IP Source Guard

Ответить
admin
Администратор
Сообщения: 198
Зарегистрирован: 05 янв 2011, 04:19

IP Source Guard

Сообщение admin »

IP Source Guard

Автор: Сергей Верещагин от 20 Июнь 2009. в разделе Справочник

IP source guard – функция защиты от подмены IP адреса. Данная функция реализуема только на линейках коммутаторов Cisco Catalyst начиная с серии 3560 и выше по причине достаточно мощного процессора, находящегося внутри коммутаторов данных серий.

Суть IP source guard заключается в том, что данная функция создает мини список доступа на том интерфейсе, с которого ушел DHCP запрос. Данный список доступа содержит в себе одну запись, которая разрешает исключительно тот IP и MAC адрес, который был выдан устройству DHCP сервером. Так, например, если устройство на порту fa0/10 динамически получило адрес 192.168.1.85, то только этот адрес и только с этого порта сможет использовать ресурсы сети. Если злоумышленник или пакостный сотрудник, захочет изменить его вручную, допустим на IP адрес шлюза 192.168.1.254, коммутатор с правильно настроенной функцией IP source guard откажет ему в доступе в сеть.

Прежде всего необходимо включить функцию DHCP snooping, которая осуществляется командой ip dhcp snooping . Затем необходимо задать VLAN, допустим 100, командой ip dhcp snooping vlan 100 в режиме глобальной конфигурации. Затем на интерфейсе, смотрящем в сторону DHCP сервера, допустим GigabitEthernet0/26, нужно прописать команду ip dhcp snooping trust.

После включения DHCP snooping необходимо зайти в режим конфигурации интерфейса, допустим FastEthernet0/10, и набрать команду ip verify source vlan dhcp-snooping port-security, которая включит функцию IP source guard на данном интерфейсе. И т.д. можно проделывать на каждом интерфейсе доступа. Для удобства можно воспользоваться командой range, применимой к интерфейсам, например, interface range fa0/1 – 14, что позволит одним движением руки сконфигурировать все интерфейсы с FastEthernet0/1 по FastEthernet0/14.

Если устройство, подключенное к определенному интерфейсу, допустим FastEthernet0/15, имеет статический IP адрес, то IP source guard можно настроить применительно к данному интефейсу прописав команду в режиме глобальной конфигурации ip source binding 0000.1100.0022.aa00 vlan 100 interface fa0/15, где 0000.1100.0022.aa00 - MAC адрес устройства, а 100 – номер VLAN, приписанного к данному интерфейсу.
!

Интерфейс Fa0/15 необходимо предварительно перевести в режим switchport, иначе система выдаст ошибку Static IP source binding can only be configured on switch port.

Пример:

Код: Выделить всё

telecombook(config)#ip dhcp snooping
telecombook(config)#ip dhcp snooping vlan 100

telecombook(config)#interface gigabitethernet0/26
telecombook(config-if)#ip dhcp snooping trust
telecombook(config-if)#exit

telecombook(config)#interface range fastethernet0/1 - 14
telecombook(config-if)#switchport
telecombook(config-if)#ip verify source vlan dhcp-snooping port-security
telecombook(config-if)#exit

telecombook(config)#interface fastethernet0/15
telecombook(config-if)#switchport
telecombook(config-if)#exit

telecombook(config)#ip source binding 0000.1100.0022.aa00 vlan 100 interface gi0/15
Ответить