Switches : Switches Cisco Catalyst 3750 Series

Exemplo de Configuração de Recursos de Segurança da Camada 2 em Switches de Configuração Fixa da Camada 3 Cisco Catalyst

8 Junho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (17 Janeiro 2007) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Produtos Relacionados
      Convenções
Informações de Apoio
Configuração
      Diagrama de Rede
      Segurança de Portas
      Snooping de DHCP
      Inspeção de ARP Dinâmica
      Proteção de Origem de IP
Verificação
Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento fornece um exemplo de configuração de alguns dos recursos de segurança da Camada 2, como segurança de portas, snooping de DHCP, inspeção de ARP (Address Resolution Protocol) dinâmica e proteção de origem de IP que podem ser implementados em switches de configuração fixa da Camada 3 Cisco Catalyst.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações contidas neste documento baseiam-se nos Cisco Catalyst 3750 Series Switches com versão 12.2(25)SEC2.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração também pode ser utilizada com o seguinte hardware:

  • Cisco Catalyst 3550 Series Switches

  • Cisco Catalyst 3560 Series Switches

  • Cisco Catalyst 3560-E Series Switches

  • Cisco Catalyst 3750-E Series Switches

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Da mesma forma que os roteadores, os switches da Camada 2 e da Camada 3 possuem seus próprios conjuntos de requisitos de rede. Os switches estão suscetíveis a muitos dos mesmos ataques da Camada 3 que afetam os roteadores. No entanto, os switches e a Camada 2 do modelo de referência OSI em geral estão sujeitos a diferentes formas de ataques de rede. Eles incluem:

  • Estouro da tabela de memória de conteúdo endereçável (CAM)

    As tabelas de memória de conteúdo endereçável (CAM) possuem tamanho limitado. Se entradas suficientes forem inseridas na tabela CAM antes que outras expirem, a tabela CAM será preenchida até um ponto em que nenhuma nova entrada será aceita. Em geral, um invasor de rede inunda o switch com um grande número de endereços MAC (Media Access Control) de origem inválidos até a tabela CAM encher completamente. Quando isso ocorre, o switch inunda todas as portas com tráfego recebido porque ele não consegue encontrar o número da porta para um endereço MAC específico na tabela CAM. O switch passa a agir essencialmente como um hub. Se o invasor não mantiver a inundação de endereços MAC de origem inválidos, o switch eventualmente expirará as entradas de endereços MAC mais antigas da tabela CAM e voltará a agir como um switch outra vez. O estouro da tabela CAM somente inunda tráfego na VLAN local. Assim, o invasor vê apenas o tráfego da VLAN local ao qual ele está conectado.

    O ataque de estouro da tabela CAM pode ser minimizado com a configuração da segurança de portas no switch. Essa opção permite a especificação dos endereços MAC em uma porta específica do switch ou a especificação do número de endereços MAC que podem ser aprendidos por uma porta do switch. Quando um endereço MAC inválido é detectado na porta, o switch pode bloquear o endereço MAC transgressor ou desativar a porta. A especificação dos endereços MAC nas portas de um switch é uma solução impossível de ser gerenciada em um ambiente de produção. Um limite do número de endereços MAC em uma porta é gerenciável. Uma solução mais escalável do ponto de vista administrativo é a implementação da segurança dinâmica de portas no switch. Para implementar a segurança dinâmica de portas, especifique o número máximo de endereços MAC que serão aprendidos.

  • Falsificação de endereços MAC (Media Access Control)

    Os ataques de falsificação de MAC (Media Access Control) envolvem o uso de um endereço MAC conhecido de outro host para tentar fazer com que o switch alvo encaminhe frames destinados a um host remoto para o agressor da rede. Quando um único frame é enviado com o endereço Ethernet de origem do outro host, o agressor de rede sobrescreve a entrada da tabela CAM para que o switch encaminhe os pacotes destinados ao host para o próprio agressor. Até o host enviar tráfego, ele não receberá tráfego algum. Quando o host envia tráfego, a entrada da tabela CAM é reescrita mais uma vez e volta para a porta original.

