Switches : Switches Cisco Catalyst de la serie 3750

Ejemplo de configuración de funciones de seguridad de capa 2 en switches de la serie Catalyst 3750

15 Abril 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (17 Enero 2007) | Comentarios

Contenido

Introducción
Requisitos previos
      Requerimientos
      Componentes utilizados
      Productos relacionados
      Convenciones
Antecedentes
Configuración
      Diagrama de la red
      Seguridad del puerto
      Indagación DHCP
      Inspección de ARP dinámica
      Protección de la IP de origen
Verificación
Resolución de problemas
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Este documento proporciona una configuración de ejemplo para algunas de las funciones de seguridad de capa 2, como la seguridad del puerto, la indagación DHCP, la inspección del protocolo de resolución de direcciones (ARP) dinámica y la protección de la IP de origen, que se puede implementar en los switches de la serie Catalyst 3750 de Cisco.

Requisitos previos

Requerimientos

No hay requerimientos específicos para este documento.

Componentes utilizados

La información de este documento se basa en el switch de la serie Catalyst 3750 de Cisco con la versión 12.2(25)SEC2.

La información que contiene este documento se creó a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración sin definir (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Productos relacionados

Esta configuración también se puede utilizar con el siguiente hardware:

  • Switches de la serie Catalyst 3550 de Cisco

  • Switches de la serie Catalyst 3560 de Cisco

Convenciones

Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento.

Antecedentes

Al igual que los routers, los switches de capa 2 y de capa 3 tienen sus propios conjuntos de requerimientos de seguridad de red. Los switches son susceptibles de sufrir muchos de los mismos ataques de la capa 3 que los routers. Sin embargo, los switches y la capa 2 del modelo de referencia OSI en general son objetos de ataques a red de distintas formas. Entre estos se incluyen:

  • Desbordamiento de la tabla de la memoria direccionable por contenido (CAM)

    Las tablas de la memoria direccionable por contenido (CAM) están limitadas en cuanto a tamaño. Si se introducen bastantes entradas en la tabla CAM antes de que caduquen otras entradas, la tabla CAM se rellena hasta el punto en que no se puede aceptar ninguna entrada nueva. Normalmente, un intruso de la red inunda el switch con un gran número de direcciones de control de acceso a los medios (MAC) de origen no válido hasta llenar la tabla CAM. Cuando ocurre eso, el switch inunda todos los puertos con tráfico entrante porque no puede encontrar el número de puerto para una dirección MAC concreta en la tabla CAM. En esencia, el switch actúa como hub. Si el intruso no mantiene la inundación de direcciones MAC de origen no válido, el switch finalmente desactiva las entradas de direcciones MAC más antiguas de la tabla CAM y vuelve a actuar como un switch. El desbordamiento de la tabla CAM inunda exclusivamente el tráfico en la red VLAN local, de forma que el intruso sólo ve el tráfico en la red VLAN local al que está conectado.

    El ataque de desbordamiento de la tabla CAM se puede mitigar configurando la seguridad del puerto en el switch. Esta opción proporciona la especificación de las direcciones MAC en un puerto del switch concreto o la especificación del número de direcciones MAC que puede aprender un puerto del switch. Cuando se detecta una dirección MAC no válida en el puerto, el switch puede bloquear la dirección MAC agresora o cerrar el puerto. La especificación de direcciones MAC en puertos del switch es una solución demasiado difícil de manejar para un entorno de producción. Es fácil de manejar un límite de direcciones MAC en un puerto del switch. Una solución más escalable de forma administrativa es la implementación de seguridad de puerto dinámica en el switch. Para implementar la seguridad del puerto dinámica, especifique un número máximo de direcciones MAC que se aprenderán.

