Онлайн-демонстрация
Связаться с нами
8.13. Настройка IP Source Guard
Назначение
IP Source Guard предотвращает подмену IP-адресов, разрешая использовать на определенном порте только IP-адреса, полученные с помощью DHCP snooping и/или статических записей.
Описание
При работе IP Source Guard изначально весь IP-трафик на порте блокируется, за исключением пакетов DHCP, которые перехватываются DHCP snooping. Когда клиент получает действительный IP-адрес от DHCP-сервера, на порте устанавливается ACL, разрешающий трафик с этого IP-адреса. Этот процесс ограничивает IP-трафик клиента теми IP-адресами источника, которые получены от DHCP-сервера. Любой IP-трафик с IP-адресом источника, не входящим в список разрешений ACL, отфильтровывается. Такая фильтрация ограничивает возможность сетевого узла атаковать сеть, требуя IP-адрес соседнего сетевого узла.
Фильтр IP-адресов источника на порте изменяется при создании или удалении новой записи DHCP-snooping для порта. ACL порта изменяется и повторно применяется в аппаратном обеспечении. По умолчанию, если включить IP Source Guard без привязки DHCP-snooping к порту, на порт устанавливается ACL по умолчанию, запрещающий весь IP-трафик. При отключении IP Source Guard, с порта удаляется любой ACL по IP-адресу источника.
Также IP Source Guard может использовать фильтрацию по совокупности “IP+MAC источника” или “IP+MAC+VLAN источника”. Коммутатор пересылает трафик только в том случае, если IP и MAC-адрес источника совпадают с записью в таблице. В противном случае коммутатор отбрасывает все пакеты, кроме DHCP.
Если функция IP Source Guard включена, ввод команды arp as-layer-3 в режиме “Global config”, позволит пакетам ARP, соответствующим записям в таблице, пересылаться коммутатором. Если данная опция отключена, может быть нарушена сетевая связность между некоторыми сегментами сети.
Настройка
Настройка IP Source Guard
Шаг 1: Вход в режим “Global config”
Switch# configure terminal
Шаг 2: Включение пересылки ARP-пакетов
Switch(config)# arp as-layer-3 enable
Шаг 3: Создание VLAN
Switch(config)# vlan database
Switch(config-vlan)# vlan 3
Switch(config-vlan)# exit
Шаг 4: Настройка порта
Switch(config)# interface eth-0-16
Switch(config-if)# switchport
Switch(config-if)# no shutdown
Switch(config-if)# switchport access vlan 3
Switch(config-if)# exit
Шаг 5: Настройка максимального количества привязанных к интерфейсу IP-адресов
Switch(config)# ip source maximal binding number per-port 15
Шаг 6: Настройка IP Source Guard для статического IP-адреса (опционально)
Настройка статической привязки IP-адреса источника, связанного с ним MAC-адреса и номера VLAN:
Switch(config)# ip source binding mac 1111.1111.1111 vlan 3 ip 10.0.0.2 interface eth-0-16
Шаг 7: Включение IP Source Guard
Switch(config)# interface eth-0-16
Switch(config-if)# ip verify source ip
Switch(config-if)# exit
Шаг 8: Выход из режима “Global config”
Switch(config)# exit
Шаг 9: Проверка
Switch#show running-config interface eth-0-16
!
interface eth-0-16
ip verify source ip
switchport access vlan 3
Отключение IP Source Guard
Удаление конкретной записи:
Switch(config)# no ip source binding mac 1111.1111.1111 vlan 3 ip 10.0.0.2 interface eth-0-16
Удаление всех записей для порта:
Switch(config)# no ip source binding entries interface eth-0-16
Удаление всех записей для VLAN:
Switch(config)# no ip source binding entries vlan 3
Удаление всех записей:
Switch(config)# no ip source binding entries