Коммутаторы : ??????????? Cisco Catalyst ????? 3750

Пример конфигурации функций безопасности уровня 2 на коммутаторах Cisco Catalyst уровня 3 с фиксированной конфигурацией

13 августа 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (17 января 2007) | Отзыв

Содержание

Введение
Предварительные условия
     Требования
     Используемые компоненты
     Соответствующие продукты
     Условные обозначения
Общие сведения
Настройка
     Схема сети
     Безопасность порта
     DHCP-отслеживание
     Динамическая проверка ARP
     Защита от подделки IP-адреса
Проверка
Поиск и устранение неполадок
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

В данном документе представлен пример конфигурации некоторых функций безопасности уровня 2, таких как безопасность порта, DHCP-отслеживание, динамическая проверка протокола разрешения адресов (ARP) и защита от подделки IP-адреса (IP source guard), которые могут быть применены на коммутаторах Cisco Catalyst уровня 3 с фиксированной конфигурацией.

Предварительные условия

Требования

Для данного документа нет особых требований.

Используемые компоненты

Сведения, приведенные в данном документе, получены с использованием коммутатора Cisco Catalyst 3750 Series с микропрограммой версии 12.2(25)SEC2.

Данные для документа были получены в специально созданных лабораторных условиях. Все устройства, используемые в этом документе, были запущены с чистой конфигурацией (конфигурацией по умолчанию). Если сеть работает в реальных условиях, убедитесь, что вы понимаете потенциальное воздействие каждой команды.

Соответствующие продукты

Эта конфигурация может также использоваться со следующими версиями оборудования и программного обеспечения:

  • Коммутаторы Cisco Catalyst серии 3550

  • Коммутаторы Cisco Catalyst серии 3560

  • Коммутаторы Cisco Catalyst серии 3560-E

  • Коммутаторы Cisco Catalyst серии 3750-E

Условные обозначения

Более подробную информацию об условных обозначениях, используемых в документе, см. Условные обозначения, используемые в технической документации Cisco.

Общие сведения

Как и маршрутизаторы, коммутаторы уровней 2 и 3 имеют собственные наборы требований сетевой безопасности. Коммутаторы восприимчивы к большинству тех же атак уровня 3, что и маршрутизаторы. Несмотря на это, коммутаторы и уровень 2 эталонной модели взаимодействия открытых систем (OSI) подвержены сетевым атакам, производящимся различными способами. К ним относятся:

  • Переполнение таблицы ассоциативной памяти (CAM)

    Размер таблиц ассоциативной памяти (CAM) ограничен. Если в таблицу CAM внесено достаточное количество записей перед истечением срока действия уже имеющихся, таблица CAM заполняется до такой степени, что отказывается принимать новые записи. Как правило, атакующий направляет на коммутатор большое количество адресов управления доступом к среде передачи (MAC) из недействительного источника до тех пор, пока таблица ассоциативной памяти не заполнится. После заполнения таблицы коммутатор переполняет все порты входящим трафиком, т.к. не может обнаружить номер порта для определенного MAC-адреса в таблице CAM. По сути, коммутатор начинает работать как концентратор. Если атакующий не поддерживает непрерывный поток MAC-адресов из недействительного источника, коммутатор через некоторое время выбрасывает старые MAC-адреса из таблицы CAM и снова начинает работать как коммутатор. При переполнении таблицы CAM трафик распространяется только внутри локальной сети VLAN, таким образом, атакующий видит только внутренний трафик сети VLAN, к которой он или она подключен.

    Сдерживание атаки переполнения таблицы CAM производится с помощью настройки безопасности порта на коммутаторе. Данная функция позволяет указать список MAC-адресов для каждого из портов коммутатора или указать количество MAC-адресов, принимаемых портом. При обнаружении недействительного MAC-адреса на порту коммутатор либо блокирует нежелательный адрес, либо отключает порт. Указание MAC-адресов на портах коммутатора является решением, которое с трудом поддается управлению в условиях производственной среды. Ограничение количества MAC-адресов на порту коммутатора является более удобным с точки зрения управляемости. Наиболее удобным в управлении решением является применение динамической безопасности порта на коммутаторе. Для применения динамической безопасности порта укажите максимальное количество принимаемых MAC-адресов.

  • Имитация адреса управления доступом к среде передачи (MAC)

    Атаки с применением имитации адреса управления доступом к среде передачи (MAC) включают в себя использование известного MAC-адреса другого хоста с целью того, чтобы атакуемый коммутатор отправлял атакующему кадры, предназначенные для удаленного хоста. Когда один кадр отправляется с исходным Ethernet-адресом другого хоста, атакующий перезаписывает элемент таблицы CAM, таким образом, коммутатор направляет атакующему кадры, предназначенные для хоста. Хост не получает никакого трафика до тех пор, пока не завершит отправку. По завершении отправки трафика хостом, элемент таблицы CAM перезаписывается еще раз, чтобы его значение вернулось к оригинальному.

