IP Source Guard

如果一個設備（交換機/路由器）的埠配置了IP Source Guard，則當報文到達該埠時，設備會檢查IP Source Guard的表項，符合表項的報文則可以轉發或者進入後續流程，不符合表項的報文將被丟棄。綁定功能是針對埠的，一個埠被綁定后，僅該埠被限制，其他埠不受該綁定影響。

IP Source Guard的匹配條件有：源IP地址、源MAC地址、VLAN標籤。在不同的設備上，支持的組合方式不同，大體的組合方式有：

1.IP、MAC、IP+MAC

2.IP+VLAN、MAC+VLAN、IP+MAC+VLAN

事實上，用戶可以通過配置ACL規則來實現IP Source Guard功能，有些交換機的廠商就是通過ACL來實現IP Source Guard功能的。

1.靜態綁定：通過手動配置IP Source Guard，同時綁定至埠上。這種綁定方式適用於區域網中主機數目較少，或者需要針對區域網中某台特定的機器進行綁定操作。

2.動態綁定：通過自動獲取DHCP Snooping或DHCP Relay的綁定表項來完成埠控制功能。該綁定方法適用於區域網路中主機較多，並且採用DHCP進行動態主機配置的情況，可有效防止IP地址衝突、盜用等問題。其原理是每當DHCP為用戶分配一條表項時，動態綁定功能就相應地增加一條綁定表項以允許該用戶訪問網路。如果某個用戶私自設置IP地址，會由於沒有觸發DHCP分配表項，導致動態綁定功能未增加相應的訪問允許規則，使得該用戶不能訪問網路。