以太网是通过IP标识终端并进行通信的。终端配置IP一般有两种方式，手工配置静态IP地址和自动获取IP地址两种方式。

       一、终端配置静态IP地址

       终端通过手工配置IP地址接入网络时，我们可以通过在交换机配置IP Source Guard，对源IP、源MAC地址和接入VLAN任意绑定组合检查的方式防止基于源地址欺骗的非法接入行为。组网如下图所示：

       基本配置如下：

       [Switch] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface gigabitethernet 0/0/1 vlan 10 //全局绑定表项

       [Switch] interface gigabitethernet 0/0/1

       [Switch-GigabitEthernet0/0/1] ip source check user-bind enable //端口下使能IPSG

       二、终端通过DHCP自动获取IP地址

       自动获取IP地址的情况下，交换机设备无法区分合法和非法终端，可在DHCP服务器上对合法终端进行DHCP静态绑定，使非法终端无法获取IP地址。终端自动获取IP地址组网如图所示：

       基本配置如下（DHCP服务器配置略）：

       [Switch] dhcp enable //使能dhcp服务

       [Switch] dhcp snooping enable //全局使能dhcp-snooing功能

       [Switch] vlan 10

       [Switch-vlan10] dhcp snooping enable //vlan使能dhcp-snooping功能

       [Switch-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/3 //配置dhcp-snooping信任端口

       [Switch-vlan10] ip source check user-bind enable //使能IPSG检查

       三、配合终端准入系统实现用户接入管理

       接入交换机和终端数量较多时，配置费时费力，而且配置错误会导致合法终端无法接入网络。所以中、大规模网络准入控制场景下，最好部署准入控制系统，可实现有线、无线、哑终端等设备的网络准入控制统一管理、终端自动绑定和网络权限控制等功能。

       除做好网络准入控制外，对于交换机上不用的端口，应及时关闭，切断未经授权的用户接入网络的途径。