  • Simulación de direcciones de control de acceso a los medios (MAC)

    Los ataques de simulación de direcciones de control de acceso a los medios (MAC) implican el uso de una dirección MAC conocida de otro host para intentar que el switch de destino reenvíe tramas destinadas al host remoto del atacante de la red. Cuando una sola trama se envía con la dirección Ethernet de origen del otro host, el atacante de la red sobrescribe la entrada de la tabla CAM para que el switch reenvíe los paquetes destinados al host al atacante de la red. Hasta que el host envíe tráfico, no recibirá ningún tráfico. Cuando el host envía tráfico, la entrada de la tabla CAM se reescribe una vez más para que regrese al puerto original.

    Utilice la función de seguridad de puerto para mitigar los ataques de simulación de MAC. La seguridad del puerto proporciona la capacidad para especificar la dirección MAC del sistema conectado a un puerto determinado. Esto también proporciona la capacidad para especificar una acción que realizar si se produce una violación a la seguridad de puerto.

  • Simulación de protocolo de resolución de direcciones (ARP)

    ARP se utiliza para asignar direcciones IP a direcciones MAC en un segmento de red de área local en el que residen los hosts de la misma subred. Normalmente, un host envía una solicitud ARP de transmisión para buscar la dirección MAC de otro host con una dirección IP concreta, y se recibe una respuesta ARP del host cuya dirección coincide con la solicitud. A continuación, el host solicitante almacena en caché la respuesta ARP. Con el ARP del protocolo, se realiza otro aprovisionamiento para que los hosts realicen respuestas ARP no solicitadas. Las respuestas ARP no solicitadas se denominan ARP gratuito (GARP). Un atacante puede aprovechar de forma maliciosa el GARP para simular la identidad de una dirección IP en un segmento LAN. Esto se suele utilizar para simular la identidad entre dos hosts o todo el tráfico hacia o desde una puerta de enlace predeterminada en un ataque tipo "man-in-the-middle" (por interceptación).

    Cuando se elabora una respuesta ARP, un atacante de la red puede hacer que su sistema parezca ser el host de destino que busca el emisor. La respuesta ARP origina que el emisor almacene la dirección MAC del sistema del atacante de la red en la caché de ARP. El switch también almacena esta dirección MAC en su tabla CAM. De esta forma, el atacante de la red ha insertado la dirección MAC de su sistema en la tabla CAM del switch y en caché de ARP del emisor. Esto permite que el atacante de la red intercepte las tramas destinadas al host que está simulando.

    Los temporizadores de tiempo de espera del menú de configuración de la interfaz se pueden utilizar para mitigar ataques de simulación de ARP estableciendo el período de tiempo que una entrada puede permanecer en caché de ARP. Sin embargo, los temporizadores de tiempo de espera por sí mismos no bastan. Se requiere la modificación del tiempo de vencimiento de la caché de ARP en todos los sistemas finales, así como entradas ARP estáticas. Otra solución que se puede utilizar para mitigar distintos ataques de red basados en ARP, es el uso de la indagación DHCP junto con la inspección de ARP dinámica. Estas funciones de Catalyst validan paquetes ARP en una red y permiten la interceptación, registro y descarte de paquetes ARP con vinculaciones no válidas de direcciones MAC a direcciones IP.

    La indagación DHCP filtra los mensajes DHCP confiables para proporcionar seguridad. A continuación, estos mensajes se utilizan para crear y mantener una tabla de vinculación de indagación DHCP. La indagación DHCP considera los mensajes DHCP que se originan en cualquier puerto orientado al usuario que no sea un puerto del servidor DHCP como no confiables. Desde una perspectiva de indagación DHCP, estos puertos orientados al usuario no confiables no deben enviar respuestas de tipo de servidor DHCP, como DHCPOFFER, DHCPACK o DHCPNAK. La tabla de vinculación de indagación DHCP contiene la información sobre dirección MAC, dirección IP, tiempo de validez, tipo de vinculación, número de VLAN e interfaz correspondiente a las interfaces locales no confiables de un switch. La tabla de vinculación de indagación DHCP no contiene información sobre los hosts interconectados a una interfaz confiable. Un interfaz no confiable es una interfaz configurada para recibir mensajes de fuera de la red o firewall. Una interfaz confiable en es una interfaz configurada para recibir sólo mensajes de dentro de la red. La tabla de vinculación de indagación DHCP puede contener vinculaciones de direcciones MAC dinámicas y estáticas a direcciones IP.

