DHCP Snooping IP Source Guard
Обзор
IPSG — это функция безопасности, которая ограничивает IP-трафик на нерутируемых интерфейсах уровня 2, фи�льтруя трафик на основе базы данных привязок DHCP Snooping и вручную настроенных привязок источников IP. Используйте IP Source Guard для предотвращения атак, если хост пытается использовать IP-адрес своего соседа.
Включите IP Source Guard, когда DHCP Snooping включен на ненадежном интерфейсе. После включения IPSG на интерфейсе коммутатор блокирует весь IP-трафик, полученный на интерфейсе, за исключением DHCP-пакетов, разрешенных DHCP Snooping. На интерфейс применяется портовый список управления доступом (ACL). Портовый ACL разрешает только IP-трафик с исходным IP-адресом, указанным в таблице привязок источников IP, и отклоняет весь остальной трафик.
Топология
Рисунок 8-14: Топология IP Source Guard
Конфигурация
#configure terminal | Перейти в режим конфигурации |
(config)#bridge 1 protocol ieee vlan-bridge | Создать IEEE VLAN bridge 1. |
(config)#vlan 2 bridge 1 state enable | Создать VLAN 2. |
(config)# ip dhcp snooping bridge 1 | Настроить DHCP Snooping для bridge 1 |
(config)# ip dhcp snooping information option bridge 1 | Настроить опцию информации DHCP Snooping (option 82) |
(config)# ip dhcp snooping ratelimit 0 bridge 1 | Настроить ограничение скорости DHCP Snooping. Значение по умолчанию — 100 |
(config)# ip dhcp snooping vlan 2 bridge 1 | Настроить DHCP Snooping для VLAN 2 на bridge 1 |
(config)# ip dhcp snooping verify macaddress bridge 1 | Настроить проверку MAC-адреса для DHCP Snooping |
(config)#interface xe2 | Перейти в режим интерфейса |
(config-if)#switchport | Настроить интерфейс как уровень 2 |
(config-if)#bridge-group 1 | Ассоциировать интерфейс с bridge group 1. |
(config-if)#switchport mode access | Установить интерфейс уровня 2 в режим Access (может быть также режим Trunk) |
(config-if)#switchport access vlan 2 | Установить VLAN по умолчанию для интерфейса |
(config-if)#ip dhcp snooping trust | Настроить интерфейс как доверенный. Обычно это настраив�ается на интерфейсе, подключенном к серверной стороне. |
(config-if)#exit | Выйти из режима интерфейса. |
(config)#interface xe1 | Перейти в режим интерфейса |
(config-if)#switchport | Настроить интерфейс как уровень 2 |
(config-if)#bridge-group 1 | Ассоциировать интерфейс с bridge group 1. |
(config-if)#switchport mode access | Установить интерфейс уровня 2 в режим Access (может быть также режим Trunk) |
(config-if)#switchport access vlan 2 | Установить VLAN по умолчанию для интерфейса |
(config-if)#ip verify source dhcp-snoopingvlan | Настроить IP Source Guard на уровне интерфейса, подключенного к клиентской стороне |
(config-if)#ip verify source access-group mode merge | Объединить политику IPSG с другими ACL |
(config-if)#exit | Выйти из режима интерфейса |
(config)#ip dhcp snooping binding bridge 1 0011.1111.2222 2 ipv4 1.1.1.1 xe1 | Настроить статическую запись IPv4 для DHCP Snooping с MAC-адресом и исходным адресом для интерфейса и VLAN |
(config)#ip dhcp snooping binding bridge 1 0022.2222.3333 2 ipv6 3ffe::1 xe1 | Настроить статическую запись IPv6 для DHCP Snooping с MAC-адресом и исходным адресом для интерфейса и VLAN |
(config)#ip source binding ipv4 1.1.1.1 0011.1111.2222 vlan 2 interface xe1 bridge 1 | Настроить статическую запись IP Source Guard для IPv4 |
(config)#ip source binding ipv6 3ffe::2 0022.2222.3333 vlan 2 interface xe1 bridge 1 | Настроить статическую запись IP Source Guard для IPv6 |
(config)#exit | Выйти из режима конфигурации |
#clear ip dhcp snooping binding bridge 1 | Очистить таблицы привязок DHCP, которые были изучены динамически |
Проверка
Проверьте, что DHCP Snooping включен на bridge:
#sh ip dhcp snooping bridge 1
Bridge Group : 1
DHCP snooping is : Enabled
DHCP snooping option82 is : Enabled
Verification of hwaddr field is : Enabled
Rate limit (pps) : 0
DHCP snooping is configured on following VLANs : 2
DHCP snooping is operational on following VLANs : 2
DHCP snooping trust is configured on the following Interfaces
Interface Trusted
--------------- ------
xe2 Yes
DHCP snooping IP Source Guard is configured on the following Interfaces
Interface Source Guard
--------------- -----------
xe1 Yes
Настройка доверенных и недоверенных портов
Обычно порт, подключенный к серверу, настраивается как доверенный, а порты, подключенные к клиентам, как недоверенные.