    Use o recurso de segurança de portas para mitigar os ataques de falsificação de MAC. A segurança de portas oferece a capacidade de especificar o endereço MAC do sistema conectado a uma porta específica. Ela também permite especificar a ação que será executada se uma violação de segurança de porta ocorrer.

  • Falsificação de ARP (Address Resolution Protocol)

    O protocolo ARP é usado para mapear o endereçamento IP em endereços MAC em um segmento de rede local em que os hosts de uma mesma sub-rede residem. Normalmente, um host envia uma solicitação de ARP via broadcast para descobrir o endereço IP de outro host com um endereço IP específico e recebe uma resposta de ARP proveniente do host cujo endereço corresponde à solicitação. O host solicitante coloca então esta resposta de ARP no cache. No protocolo ARP, outra provisão é feita para os hosts executarem respostas de ARP não solicitadas. As respostas de ARP não solicitadas são chamadas de ARP Gratuito (GARP). O GARP pode ser explorado de forma mal-intencionada para um agressor falsificar um endereço IP em um segmento de LAN. Isso é normalmente feito para falsificar a identidade entre dois hosts ou todo o tráfego que passa por um gateway padrão em um ataque "homem no meio".

    Quando uma resposta de ARP é fabricada, um agressor de rede pode fazer com que seu sistema aparente ser o host de destino almejado pelo emissor. A resposta de ARP faz com que o emissor armazene o endereço MAC do sistema do agressor no cache de ARP. Esse endereço MAC também é armazenado pelo switch em sua tabela CAM. Ao agir dessa forma, o agressor de rede inseriu o endereço MAC do seu próprio sistema na tabela CAM do switch e no cache de ARP do emissor. Isso permite que ele intercepte frames destinados ao host que está falsificando.

    Temporizadores de espera no menu de configuração da interface podem ser usados para minimizar os ataques de falsificação de ARP ao definir o tempo durante o qual uma entrada permanecerá no cache de ARP. No entanto, esses temporizadores sozinhos não são suficientes. A modificação do tempo de expiração do cache de ARP em todos os sistemas finais é necessária, bem como mudanças nas entradas de ARP estáticas. Outra solução que pode ser usada para mitigar várias explorações de rede baseadas em ARP é o uso do snooping de DHCP em conjunto com a inspeção de ARP dinâmica. Esses recursos do Catalyst validam os pacotes de ARP em uma rede e permitem a interceptação, o registro e o descarte dos pacotes de ARP com ligações inválidas de endereços MAC com endereços IP.

    O snooping de DHCP filtra as mensagens de DHCP confiáveis para proporcionar segurança. Assim, essas mensagens são usadas para montar e manter uma tabela de ligações de snooping de DHCP. O snooping de DHCP considera como não confiável qualquer mensagem de DHCP proveniente de qualquer porta voltada para o usuário que não seja uma porta de servidor DHCP. Da perspectiva do snooping de DHCP, essas portas voltadas para o usuário não confiáveis não devem enviar respostas do tipo servidor DHCP, como DHCPOFFER, DHCPACK ou DHCPNAK. A tabela de ligações de snooping de DHCP contém os endereços MAC e IP, o tempo de concessão, o tipo da ligação, o número da VLAN e as informações de interface que correspondem às interfaces locais não confiáveis de um switch. A tabela de ligações de snooping de DHCP não contém informações sobre os hosts conectados a uma interface confiável. Uma interface não confiável é uma interface configurada para receber mensagens externas à rede ou ao firewall. Uma interface confiável é uma interface configurada para receber mensagens somente do interior da rede. A tabela de ligações de snooping de DHCP pode conter ligações dinâmicas e estáticas entre endereços MAC e endereços IP.

