IP Source Guard

如果一個設備（交換機/路由器）的端口配置了IP Source Guard，則當報文到達該端口時，設備會檢查IP Source Guard的表項，符合表項的報文則可以轉發或者進入後續流程，不符合表項的報文將被丟棄。綁定功能是針對端口的，一個端口被綁定後，僅該端口被限制，其他端口不受該綁定影響。

IP Source Guard的匹配條件有：源IP地址、源MAC地址、VLAN標籤。在不同的設備上，支持的組合方式不同，大體的組合方式有：

1.IP、MAC、IP+MAC

2.IP+VLAN、MAC+VLAN、IP+MAC+VLAN

事實上，用户可以通過配置ACL規則來實現IP Source Guard功能，有些交換機的廠商就是通過ACL來實現IP Source Guard功能的。

1.靜態綁定：通過手動配置IP Source Guard，同時綁定至端口上。這種綁定方式適用於局域網中主機數目較少，或者需要針對局域網中某台特定的機器進行綁定操作。

2.動態綁定：通過自動獲取DHCP Snooping或DHCP Relay的綁定表項來完成端口控制功能。該綁定方法適用於局域網絡中主機較多，並且採用DHCP進行動態主機配置的情況，可有效防止IP地址衝突、盜用等問題。其原理是每當DHCP為用户分配一條表項時，動態綁定功能就相應地增加一條綁定表項以允許該用户訪問網絡。如果某個用户私自設置IP地址，會由於沒有觸發DHCP分配表項，導致動態綁定功能未增加相應的訪問允許規則，使得該用户不能訪問網絡。