В этом примере xe1 подключен к DHCP-клиенту, а xe2 подключен к DHCP-серверу.
- Настройте xe1, подключенный к DHCP-клиенту, как недоверенный порт.
- Настройте xe2, подключенный к DHCP-серверу, как доверенный порт.
#configure terminal | Перейти в режим конфигурации. |
(config)#interface xe1 | Указать интерфейс для на�стройки |
(config-if)#no ip dhcp snooping trust | Отключить порт как доверенный. |
(config-if)#exit | Выйти из режима интерфейса |
(config)#interface xe2 | Указать интерфейс для настройки |
(config-if)#ip dhcp snooping trust | Включить порт как доверенный. |
(config-if)#exit | Выйти из режима интерфейса |
Проверка
Проверьте, что статические записи DHCP Snooping настроены для bridge:
#sh ip dhcp snooping binding bridge 1
Total number of static IPV4 entries : 1
Total number of dynamic IPV4 entries : 0
Total number of static IPV6 entries � : 1
Total number of dynamic IPV6 entries : 0
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- ---------------
0011.1111.2222 1.1.1.1 0 static 2 xe1
0022.2222.3333 3ffe::1 0 static 2 xe1
Проверьте, что статические записи IP Source Guard настроены для bridge:
#sh ip dhcp snooping source binding bridge 1
Total number of static source IPV4 entries : 1
Total number of static source IPV6 entries : 1
MacAddress IpAddress Lease (sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- -----------------
0011.1111.2222 1.1.1.1 0 static 2 xe1
0022.2222.3333 3ffe::2 0 static 2 xe1
Настройка IP Source Guard на LAG-порту
В этом примере создается LAG-порт (sa2), затем добавляются физические интерфейсы.
#configure terminal | Перейти в режим конфигурации |
(config)#bridge 1 protocol ieee vlan-bridge | Создать IEEE VLAN bridge 1. |
(config)#vlan 2 bridge 1 state enable | Создать VLAN 2. |
(config)# ip dhcp snooping bridge 1 | Настроить DHCP Snooping для bridge 1 |
(config)# ip dhcp snooping information option bridge 1 | Настроить опцию информации DHCP Snooping (option 82) |
(config)# ip dhcp snooping ratelimit 0 bridge 1 | Настр�оить ограничение скорости DHCP Snooping. Значение по умолчанию — 100 |
(config)# ip dhcp snooping vlan 2 bridge 1 | Настроить DHCP Snooping для VLAN 2 на bridge 1 |
(config)# ip dhcp snooping verify macaddress bridge 1 | Настроить проверку MAC-адреса для DHCP Snooping |
(config)#interface sa2 | Перейти в режим интерфейса |
switchport | Настроить интерфейс как уровень 2 |
bridge-group 1 | Ассоциировать интерфейс с bridge group 1. |
(config-if)#ip verify source dhcp-snoopingvlan | Настроить IP Source Guard на уровне интерфейса, подключенного к клиентской стороне |
(config-if)#ip verify source access-group mode merge | Объединить политику IPSG с другими ACL |
(config-if)#exit | Выйти из режима интерфейса |
(config)#interface xe2 | Перейти в режим интерфейса |
(config-if)#switchport | Настроить интерфейс как уровень 2 |
(config-if)#bridge-group 1 | Ассоциировать интерфейс с bridge group 1. |
(config-if)#switchport mode access | Установить интерфейс уровня 2 в режим Access (может быть также режим Trunk) |