    La inspección de ARP dinámica determina la validez de un paquete ARP según las vinculaciones válidas de direcciones MAC a direcciones IP almacenadas en una base de datos de indagación DHCP. Además, la inspección de ARP dinámica puede validar los paquetes ARP según las listas de control de acceso (ACL) que puede configurar el usuario. Esto permite la inspección de los paquetes ARP para hosts que utilizan direcciones IP configuradas de forma estática. La inspección de ARP dinámica permite el uso de listas de control de acceso por puerto y VLAN (PACL) para limitar los paquetes ARP para direcciones IP concretas a direcciones MAC concretas.

  • Privación del protocolo de configuración de host dinámico (DHCP)

    Un ataque de privación de DHCP se produce por la transmisión de solicitudes DHCP con direcciones MAC simuladas. Si se envían suficientes solicitudes, el atacante de la red puede agotar el espacio de dirección disponible en los servidores DHCP durante un período de tiempo. A continuación, el atacante de la red puede configurar un servidor DHCP no autorizado en su sistema y responder a nuevas solicitudes DHCP de clientes de la red. Al colocar un servidor DHCP no autorizado en la red, un atacante de la red puede proporcionar a los clientes direcciones y otra información de red. Puesto que las respuestas DHCP incluyen normalmente información de puerta de enlace y servidor DNS predeterminados, el atacante de la red puede proporcionar su propio sistema como puerta de enlace y servidor DNS predeterminados. El resultado es un ataque "man-in-the-middle" (por interceptación). Sin embargo, no se requiere el agotamiento de todas las direcciones DHCP para introducir un servidor DHCP no autorizado.

    Se pueden utilizar funciones adicionales de la familia de interruptores Catalyst, como la indagación DHCP, para ayudar a proteger contra un ataque de privación de DHCP. La indagación DHCP es una función de seguridad que filtra los mensajes DHCP no confiables, y crea y mantiene una tabla de vinculación de indagación DHCP. La tabla de vinculación contiene información como la dirección MAC, dirección IP, tiempo de validez, tipo de vinculación, número de VLAN e información de la interfaz correspondiente a las interfaces locales no confiables de un switch. Los mensajes no confiables son los recibidos de fuera de la red o firewall. Las interfaces no confiables de un switch son las que se configuran para recibir dichos mensajes de fuera de la red o firewall.

    Otras funciones de los switches Catalyst, como la protección de la IP de origen, pueden proporcionar defensa adicional frente a ataques como, por ejemplo, privación de DHCP y simulación de IP. Al igual que la indagación DHCP, la protección de la IP de origen está activada en los puertos de la capa 2 no confiables. Inicialmente se bloquea todo el tráfico IP, a excepción de los paquetes DHCP capturados por el proceso de indagación DHCP. Una vez que un cliente recibe una dirección IP válida del servidor DHCP, se aplica una PACL al puerto. De esta forma se restringe el tráfico IP del cliente a las direcciones IP de origen configuradas en la vinculación. Se filtra cualquier otro tráfico IP con una dirección de origen distinta de las direcciones de la vinculación.

Configuración

En esta sección se presenta la información para configurar las funciones seguridad del puerto, indagación DHCP, inspección de ARP dinámica y protección de la IP de origen.

Nota: Utilice la herramienta Command Lookup Tool (sólo para clientes registrados) para obtener más información acerca de los comandos utilizados en esta sección.

Las configuraciones del switch Catalyst 3750 contienen lo siguiente:

Diagrama de la red

En este documento se utiliza la siguiente configuración de red:

  • PC 1 y PC 3 son clientes conectados al switch.

