7.14. Настройка защиты источника IP-адреса (IP source guard)

Назначение

Защита источника IP-адреса предотвращает подмену IP-адресов, разрешая использовать на определенном порте только IP-адреса, полученные с помощью DHCP snooping.

Описание

Изначально весь IP-трафик на порту блокируется, за исключением пакетов DHCP, которые перехватываются DHCP snooping. Когда клиент получает действительный IP-адрес от DHCP-сервера, на порте устанавливается список контроля доступа (ACL), разрешающий трафик с этого IP-адреса. Этот процесс ограничивает IP-трафик клиента теми IP-адресами источника, которые получены от DHCP-сервера. Любой IP-трафик с IP-адресом источника, не входящим в список разрешений ACL, отфильтровывается. Такая фильтрация ограничивает возможность сетевого узла атаковать сеть, требуя IP-адрес соседнего сетевого узла.

Фильтр IP-адресов источника на порте изменяется при создании или удалении новой записи DHCP-snooping для порта. ACL порта изменяется и повторно применяется в аппаратном обеспечении. По умолчанию, если включить защиту IP-адреса источника без привязки DHCP-snooping к порту, на порт устанавливается ACL по умолчанию, запрещающий весь IP-трафик. При отключении защиты IP-адреса источника с порта удаляется любой ACL по IP-адресу источника.

Также защита источника IP-адреса может использовать фильтрацию по совокупности “IP+MAC источника” или “IP+MAC+VLAN источника” . Коммутатор пересылает трафик только в том случае, если IP и MAC-адрес источника совпадают с записью в таблице. В противном случае коммутатор отбрасывает все пакеты, кроме DHCP.

Если функция защиты IP-адреса источника включена, ввод команды arp as-layer-3 в режиме “Global config”, позволит пакетам ARP, соответствующим записям в таблице, пересылаться коммутатором. Если данная опция отключена, может быть нарушена сетевая связность между некоторыми сегментами сети.

Настройка

Настройка защиты источника IP-адреса

image

Рис. 7.10 Конфигурация сети

Шаг 1: Вход в режим “Global config”

Switch# configure terminal

Шаг 2: Включение пересылки ARP-пакетов

Switch(config)# arp as-layer-3 enable

Шаг 3: Создание VLAN

Switch(config)# vlan database
Switch(config-vlan)# vlan 3
Switch(config-vlan)# exit

Шаг 4: Настройка порта

Switch(config)# interface eth-0-16
Switch(config-if)# switchport
Switch(config-if)# no shutdown
Switch(config-if)# switchport access vlan 3
Switch(config-if)# exit

Шаг 5: Добавление записей защиты IP-адреса источника

Switch(config)# ip source maximal binding number per-port 15
Switch(config)# ip source binding mac 1111.1111.1111 vlan 3 ip 10.0.0.2 interface eth-0-16

Шаг 6: Включение защиты IP-адреса источника

Switch(config)# interface eth-0-16
Switch(config-if)# ip verify source ip
Switch(config-if)# exit

Шаг 7: Выход из режима “Global config”

Switch(config)# exit

Шаг 8: Проверка

Switch#show running-config interface eth-0-16
!
interface eth-0-16
 ip verify source ip
 switchport access vlan 3

Отключение защиты IP-адреса источника

Удаление конкретной записи:

Switch(config)# no ip source binding mac 1111.1111.1111 vlan 3 ip 10.0.0.2 interface eth-0-16

Удаление всех записей для порта:

Switch(config)# no ip source binding entries interface eth-0-16

Удаление всех записей для VLAN:

Switch(config)# no ip source binding entries vlan 3

Удаление всех записей:

Switch(config)# no ip source binding entries