    A inspeção de ARP dinâmica determina a validade um pacote de ARP com base nas ligações entre endereços MAC e IP válidas armazenadas em um banco de dados do snooping de DHCP. Além disso, a inspeção de ARP dinâmica pode validar os pacotes de ARP com base em listas de controle de acesso (ACLs) configuradas pelo usuário. Isso permite a inspeção de pacotes de ARP para hosts que usam endereços IP configurados estaticamente. A inspeção de ARP dinâmica possibilita o uso de listas de controle de acesso por porta e VLAN (PACLs) para limitar os pacotes de ARP para endereços IP específicos para endereços MAC específicos.

  • Privação de DHCP (Dynamic Host Configuration Protocol)

    Um ataque de privação de DHCP funciona com o broadcast de solicitações de DHCP com endereços MAC falsificados. Se solicitações suficientes forem enviadas, o agressor de rede poderá exaurir o espaço de endereços disponíveis para os servidores DHCP por um período de tempo. O agressor de rede pode então configurar um servidor DHCP falso em seu sistema e responder às novas solicitações de DHCP dos clientes da rede. Ao colocar um servidor DHCP falso na rede, um agressor pode fornecer aos clientes endereços e outras informações de rede. Como as respostas de DHCP normalmente incluem informações de gateway padrão e servidor DNS, o agressor pode fornecer seu próprio sistema como o gateway padrão e o servidor DNS. Isso resulta em um ataque do tipo "homem no meio". No entanto, o esgotamento de todos os endereços de DHCP não é necessário para a introdução de um servidor DHCP falso.

    Os recursos adicionais da família de switches Catalyst, como o snooping de DHCP, podem ser usados para ajudar a proteger sua rede contra ataques de privação de DHCP. O snooping de DHCP é um recurso de segurança que filtra mensagens de DHCP não confiáveis e monta e mantém uma tabela de ligações de snooping de DHCP. A tabela de ligações contém informações como os endereços MAC e IP, o tempo de concessão, o tipo da ligação, o número da VLAN e as informações de interface que correspondem às interfaces locais não confiáveis de um switch. As mensagens não confiáveis são aquelas recebidas de fora da rede ou do firewall. As interfaces do switch não confiáveis são aquelas configuradas para receber tais mensagens externas.

    Outros recursos do switch Catalyst, como a proteção de origem de IP, podem oferecer defesa adicional contra ataques como privação de DHCP e falsificação de IP. Da forma semelhante ao snooping de DHCP, a proteção de origem de IP é habilitada em portas não confiáveis da Camada 2. Todo o tráfego de IP é inicialmente bloqueado, com exceção dos pacotes de DHCP capturados pelo processo de snooping de DHCP. Quando um cliente recebe um endereço IP válido do servidor DHCP, uma PACL é aplicada à porta. Isso restringe o tráfego IP de clientes àqueles endereços IP de origem configurados na ligação. Qualquer outro tráfego IP com endereço de origem diferente dos endereços da ligação é filtrado.

Configuração

Esta seção apresenta as informações necessárias para a configuração dos recursos de segurança de portas, snooping de DHCP, inspeção de ARP dinâmica e proteção de origem de IP.

Nota:  Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

As configurações do Catalyst 3750 Switch contêm:

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

  • PC 1 e PC 3 são clientes conectados ao switch.

  • PC 2 é um servidor DHCP conectado ao switch.

  • Todas as portas do switch pertencem à mesma VLAN (VLAN 1).

