===== IP Source Guard =====
Slouží k ochraně před IP spoofing útoky, tzn. útočník uvádí falešnou zdrojovou IP adresu. Může použít IP nějakého uživatele nebo nepoužitou IP daného subnetu. Většinou se tohoto využívá v případě DoS útoků, k zamaskování zdroje tohoto útoku.

Switch musí mít možnost zjistit která MAC adr. náleží ke které IP adr.
Využívá DHCP snooping databáze a statických IP source binding záznamů.

Pakety přicházejcí na port mohou být testovány jednou z možností:
  - Zdrojová IP se musí rovnat IP adr. v DHCP snooping databázi nebo statickému záznamu, k fitrování provozu je automaticky vytvořen dynamický ACL a aplikován na interface.
  - Zdrojová MAC se musí rovnat MAC zjištěné DHCP snoopingem, na portu je použito port-security
Pokud adresa nesouhlasí je paket zahozen. Pro Source Guard je třeba nejdřív zapnout DHCP Snooping, popř. Port-Security, chceme-li kontrolovat zdrojové MAC adresy.

Pro hosty se statickou IP je možno vložit záznam IP Source Binding ručně:
  * Switch(config)# **ip source binding** //mac-address// **vlan** //vlan-id ip-address// **interface** //type mod/num//
Zapnutí Source Guardu na int.:
  * Switch(config)# **interface** //type mod/num//
  * Switch(config-if)# **ip verify source [port-security]**
    * //ip verify source => prověřuje se jen zdrojová IP adresa//
    * //ip verify source port-security => prověřuje se zdrojová IP i MAC adresa//
Source Guard status:
  * Switch# **show ip verify source [interface** //type mod/num//**]**
Výpis stat./dyn. záznamů z DHCP Snooping databáze:
  * Switch# **show ip source bindng** //[ip-address] [mac-address]// **[dhcp-snooping | static] [interface** //type mod/num//**] [vlan** //vlan-id//**]**