交换机作为最常用的网络设备，具有简单、低价、高端口密度、高性能等优点，承担着终端接入、流量汇聚和转发、隔离控制等功能。但是，由于以太网交换机不对接入用户进行合法性验证，所以存在未经授权的用户接入交换机访问网络的风险。

以太网是通过IP标识终端并进行通信的。终端配置IP一般有两种方式，手工配置静态IP地址和自动获取IP地址两种方式。

一、终端配置静态IP地址

终端通过手工配置IP地址接入网络时，我们可以通过在交换机配置IP Source Guard，对源IP、源MAC地址和接入VLAN任意绑定组合检查的方式防止基于源地址欺骗的非法接入行为。组网如下图所示：

基本配置如下：

[Switch] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface gigabitethernet 0/0/1 vlan 10 //全局绑定表项

[Switch] interface gigabitethernet 0/0/1

[Switch-GigabitEthernet0/0/1] ip source check user-bind enable //端口下使能IPSG

二、终端通过DHCP自动获取IP地址

自动获取IP地址的情况下，交换机设备无法区分合法和非法终端，可在DHCP服务器上对合法终端进行DHCP静态绑定，使非法终端无法获取IP地址。终端自动获取IP地址组网如图所示：

基本配置如下（DHCP服务器配置略）：

[Switch] dhcp enable //使能dhcp服务

[Switch] dhcp snooping enable //全局使能dhcp-snooing功能

[Switch] vlan 10

[Switch-vlan10] dhcp snooping enable //vlan使能dhcp-snooping功能

[Switch-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/3 //配置dhcp-snooping信任端口

[Switch-vlan10] ip source check user-bind enable //使能IPSG检查

三、配合终端准入系统实现用户接入管理

接入交换机和终端数量较多时，配置费时费力，而且配置错误会导致合法终端无法接入网络。所以中、大规模网络准入控制场景下，最好部署准入控制系统，可实现有线、无线、哑终端等设备的网络准入控制统一管理、终端自动绑定和网络权限控制等功能。

除做好网络准入控制外，对于交换机上不用的端口，应及时关闭，切断未经授权的用户接入网络的途径。