  • O servidor DHCP está configurado para atribuir endereços IP aos clientes com base em seus endereços MAC.

layer2-secftrs-catl3fixed.gif

Segurança de Portas

O recurso de segurança de portas pode ser usado para limitar e identificar os endereços MAC das estações com permissão para acessar a porta. Isso restringe a entrada a uma interface. Quando você atribui endereços MAC seguros a uma porta segura, a porta não encaminha pacotes com endereços de origem que não pertencem ao grupo de endereços definidos. Se você limitar o número de endereços MAC seguros a um e atribuir um único endereço MAC seguro, a estação de trabalho conectada à porta em questão terá a largura de banda total da porta garantida. Se uma porta estiver configurada como uma porta segura e o número máximo de endereços MAC for atingido, quando o endereço MAC de uma estação que tentar acessar a porta for diferente de qualquer um dos endereços MAC seguros identificados, uma violação de segurança ocorrerá. Além disso, se uma estação com um endereço MAC seguro configurado ou aprendido em uma porta segura tentar acessar outra porta segura, uma violação será assinalada. Por padrão, a porta é desativada quando o número máximo de endereços MAC seguros é excedido.

Nota: Quando um Catalyst 3750 Switch ingressa em uma stack, o novo switch recebe os endereços seguros configurados. Todos os endereços seguros dinâmicos são baixados dos demais membros da stack pelo novo membro.

Consulte as Diretrizes de Configuração para obter as diretrizes de configuração da segurança de portas.

Aqui o recurso de segurança de portas é mostrado configurado na interface FastEthernet 1/0/2. Por padrão, o número máximo de endereços MAC seguros para a interface é um. Você pode executar o comando show port-security interface para verificar o status da segurança de portas para uma interface.

Segurança de Portas

Cat3750#show port-security interface fastEthernet 1/0/2
Port Security              : Disabled
Port Status                : Secure-down
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 0
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : 0000.0000.0000:0
Security Violation Count   : 0

!--- Configuração de segurança de portas padrão no switch.

Cat3750#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Cat3750(config)#interface fastEthernet 1/0/2
Cat3750(config-if)#switchport port-security
Command rejected: FastEthernet1/0/2 is a dynamic port.

!--- A segurança de portas só pode ser configurada em portas de acesso estáticas ou em portas de tronco.

Cat3750(config-if)#switchport mode access

!--- Define o modo da porta de switch da interface como access.

Cat3750(config-if)#switchport port-security

!--- Habilita a segurança de portas na interface.

Cat3750(config-if)#switchport port-security mac-address 0011.858D.9AF9

!--- Define o endereço MAC protegido para a interface.

Cat3750(config-if)#switchport port-security violation shutdown

!--- Define o modo de violação como shutdown. Esse é o modo padrão.

Cat3750#

!--- Conecte um PC diferente (PC 4) à porta FastEthernet 1/0/2
!--- para verificar o recurso de segurança de portas.

00:22:51: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa1/0/2,
           putting Fa1/0/2 in err-disable state
00:22:51: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred,
           caused by MAC address 0011.8565.4B75 on port FastEthernet1/0/2.
00:22:52: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0/2,
           changed state to down
00:22:53: %LINK-3-UPDOWN: Interface FastEthernet1/0/2, changed state to down

!--- A interface é desligada quando uma violação de segurança é detectada.

Cat3750#show interfaces fastEthernet 1/0/2
FastEthernet1/0/2 is down, line protocol is down (err-disabled)

!--- Saída suprimida.

!--- A porta é mostrada como error-disabled. Isso verifica a configuração.


!--- Nota: Quando uma porta segura está no
!--- estado error-disabled, você poderá tirá-la desse estado ao executar
!--- o comando de configuração global errdisable recovery cause psecure-violation.
!--- ou reabilitá-la manualmente com os comandos de configuração de interface
!--- shutdown e no shutdown.


Cat3750#show port-security interface fastEthernet 1/0/2
Port Security              : Enabled
Port Status                : Secure-shutdown
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : 0011.8565.4B75:1
Security Violation Count   : 1

Consulte Configuração da Segurança de Portas para obter mais informações.