  • PC 2 es un servidor DHCP conectado al switch.

  • Todos los puertos del switch están en la misma red VLAN (VLAN 1).

  • El servidor DHCP se configura para asignar direcciones IP a los clientes según sus direcciones MAC.

layer2-secftrs-cat3750k.gif

Seguridad del puerto

Puede utilizar la función de seguridad de puerto para limitar e identificar las direcciones MAC de las estaciones que pueden acceder al puerto. Esto restringe la entrada a una interfaz. Al asignar direcciones MAC seguras a un puerto seguro, el puerto no reenvía paquetes con direcciones de origen que no sean del grupo de direcciones definidas. Si limita el número de direcciones MAC seguras a una y asigna una sola dirección MAC segura, la estación de trabajo asociada a dicho puerto se asegura el ancho de banda completo del puerto. Si un puerto se configura como puerto seguro y se alcanza el número máximo de direcciones MAC seguras, cuando la dirección MAC de una estación que intenta acceder al puerto es distinta de las direcciones MAC seguras identificadas, se produce una violación a la seguridad. Asimismo, si una estación con una dirección MAC segura configurada o aprendida en un puerto seguro intenta acceder a otro puerto seguro, se señala una violación. De forma predeterminada, el puerto se cierra cuando se excede el número máximo de direcciones MAC seguras.

Nota: Cuando un switch Catalyst 3750 se une a una pila, el nuevo switch recibe las direcciones seguras configuradas. El nuevo miembro de la pila descarga todas las direcciones seguras dinámicas de los demás miembros de la pila.

Consulte Pautas de configuración para conocer las pautas para configurar la seguridad del puerto.

En el ejemplo siguiente, la función de seguridad del puerto se muestra configurada en la interfaz FastEthernet 1/0/2. De forma predeterminada, el número máximo de direcciones MAC seguras para la interfaz es uno. Puede ejecutar el comando show port-security interface para verificar el estado de seguridad del puerto para una interfaz.

Seguridad del puerto

Cat3750#show port-security interface fastEthernet 1/0/2
Port Security              : Disabled
Port Status                : Secure-down
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 0
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : 0000.0000.0000:0
Security Violation Count   : 0

!--- Default port security configuration on the switch.

Cat3750#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Cat3750(config)#interface fastEthernet 1/0/2
Cat3750(config-if)#switchport port-security
Command rejected: FastEthernet1/0/2 is a dynamic port.

!--- Port security can only be configured on static access ports or trunk ports.

Cat3750(config-if)#switchport mode access

!--- Sets the interface switchport mode as access.

Cat3750(config-if)#switchport port-security

!--- Enables port security on the interface.

Cat3750(config-if)#switchport port-security mac-address 0011.858D.9AF9

!--- Sets the secure MAC address for the interface.

Cat3750(config-if)#switchport port-security violation shutdown

!--- Sets the violation mode to shutdown. This is the default mode.

Cat3750#

!--- Connected a different PC (PC 4) to the FastEthernet 1/0/2 port
!--- to verify the port security feature.

00:22:51: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa1/0/2,
           putting Fa1/0/2 in err-disable state
00:22:51: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred,
           caused by MAC address 0011.8565.4B75 on port FastEthernet1/0/2.
00:22:52: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0/2,
           changed state to down
00:22:53: %LINK-3-UPDOWN: Interface FastEthernet1/0/2, changed state to down

!--- Interface shuts down when a security violation is detected.

Cat3750#show interfaces fastEthernet 1/0/2
FastEthernet1/0/2 is down, line protocol is down (err-disabled)

!--- Output Suppressed.

!--- The port is shown error-disabled. This verifies the configuration.


!--- Note: When a secure port is in the error-disabled state,
!--- you can bring it out of this state by entering
!--- the errdisable recovery cause psecure-violation global configuration command,
!--- or you can manually re-enable it by entering the
!--- shutdown and no shutdown interface configuration commands.


