问一个交换机上IP源防护的问题

wangbin2010jy

我用了这个拓扑做一个交换机的IP源防护，发现没有效果。

S1是三层交换机，S2 、S3是普通二层交换机。我在S1上划分了VLAN 10 VLAN 20分别分配在e 0/0 e 0/1
我就用VLAN 20做源防护，配置如下
采用的是静态方式


然后在e 0/1接口下

ip verify source port-security (源IP MAC 验证）

接着我把原来的 192.168.20.2（VPC6）的电脑关机，把192.168.20.3(VPC 7) 修改成 192.168.20.2，发现还是可以VLAN 10的主机通信，说明并没有把虚假的地址（IP与MAC对应）的主机进行拦截。我这个实验是在模拟器上进行的，大神帮忙看看哪里错误了，谢谢！

h19

应该是你开启IP和MAC都认证需要开启DHCPsnooping的82选项才可以，你可以试试就验证IP地址

552451244

可以加群485416580，去交流，里面都是学习这方面的人，还有老师，有什么问题在群里提出来就可以了。

wangbin2010jy

h19 发表于 2018-11-2 14:57
应该是你开启IP和MAC都认证需要开启DHCPsnooping的82选项才可以，你可以试试就验证IP地址

好的，谢谢，我试一下