Snooping de DHCP

O snooping de DHCP atua como um firewall entre hosts não confiáveis e servidores DHCP. Ele é usado para diferenciar interfaces não confiáveis conectadas ao usuário final de interfaces confiáveis conectadas ao servidor DHCP ou a outro switch. Quando um switch recebe um pacote em uma interface não confiável e a interface pertence a uma VLAN com snooping de DHCP habilitado, o switch compara o endereço MAC de origem e o endereço de hardware do cliente DHCP. Se os endereços coincidem (o padrão), o switch encaminha o pacote. Caso contrário, o switch descarta o pacote. O switch descarta um pacote de DHCP quando uma destas situações ocorre:

  • Um pacote de um servidor DHCP, como um pacote DHCPOFFER, DHCPACK, DHCPNAK ou DHCPLEASEQUERY é recebido de fora da rede ou do firewall.

  • Um pacote é recebido em uma interface não confiável e o endereço MAC de origem e o endereço de hardware do cliente DHCP não coincidem.

  • O switch recebe uma mensagem de broadcast de DHCPRELEASE ou DHCPDECLINE que possui um endereço MAC no banco de dados de ligações do snooping de DHCP, mas as informações da interface não correspondem à interface na qual a mensagem foi recebida.

  • Um agente de retransmissão de DHCP encaminha um pacote de DHCP que inclui um endereço IP de agente de retransmissão diferente de 0.0.0.0 ou o agente de retransmissão encaminha um pacote com informações de opção 82 para uma porta não confiável.

Consulte as Diretrizes de Configuração do Snooping de DCHP para obter as diretrizes de configuração do snooping de DHCP.

Nota: Para que o snooping de DHCP funcione corretamente, todos os servidores DHCP deverão se conectar ao switch por meio de interfaces confiáveis.

Nota: Em uma switch stack com Catalyst 3750 Switches, o snooping de DHCP é gerenciado no master da stack. Quando um novo switch ingressa na stack, ele recebe as configurações de snooping de DHCP do master da stack. Quando um membro abandona a stack, todas as ligações de snooping de DHCP associadas ao switch expiram.

Nota: Para garantir a exatidão do tempo de concessão no banco de dados, a Cisco recomenda habilitar e configurar o NTP. Quando o NTP está configurado, o switch insere as alterações de ligação no arquivo de ligação somente quando o relógio do sistema do switch está sincronizado com o NTP.

Os servidores DHCP falsos podem ser minimizados pelos recursos do snooping de DHCP. O comando ip dhcp snooping é executado para habilitar o DHCP globalmente no switch. Quando o snooping de DHCP é configurado, todas as portas da VLAN se tornam não confiáveis para respostas de DHCP. Aqui, somente a interface FastEthernet 1/0/3 conectada ao servidor DHCP é configurada como confiável.

Snooping de DHCP

Cat3750#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Cat3750(config)#ip dhcp snooping


!--- Habilita o snooping de DHCP no switch.

Cat3750(config)#ip dhcp snooping vlan 1


!--- O snooping de DHCP não será ativado até o snooping de DHCP ser habilitado em uma VLAN.

Cat3750(config)#no ip dhcp snooping information option

!--- Desabilite a inserção e a remoção do campo option-82 se os
!--- clientes DHCP e os servidores DHCP residirem na mesma rede ou sub-rede IP.

Cat3750(config)#interface fastEthernet 1/0/3
Cat3750(config-if)#ip dhcp snooping trust

!--- Configura a interface conectada ao servidor DHCP como confiável.

Cat3750#show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1
Insertion of option 82 is disabled
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet1/0/3            yes         unlimited

!--- Exibe a configuração de snooping de DHCP para o switch.

Cat3750#show ip dhcp snooping binding
MacAddress          IpAddress        Lease(sec)  Type           VLAN  Interface
------------------  ---------------  ----------  -------------  ----  --------------------
00:11:85:A5:7B:F5     10.0.0.2        86391       dhcp-snooping  1    FastEtheret1/0/1
00:11:85:8D:9A:F9     10.0.0.3        86313       dhcp-snooping  1    FastEtheret1/0/2
Total number of bindings: 2

!--- Exibe as entradas de ligação do snooping de DHCP para o switch.