Cat3750#show port-security interface fastEthernet 1/0/2
Port Security              : Enabled
Port Status                : Secure-shutdown
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : 0011.8565.4B75:1
Security Violation Count   : 1

Consulte Configuración de seguridad de puerto (en inglés) para obtener más información.

Indagación DHCP

La indagación DHCP actúa como firewall entre hosts no confiables y servidores DHCP. La indagación DHCP se utiliza para distinguir entre interfaces no confiables conectadas al usuario final e interfaces confiables conectadas al servidor DHCP u otro switch . Cuando un switch recibe un paquete en una interfaz no confiable y la interfaz pertenece a una red VLAN que tiene activada la indagación DHCP, el switch compara la dirección MAC de origen y la dirección de hardware del cliente DHCP. Si las direcciones coinciden (valor predeterminado), el switch reenvía el paquete. Si las direcciones no coinciden, el switch interrumpe el paquete. El switch interrumpe un paquete DHCP cuando se produce una de estas situaciones:

  • Se recibe un paquete de un servidor DHCP, como un paquete DHCPOFFER, DHCPACK, DHCPNAK o DHCPLEASEQUERY, de fuera de la red o firewall.

  • Se recibe un paquete en una interfaz no confiable y la dirección MAC de origen y dirección de hardware del cliente DHCP no coinciden.

  • El switch recibe un mensaje de difusión DHCPRELEASE o DHCPDECLINE que tiene una dirección MAC en la base de datos de vinculación de indagación DHCP, pero la información de la interfaz en la base de datos de vinculación no coincide con la interfaz en la que se recibió el mensaje.

  • Un agente de relé DHCP reenvía un paquete DHCP, que incluye una dirección IP que no es 0.0.0.0, o bien el agente de relé reenvía un paquete que incluye información de la opción 82 a un puerto no confiable.

Consulte Pautas de configuración de indagación DHCP (en inglés) para conocer las pautas para configurar la indagación DHCP.

Nota: Para que la indagación DHCP funcione correctamente, todos los servidores DHCP deben estar conectados al switch mediante interfaces confiables.

Nota: En una pila con switches Catalyst 3750, la indagación DHCP se administra en la pila principal. Cuando un nuevo switch se une a la pila, recibe la configuración de indagación DHCP de la pila principal. Cuando un miembro deja la pila, se desactualizan todas las vinculaciones de indagación DHCP asociadas al switch.

Los servidores DHCP no autorizados se pueden atenuar con las funciones de indagación DHCP. El comando ip dhcp snooping se ejecuta para activar DHCP de manera global en el switch. Cuando están configurados con la indagación DHCP, todos los puertos de la red VLAN se consideran no confiables para las respuestas DHCP. En el ejemplo siguiente, solamente la interfaz FastEthernet 1/0/3 conectada al servidor DHCP está configurada como confiable.

Indagación DHCP

Cat3750#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Cat3750(config)#ip dhcp snooping


!--- Enables DHCP snooping on the switch.

Cat3750(config)#ip dhcp snooping vlan 1


!--- DHCP snooping is not active until DHCP snooping is enabled on a VLAN.

Cat3750(config)#no ip dhcp snooping information option

!--- Disable the insertion and removal of the option-82 field, if the
!--- DHCP clients and the DHCP server reside on the same IP network or subnet.

Cat3750(config)#interface fastEthernet 1/0/3
Cat3750(config-if)#ip dhcp snooping trust

!--- Configures the interface connected to the DHCP server as trusted.

Cat3750#show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1
Insertion of option 82 is disabled
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet1/0/3            yes         unlimited

!--- Displays the DHCP snooping configuration for the switch.

Cat3750#show ip dhcp snooping binding
MacAddress          IpAddress        Lease(sec)  Type           VLAN  Interface
------------------  ---------------  ----------  -------------  ----  --------------------
00:11:85:A5:7B:F5     10.0.0.2        86391       dhcp-snooping  1    FastEtheret1/0/1
00:11:85:8D:9A:F9     10.0.0.3        86313       dhcp-snooping  1    FastEtheret1/0/2
Total number of bindings: 2

!--- Displays the DHCP snooping binding entries for the switch.

