交换机开启IP Source Guard功能问题

交换机 IP Source Guard 全局接口部署、放行 AP 管理 VLAN 完整方案
核心前提说明
IP Source Guard（IPSG）仅支持在物理接入接口下配置，不支持 VLAN 全局下发，你无法在 VLAN 视图开关该功能；
IPSG 匹配逻辑：接口收到报文，对比接口绑定的静态 / 动态 IP-MAC 表，不匹配直接丢弃。
AP 管理 VLAN 放行本质：让该 VLAN 内所有流量绕过 IPSG 校验，分 2 套落地方案（按项目推荐优先级）
方案一：基于 ACL 白名单全局放行 AP 管理网段（最优，批量接口统一放行）
原理
IPSG 支持绑定 ACL，ACL 中 permit AP 管理网段流量，该 VLAN 内所有报文直接跳过 IPSG 校验，无需逐个接口豁免。
适用：大量业务接入接口，统一放行同一个 AP 管理 VLAN。
完整配置步骤
定义 ACL，放行 AP 管理网段（示例 AP 管理 VLAN 99，网段 192.168.99.0/24）
bash
运行
system-view
acl advanced 4000
# 放行AP管理网段所有IP流量，绕过IPSG检测
rule permit ip source 192.168.99.0 0.0.0.255
# 其余业务网段执行正常IPSG校验
rule deny ip
接入接口开启 IPSG，绑定白名单 ACL（所有业务接入口统一模板）
bash
运行
interface range GigabitEthernet 1/0/1 to GigabitEthernet 1/0/24
port link-type access
port access vlan 10 # 业务VLAN
# 开启IPSG，绑定ACL 4000，ACL允许的流量跳过校验
ip source guard static acl 4000
# 配套DHCP Snooping动态绑定（如果用动态IPSG）
dhcp snooping ip-source-guard
生效逻辑
接口收到源 IP 属于192.168.99.0/24（AP 管理 VLAN）的报文：匹配 ACL permit，不校验 IP-MAC 绑定表，直接转发；
其余业务网段 IP：匹配 ACL deny，执行 IPSG 绑定校验，无匹配条目直接丢弃。
方案二：接口多 VLAN 场景，针对 AP 管理 VLAN 关闭接口下 IPSG 校验（Access/Trunk 通用）
场景 1：接口 Trunk 模式，同时承载业务 VLAN + AP 管理 VLAN
接口是 Trunk，放通业务 VLAN 10、AP 管理 VLAN 99，仅对 VLAN10 开启 IPSG，VLAN99 豁免。
bash
运行
interface GigabitEthernet 1/0/1
port link-type trunk
port trunk permit vlan 10 99
# 仅对VLAN10启用IPSG，VLAN99不受IPSG管控
ip source guard vlan 10 static
关键点：ip source guard vlan X 可指定仅在某个 VLAN 内生效 IPSG，未指定的 VLAN 自动豁免过滤，完美适配 AP 管理 VLAN 同 Trunk 透传场景。
场景 2：AP 单独接入接口，接口属于 AP 管理 VLAN
接口只跑 AP 管理 VLAN，直接不开启 ip source guard 即可天然豁免：
bash
运行
interface GigabitEthernet 1/0/24
port access vlan 99
# 不配置任何ip source guard命令，该接口所有流量无IPSG校验
方案三：DHCP Snooping 信任端口豁免（AP 上行 / AC 互联端口专用）
如果 AP、AC、DHCP 服务器上联交换机端口，直接配置 dhcp snooping trust，天然不受 IPSG 限制：
bash
运行
interface GigabitEthernet 1/0/24
dhcp snooping trust
# 信任端口不会生成绑定表，IPSG不会拦截信任端口下行AP流量
适用：AC、核心三层、DHCP 服务器互联端口，无需额外 ACL 即可放行 AP 管理流量。
四、三种方案选型区分
表格
方案 适用场景 优点
ACL 全局白名单 IPSG 绑定 几十上百个接入接口、统一放行同一个 AP 管理网段 批量配置，统一维护，新增接口直接复用 ACL
ip source guard vlan X 按 VLAN 生效 单接口 Trunk 透传业务 VLAN+AP 管理 VLAN 精准按 VLAN 隔离，无需 ACL，配置最简
DHCP Snooping 信任端口 AP/AC/ 三层设备上行互联口 底层信任转发，完全不参与 IPSG 校验
五、现场高频避坑要点
不要混淆：IPSG 只能在接口下配置，VLAN 视图无对应命令；
ACL 绑定 IPSG 时，permit 规则必须写源 IP（AP 管理网段），不能写目的 IP；
若同时使用动态 DHCP 绑定 + 静态 IPSG，ACL 白名单依然优先匹配，AP 流量不受绑定表限制；
验证豁免是否生效命令：
bash
运行
# 查看接口IPSG配置
display ip source guard interface GigabitEthernet 1/0/1
# 查看IPSG绑定表，AP管理网段IP不会生成绑定条目，代表豁免成功
display ip source guard binding
批量接口配置建议：用interface range批量下发 IPSG+ACL 模板，不用逐个接口配置，减少工作量。
最简实操推荐（90% 园区 AP 场景）
接入交换机业务口均为 Trunk，同时透传业务 VLAN 和 AP 管理 VLAN，直接用方案二：
bash
运行
interface range GigabitEthernet 1/0/1 to GigabitEthernet 1/0/48
port link-type trunk
port trunk permit vlan 10 99
ip source guard vlan 10 static
仅业务 VLAN10 开启 IPSG 校验，AP 管理 VLAN99 自动跳过过滤，一步批量完成所有接口配置。