Cat3750#

!--- Os servidores DHCP conectados à porta não confiável não poderão
!--- atribuir endereços IP aos clientes.

Consulte Configuração de Recursos de DHCP para obter mais informações.

Inspeção de ARP Dinâmica

A inspeção de ARP dinâmica é um recurso de segurança que valida os pacotes de ARP em uma rede. Ela intercepta, registra e descarta os pacotes de ARP com ligações de endereços IP-MAC inválidas. Esse recurso protege a rede contra alguns tipos de ataques "homem no meio".

A inspeção de ARP dinâmica garante que somente as solicitações e respostas de ARP válidas sejam repetidas. O switch executa as seguintes atividades:

  • Intercepta todas as solicitações e respostas de ARP nas portas não confiáveis.

  • Verifica se cada um desses pacotes interceptados possui uma ligação de endereços IP-MAC válida antes de atualizar o cache de ARP local ou antes de encaminhar o pacote para o destino apropriado.

  • Descarta os pacotes de ARP inválidos

A inspeção de ARP dinâmica determina a validade um pacote de ARP com base nas ligações entre endereços MAC e IP válidas armazenadas em um banco de dados confiável, o banco de dados do snooping de DHCP. Esse banco de dados é criado pelo snooping de DHCP quando esse recurso está habilitado nas VLANs e no switch. Se o pacote de ARP for recebido em uma interface confiável, o switch encaminha o pacote sem nenhuma verificação. Nas interfaces não confiáveis, o switch encaminha o pacote somente se ele é válido.

Em ambientes sem DHCP, a inspeção de ARP dinâmica pode validar os pacotes de ARP em comparação com ACLs de ARP configuradas pelo usuário para hosts com endereços IP configurados estaticamente. Você pode executar o comando de configuração global arp access-list para definir uma ACL de ARP. As ACLs de ARP têm precedência sobre as entradas do banco de dados de ligações do snooping de DHCP. O switch usará as ACLs somente se você executar o comando de configuração global ip arp inspection filter vlan para configurar as ACLs. O switch primeiro compara os pacotes de ARP às ACLs de ARP configuradas pelo usuário. Se a ACL de ARP negar o pacote de ARP, o switch também negará o pacote mesmo se houver uma ligação válida no banco de dados preenchido pelo snooping de DHCP.

Consulte as Diretrizes de Configuração da Inspeção de ARP Dinâmica para obter as diretrizes de configuração da inspeção de ARP dinâmica.

O comando de configuração global ip arp inspection vlan é executado para habilitar a inspeção de ARP dinâmica por VLAN. Aqui, somente a interface FastEthernet 1/0/3 conectada ao servidor DHCP é configurada como confiável com o comando ip arp inspection trust. O snooping de DHCP deve ser habilitado para permitir os pacotes de ARP com endereços IP atribuídos dinamicamente. Consulte a seção Snooping de DHCP deste documento para obter informações de configuração do snooping de DHCP.

Inspeção de ARP Dinâmica

Cat3750#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Cat3750(config)#ip arp inspection vlan 1

!--- Habilita a inspeção de ARP dinâmica na VLAN.

Cat3750(config)#interface fastEthernet 1/0/3
Cat3750(config-if)#ip arp inspection trust

!--- Configura a interface conectada ao servidor DHCP como confiável.

Cat3750#show ip arp inspection vlan 1

Source Mac Validation      : Disabled
Destination Mac Validation : Disabled
IP Address Validation      : Disabled

 Vlan     Configuration    Operation   ACL Match          Static ACL
 ----     -------------    ---------   ---------          ----------
    1     Enabled          Active

 Vlan     ACL Logging      DHCP Logging
 ----     -----------      ------------
    1     Deny             Deny

!--- Verifica a configuração da inspeção de ARP dinâmica.