Cat3750#

!--- DHCP server(s) connected to the untrusted port will not be able
!--- to assign IP addresses to the clients.

Consulte Configuración de funciones DHCP (en inglés) para obtener más información.

Inspección de ARP dinámica

La inspección de ARP dinámica es una función de seguridad que valida paquetes ARP en una red. Intercepta, registra y descarta paquetes ARP con vinculaciones de dirección IP a dirección MAC no válidas. Esta capacidad protege la red frente a determinados ataques "man-in-the-middle" (por interceptación).

La inspección de ARP dinámica garantiza que sólo se retransmitan las solicitudes y respuestas ARP válidas. El switch realiza las siguientes actividades:

  • Intercepta todas las solicitudes y respuestas ARP en puertos no confiables.

  • Verifica que todos estos paquetes interceptados tengan una vinculación válida de dirección IP a dirección MAC antes de actualizar la caché de ARP local, o bien antes de reenviar el paquete al destino adecuado.

  • Interrumpe paquetes ARP no válidos.

La inspección de ARP dinámica determina la validez de un paquete ARP según las vinculaciones de dirección IP a dirección MAC válidas almacenadas en una base de datos confiable, la base de datos de vinculación de indagación DHCP. Esta base de datos se compila mediante la indagación DHCP si está activada en las redes VLAN y en el switch. Si el paquete ARP se recibe en una interfaz confiable, el switch reenvía el paquete sin ninguna comprobación. En interfaces no confiables, el switch sólo reenvía el paquete si es válido.

En entornos que no son DHCP, la inspección de ARP dinámica puede validar paquetes ARP con respecto a ACL ARP configuradas por el usuario para hosts con direcciones IP configuradas de forma estática. Puede ejecutar el comando de configuración global arp access-list para definir una ACL ARP. Las ACL ARP tienen prioridad sobre las entradas de la base de datos de vinculación de indagación DHCP. El switch sólo utiliza ACL si ejecuta el comando de configuración global ip arp inspection filter vlan para configurar las ACL. El switch primero compara los paquetes ARP con las ACL ARP configuradas por el usuario. Si la ACL ARP deniega el paquete ARP, el switch también deniega el paquete incluso aunque exista una vinculación válida en la base de datos indicada por la indagación DHCP.

Consulte Pautas de configuración de la inspección de ARP dinámica (en inglés) para conocer las pautas para configurar la inspección de ARP dinámica.

El comando de configuración global ip arp inspection vlan se ejecuta para activar la inspección de ARP dinámica en las redes VLAN, de una en una. En el ejemplo siguiente, sólo la interfaz FastEthernet 1/0/3 conectada al servidor DHCP se configura como confiable con el comando ip arp inspection trust. La indagación DHCP debe estar activada para permitir los paquetes ARP asignados dinámicamente a direcciones IP. Consulte la sección Indagación DHCP de este documento para obtener más información sobre la configuración de la indagación DHCP.

Inspección de ARP dinámica

Cat3750#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Cat3750(config)#ip arp inspection vlan 1

!--- Enables dynamic ARP inspection on the VLAN.

Cat3750(config)#interface fastEthernet 1/0/3
Cat3750(config-if)#ip arp inspection trust

!--- Configures the interface connected to the DHCP server as trusted.

Cat3750#show ip arp inspection vlan 1

Source Mac Validation      : Disabled
Destination Mac Validation : Disabled
IP Address Validation      : Disabled

 Vlan     Configuration    Operation   ACL Match          Static ACL
 ----     -------------    ---------   ---------          ----------
    1     Enabled          Active

 Vlan     ACL Logging      DHCP Logging
 ----     -----------      ------------
    1     Deny             Deny

!--- Verifies the dynamic ARP inspection configuration.

