.0.0.0,  DHCP  giaddr:   0.0.0.0,  DHCP  chaddr: 000f.1fc5.1008
　　00:10:41: DHCP_SNOOPING: binary dump of option 82, length: 20 data:0x52 0x12 0x1 0x6 0x0 0x4 0x0 0xA 0x0 0x2 0x2 0x8 0x0 0x6 0x0 0x12 0xDA 0x88 0x88 0x0

　　00:10:41: DHCP_SNOOPING: binary dump of extracted circuit>
　　00:10:41: DHCP_SNOOPING: binary dump of extracted remote>　　00:10:41: DHCP_SNOOPING_SW: opt82 data indicates local packet

　　00:10:41: DHCP_SNOOPING: remove>　　00:10:41: DHCP_SNOOPING: direct forward dhcp reply to output port: FastEthernet0/2.
　　（3）必须在端口下同时配置switchport port-security命令。 若没有该命令，本模式的最终效果与“源IP地址过滤”模式将相同。
　　实验过程：本例最初配置完成后，显示IP源地址过滤器的状态可以得到：
　　Switch#show ip verify source
　　Interface    Filter-type     Filter-mode    IP-address        Mac-address              Vlan
　　---------      -----------       -----------         ---------------    -----------------            ---------
　　Fa0/2         ip-mac          active              192.168.10.3    00:0F:1F:C5:10:08    10
　　然后去掉3560的fa0/2的switchport port-security命令以后，通过释放IP地址并重新发起DHCP请求获得IP地址以后，再次显示IP源地址过滤器的状态可以得到：
　　Switch#show ip verify source
　　Interface    Filter-type     Filter-mode    IP-address         Mac-address           Vlan
　　---------      -----------       -----------        ---------------      -----------------         ---------
　　Fa0/2         ip-mac          active              192.168.10.3     permit-all                10
　　此时的过滤表将允许任意MAC地址的数据包通过，只要其IP地址为192.168.10.3
　　4、多交换机环境（所有主机位于同一个VLAN）

　　环境：
　　3560本身作为DHCP服务器
　　客户端PC1和PC2都位于vlan 10
　　设备3560和2960通过Gi0/1互联
　　PC1的MAC为0009.B7DA.F108，接在2960的fa0/1
　　PC2的MAC为000F.1FC5.1008，接在2960的fa0/2
　　3560的相关配置如下：
　　ip dhcp excluded-address 192.168.10.1
　　!
　　ip dhcp pool test
　　network 192.168.10.0 255.255.255.0
　　default-router 192.168.10.1
　　lease 8
　　!
　　ip dhcp snooping vlan 10
　　ip dhcp snooping information option allow-untrusted
　　ip dhcp snooping
　　!
　　interface GigabitEthernet0/1
　　description : Connect to C2960_Gi0/1
　　switchport trunk encapsulation dot1q
　　switchport mode trunk
　　ip verify source
　　ip dhcp snooping limit rate 360
　　!
　　interface Vlan10
　　ip address 192.168.10.1 255.255.255.0
　　2960的相关配置如下：
　　ip dhcp snooping vlan 10
　　ip dhcp snooping
　　!
　　interface range FastEthernet0/1
　　description : Connect to PC1
　　switchport access vlan 10
　　switchport mode access
　　spanning-tree portfast
　　ip dhcp snooping limit rate 15
　　!
　　interface range FastEthernet0/2
　　description : Connect to PC2
　　switchport access vlan 10
　　switchport mode access
　　spanning-tree portfast
　　ip dhcp snooping limit rate 15
　　!
　　interface GigabitEthernet0/1
　　description : Connect to C3560_Gi0/1
　　switchport mode trunk
　　ip dhcp snooping trust
　　显示状态：
　　C3550#show ip dhcp snooping binding
　　MacAddress                IpAddress         Lease(sec)    Type                  VLAN     Interface
　　------------------            ---------------     ----------         -------------          ----        --------------------
　　00:0F:1F:C5:10:08     192.168.10.4     689699         dhcp-snooping    10         GigabitEthernet0/1
　　00:09:B7:DA:F1:08    192.168.10.3    688445         dhcp-snooping     10         GigabitEthernet0/1
　　C3550#show ip source binding
　　MacAddress                IpAddress         Lease(sec)    Type                  VLAN     Interface
　　------------------            ---------------     ----------         -------------          ----        --------------------
　　00:0F:1F:C5:10:08     192.168.10.4     689660         dhcp-snooping     10         GigabitEthernet0/1
　　00:09:B7:DA:F1:08    192.168.10.3    688407          dhcp-snooping     10        GigabitEthernet0/1
　　C3550#show ip verify source
　　Interface    Filter-type   Filter-mode   IP-address      Mac-address     Vlan
　　---------      -----------     -----------       ---------------   -----------------    --------
　　Gi0/1         ip                active            192.168.10.3                             10
　　Gi0/1         ip                active            192.168.10.4                             10
　　说明：本例中将IP源防护应用于3560下联的trunk接口上，该接口为非信任接口。由于2960没有IP源防护功能，所以从2960过来的数据报文是 有可能存在IP欺骗***的。在3560的trunk口上应用IP源防护将可以把***隔绝在这里，使受***的范围减小到最小。但由于  2960本身没有该功能，所以接在2960上的各个主机之间仍有可能存在***行为。
　　5、多交换机环境（所有主机位于同一VLAN）

　　环境：
　　4503交换机自身作为DHCP服务器
　　PC1和PC2都位于vlan 10；
　　PC1接4503的gi2/1口
　　PC2接3560的fa0/1口
　　两交换机互连口是4503 gi1/1 – 3560 gi0/1
　　4503交换机相关配置：
　　ip dhcp excluded-address 192.168.10.1
　　!
　　ip dhcp pool test
　　network 192.168.10.0 255.255.255.0
　　default-router 192.168.10.1
　　lease 8
　　!
　　ip dhcp snooping vlan 10
　　ip dhcp snooping
　　!
　　interface GigabitEthernet2/1
　　description : Connect to PC1
　　switchport access vlan 10
　　switchport mode access
　　spanning-tree portfast
　　ip verify source vlan dhcp-snooping
　　ip dhcp snooping limit rate 15
　　!
　　interface GigabitEthernet1/1
　　description : Connect to C3560_Gi0/1
　　switchport trunk encapsulation dot1q
　　switchport mode trunk
　　ip dhcp snooping trust
　　3560交换机相关配置：
　　ip dhcp snooping vlan 10
　　ip dhcp snooping
　　interface FastEthernet0/1
　　description : Connect to PC2
　　switchport access vlan 10
　　switchport mode access
　　spanning-tree portfast
　　ip verify source
　　ip dhcp snooping limit rate 15
　　！
　　interface GigabitEthernet0/1
　　description : Connect to C4503_Gi1/1
　　switchport trunk encapsulation dot1q
　　switchport mode trunk
　　ip dhcp snooping trust