Cat3750#

Consulte Configurando a Inspeção de ARP Dinâmica para obter mais informações.

Proteção de Origem de IP

A proteção de origem de IP é um recuso de segurança que filtra o tráfego com base no banco de dados de ligações do snooping de DHCP e nas ligações de origem de IP configuradas manualmente para restringir o tráfego de IP em interfaces da Camada 2 não roteadas. Você pode usar a proteção de origem de IP para prevenir ataques de tráfego causados quando um host tenta usar o endereço IP do seu vizinho. A proteção de origem de IP impede a falsificação de endereços IP/MAC.

Você pode habilitar a proteção de origem de IP quando o snooping de DHCP está habilitado em uma interface não confiável. Após a proteção de origem de IP ser habilitada em uma interface, o switch bloqueia todo o tráfego de IP recebido na interface, com exceção dos pacotes de DHCP permitidos pelo snooping de DHCP. Uma ACL de porta é aplicada à interface. A ACL de porta permite somente o tráfego de IP com endereço IP de origem pertencente à tabela de ligações de origem de IP e nega qualquer outro tráfego.

A tabela de ligações de origem de IP contém ligações que são aprendidas pelo snooping de IP ou configuradas manualmente (ligações de origem de IP estáticas). Uma entrada desta tabela possui um endereço IP, seu endereço MAC associado e seu número de VLAN associado. O switch usa a tabela de ligações de origem de IP somente quando a proteção de origem de IP está habilitada.

Você pode configurar a proteção de origem de IP com a filtragem de endereços IP de origem ou com a filtragem de endereços IP e MAC de origem. Quando a proteção de origem de IP é habilitada com esta opção, o tráfego de IP é filtrado com base no endereço IP de origem. O switch encaminha o tráfego de IP quando o endereço IP de origem coincide com uma entrada do banco de dados de ligações do snooping de DHCP ou com uma entrada da tabela de ligações de IP de origem. Quando a proteção de origem de IP é habilitada com esta opção, o tráfego de IP é filtrado com base nos endereços IP e MAC de origem. O switch encaminha o tráfego somente quando os endereços IP e MAC de origem coincidem com uma entrada da tabela de ligações de origem de IP.

Nota: A proteção de origem de IP pode ser habilitada somente em portas da Camada 2, o que inclui portas de acesso e tronco.

Consulte as Diretrizes de Configuração da Proteção de Origem de IP para obter as diretrizes de configuração da proteção de origem de IP.

Aqui, a proteção de origem de IP com filtragem de IP de origem é configurada na interface FastEthernet 1/0/1 com o comando ip verify source. Quando a proteção de origem de IP com filtragem de IP de origem é habilitada em uma VLAN, o snooping de DHCP deve ser habilitado na VLAN de acesso à qual a interface pertence. Execute o comando show ip verify source para verificar a configuração da proteção de origem de IP no switch.

Proteção de Origem de IP

Cat3750#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Cat3750(config)#ip dhcp snooping
Cat3750(config)#ip dhcp snooping vlan 1

!--- Consulte a seção Snooping de DHCP deste documento para
!--- obter informações sobre a configuração do snooping de DHCP.

Cat3750(config)#interface fastEthernet 1/0/1
Cat3750(config-if)#ip verify source

!--- Habilita a proteção de origem de IP com filtragem de IPs de origem.

Cat3750#show ip verify source
Interface  Filter-type  Filter-mode  IP-address       Mac-address        Vlan
---------  -----------  -----------  ---------------  -----------------  -----
Fa1/0/1    ip           active       10.0.0.2                              1

!--- Para a VLAN 1, a proteção de origem de IP com filtragem de endereços IP está configurada
!--- na interface e há uma ligação na interface.

Cat3750#

Consulte Entendendo a Proteção de Origem de IP para obter mais informações.

Verificação

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

No momento, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 72846