通过IP Source Guard绑定功能，可以对端口转发的报文进行过滤控制，防止非法报文通过端口，从而限制了对网络资源的非法使用（比如非法主机仿冒合法用户IP接入网络），提高了端口的安全性。

如果一个设备（交换机/路由器）的端口配置了IP Source Guard，则当报文到达该端口时，设备会检查IP Source Guard的表项，符合表项的报文则可以转发或者进入后续流程，不符合表项的报文将被丢弃。绑定功能是针对端口的，一个端口被绑定后，仅该端口被限制，其他端口不受该绑定影响。

IP Source Guard的匹配条件有：源IP地址、源MAC地址、VLAN标签。在不同的设备上，支持的组合方式不同，大体的组合方式有：

1.IP、MAC、IP+MAC

2.IP+VLAN、MAC+VLAN、IP+MAC+VLAN

事实上，用户可以通过配置ACL规则来实现IP Source Guard功能，有些交换机的厂商就是通过ACL来实现IP Source Guard功能的。

1.静态绑定：通过手动配置IP Source Guard，同时绑定至端口上。这种绑定方式适用于局域网中主机数目较少，或者需要针对局域网中某台特定的机器进行绑定操作。

2.动态绑定：通过自动获取DHCP Snooping或DHCP Relay的绑定表项来完成端口控制功能。该绑定方法适用于局域网络中主机较多，并且采用DHCP进行动态主机配置的情况，可有效防止IP地址冲突、盗用等问题。其原理是每当DHCP为用户分配一条表项时，动态绑定功能就相应地增加一条绑定表项以允许该用户访问网络。如果某个用户私自设置IP地址，会由于没有触发DHCP分配表项，导致动态绑定功能未增加相应的访问允许规则，使得该用户不能访问网络。