(config-if)#switchport access vlan 2 | Установить VLAN по умолчанию для интерфейса |
(config-if)#ip dhcp snooping trust | Настроить интерфейс как доверенный. Обычно это настраивается на интерфейсе, подключенном к серверной стороне. |
(config-if)#exit | Выйти из режима интерфейса. |
(config)#interface xe1 | Перейти в режим интерфейса |
(config-if)#switchport | Настроить интерфейс как уровень 2 |
(config-if)#bridge-group 1 | Ассоциировать интерфейс с bridge group 1. |
(config-if)#switchport mode access | Установить интерфейс уровня 2 в режим Access (может быть также режим Trunk) |
(config-if)#switchport access vlan 2 | Установить VLAN по умолчанию для интерфейса |
(config-if)#static-channel-group 2 | Настроить статический LAG на интерфейсе |
(config-if)#exit | Выйти из режима интерфейса |
(config)#ip dhcp snooping binding bridge 1 0011.1111.2222 2 ipv4 1.1.1.1 sa2 | Настроить статическую запись IPv4 для DHCP Snooping с MAC-адресом и исходным адресом для LAG-интерфейса и VLAN |
(config)#ip dhcp snooping binding bridge 1 0022.2222.3333 2 ipv6 3ffe::1 sa2 | Настроить статическую запись IPv6 для DHCP Snooping с MAC-адресом и исходным адресом для LAG-интерфейса и VLAN |
(config)#ip source binding ipv4 1.1.1.1 0011.1111.2222 vlan 2 interface sa2 bridge 1 | Н�астроить статическую запись IP Source Guard для IPv4 с LAG-интерфейсом |
(config)#ip source binding ipv6 3ffe::2 0022.2222.3333 vlan 2 interface sa2 bridge 1 | Настроить статическую запись IP Source Guard для IPv6 с LAG-интерфейсом |
(config)#exit | Выйти из режима конфигурации |
#clear ip dhcp snooping binding bridge 1 | Очистить таблицы привязок DHCP, которые были изучены динамически |
Проверка
Проверьте, что DHCP Snooping включен на bridge с LAG-интерфейсом:
#sh ip dhcp snooping bridge 1
Bridge Group : 1
DHCP snooping is : Enabled
DHCP snooping option82 is : Enabled
Verification of hwaddr field is : Enabled
Rate limit(pps) : 0
DHCP snooping is configured on following VLANs : 2
DHCP snooping is operational on following VLANs : 2
DHCP snooping trust is configured on the following Interfaces
Interface Trusted
--------------- -------
Xe2 Yes
DHCP snooping IP Source Guard is configured on the following Interfaces
Interface Source Guard
--------------- -----------
sa2 Yes
Проверьте, что статические записи DHCP Snooping или IP Source Guard настроены для bridge с LAG-интерфейсом:
#sh ip dhcp snooping binding bridge 1
Total number of static IPV4 entries : 1
Total number of dynamic IPV4 entries : 0
Total number of static IPV6 entries : 1
Total number of dynamic IPV6 entries : 0
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- -----------------
0011.1111.2222 1.1.1.1 0 static 2 sa2
0022.2222.3333 3ffe::1 0 static 2 sa2
#sh ip dhcp snooping source binding bridge 1
Total number of static source IPV4 entries : 1
Total number of static source IPV6 entries : 1
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- -----------------
0011.1111.2222 1.1.1.1 0 static 2 sa2
0022.2222.3333 3ffe::2 0 static 2 sa2