Cat3750#

Consulte Configuración de la inspección de ARP dinámica (en inglés) para obtener más información.

Protección de la IP de origen

La protección de la IP de origen es una función de seguridad que filtra el tráfico según la base de datos de vinculación de indagación DHCP y las vinculaciones de IP de origen configuradas manualmente, para restringir el tráfico IP en interfaces de capa 2 no enrutadas. Puede utilizar la protección de la IP de origen para impedir los ataques de tráfico provocados cuando un host intenta utilizar la dirección IP de su vecino. La protección de la IP de origen impide la simulación de IP/MAC.

Puede activar la protección de la IP de origen cuando la indagación DHCP está activada en una interfaz no confiable. Una vez activada la protección de la IP de origen en una interfaz, el switch bloquea todo el tráfico IP recibido en la interfaz, excepto los paquetes DHCP permitidos por la indagación DHCP. Se aplica una ACL de puerto a la interfaz. La ACL de puerto sólo permite el tráfico IP con una dirección IP de origen de la tabla de vinculación de IP de origen y deniega el resto del tráfico.

La tabla de vinculación de IP de origen tiene vinculaciones aprendidas por la indagación DHCP o configuradas manualmente (vinculaciones de IP de origen estática). Una entrada de esta tabla tiene una dirección IP, su dirección MAC asociada y su número de VLAN asociado. El switch utiliza la tabla de vinculación de IP de origen sólo cuando está activada la protección de la IP de origen.

Puede configurar la protección de la IP de origen con el filtro de direcciones IP de origen o con el filtro de direcciones IP y MAC de origen. Cuando está activada la protección de la IP de origen con esta opción, el tráfico IP se filtra según la dirección IP de origen. El switch reenvía el tráfico IP cuando la dirección IP de origen coincide con una entrada de la base de datos de vinculación de indagación DHCP o una vinculación de la tabla de vinculación de IP de origen. Cuando está activada la protección de la IP de origen con esta opción, el tráfico IP se filtra según las direcciones IP y MAC de origen. El switch reenvía el tráfico sólo cuando las direcciones IP y MAC de origen coinciden con una entrada de la tabla de vinculación de IP de origen.

Nota: La protección de la IP de origen sólo se admite en puertos de capa 2, que incluyen puertos de acceso y troncales.

Consulte Pautas de configuración de la protección de la IP de origen (en inglés) para conocer las pautas para configurar la protección de la IP de origen.

En el ejemplo siguiente, se configura la protección de la IP de origen con el filtro de direcciones IP y MAC de origen en la interfaz FastEthernet 1/0/1 con el comando ip verify source port-security. Cuando está activada la protección de la IP de origen con el filtro de direcciones IP y MAC de origen, la indagación DHCP y la seguridad del puerto deben estar activadas en la interfaz. Consulte las secciones Indagación DHCP y Seguridad del puerto de este documento para obtener más información sobre la configuración de la indagación DHCP y la seguridad del puerto. Ejecute el comando show ip verify source para verificar la configuración de la protección de la IP de origen en el switch.

Protección de la IP de origen

Cat3750#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Cat3750(config)#interface fastEthernet 1/0/1
Cat3750(config-if)#ip verify source port-security

!--- Enables IP source guard with source IP and MAC address filtering.

Cat3750#show ip verify source
Interface  Filter-type  Filter-mode  IP-address       Mac-address        Vlan
---------  -----------  -----------  ---------------  -----------------  -----
Fa1/0/1    ip-mac       active       10.0.0.2         permit-all         1

!--- Displays the IP source guard configuration on the switch.

Cat3750#

Consulte Introducción a la protección de la IP de origen (en inglés) para obtener más información.

Verificación

Actualmente, no hay ningún procedimiento de verificación disponible para esta configuración.

Resolución de problemas

Actualmente, no hay información específica disponible sobre resolución de problemas para esta configuración.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 72846