    Используйте функцию безопасности порта для предотвращения атак с использованием имитации MAC-адреса. Функция безопасности порта дает возможность указать MAC-адрес системы, подключенной к определенному порту. Также есть возможность указать действие, которое будет производиться при возможном нарушении безопасности порта.

  • Имитация протокола разрешения адресов (ARP)

    ARP используется для сопоставления IP-адресов и MAC-адресов в сегменте локальной сети, где находятся хосты одной подсети. Как правило, хост отправляет широковещательный ARP-запрос для обнаружения MAC-адреса другого хоста с определенным IP-адресом. ARP-ответ приходит с хоста, чей адрес совпадает с адресом, указанным в запросе. Затем запрашивающий хост кэширует ARP-ответ. В рамках ARP-протокола хостам предоставляется другая возможность для получения незатребованных ARP-ответов. Незатребованные ARP-ответы называются беспричинными ARP (GARP). GARP может быть использован атакующим для имитации подлинности IP-адреса в сегменте сети. Обычно это используется для имитации подлинности между двумя хостами или для всего входящего и исходящего трафика шлюза по умолчанию при атаках типа "человек посередине".

    После создания ARP-ответа атакующий может выдать свою систему за удаленный хост, который ищет отправитель. ARP-ответ заставляет отправителя сохранять MAC-адрес атакующей системы в кэше ARP. Данный MAC-адрес также сохраняется коммутатором в таблице CAM. Таким образом, атакующий внес MAC-адрес своей системы как в CAM таблицу коммутатора, так и в кэш ARP отправителя. Это позволяет атакующему перехватывать кадры, предназначавшиеся для имитируемого им хоста.

    Таймеры запрета на прием сообщений в конфигурационном меню интерфейса могут быть использованы для препятствования атакам с использованием ARP-имитации с помощью установки периода времени нахождения элемента в кэш-памяти ARP. Несмотря на это, таймеров запрета недостаточно. Требуется изменение времени срока хранения данных в кэше ARP на всех конечных системах, а также применение статических элементов ARP. Другим решением снижения риска различных основанных на ARP сетевых атак является использование DHCP-отслеживания совместно с динамической проверкой ARP. Данные функции Catalyst подтверждают подлинность ARP-пакетов и производят перехват, регистрацию и отбрасывание ARP-пакетов с недействительными привязками MAC-адресов к IP-адресам.

    Фильтры DHCP-отслеживания проверяют подлинность DHCP сообщений для обеспечения безопасности. Затем данные сообщения используются для построения и поддержания функционирования таблицы привязки DHCP-отслеживания. В процессе DHCP-отслеживания все сообщения DHCP, передаваемые через какой-либо порт со стороны пользователей, который не является портом DHCP-сервера, рассматриваются как недоверенные (untrusted). С точки зрения функции DHCP-отслеживания, эти недоверенные порты (на стороне пользователей) не должны отправлять ответы, связанные с типом сервера DHCP, такие как DHCPOFFER, DHCPACK или DHCPNAK. Таблица привязки DHCP-отслеживания содержит MAC-адрес, IP-адрес, время аренды, тип привязки, номер сети VLAN и сведения об интерфейсе, соответствующие локальным недоверенным интерфейсам коммутатора. Таблица привязки DHCP-отслеживания не содержит информацию по хостам, связанным с доверенным интерфейсом. Недоверенный интерфейс – это интерфейс, настроенный на получение сообщений, поступающих из внешней сети или за пределами межсетевого экрана. Доверенный интерфейс – это интерфейс, настроенный на получение сообщений только из внутренней сети. Таблица привязки DHCP-отслеживания может содержать как динамические, так и статические привязки MAC-адресов к IP-адресам.

    Динамичная проверка ARP определяет правильность пакета ARP на основании действующих привязок MAC-адресов к IP-адресам, хранящихся в базе данных привязок DHCP-отслеживания. К тому же, динамическая проверка AR может определять правильность пакетов ARP в соответствии с настраиваемыми пользователем списками контроля доступа. Это позволяется использовать проверку пакетов ARP для хостов, использующий статические IP-адреса. Динамическая проверка ARP позволяет с помощью использования списков контроля доступа к портам и сетям VLAN (PACL) ограничивать ARP-пакеты для указанных IP-адресов определенными MAC-адресами.

  • Истощение протокола динамической конфигурации хоста (DHCP)

    Суть атаки с использованием истощения DHCP состоит в рассылке DHCP-запросов с сымитированными MAC-адресами. Если отправлено достаточное количество запросов, атакующий может полностью истощить адресное пространство, доступное для DHCP-серверов на определенный период времени. Затем атакующий может создать фальшивый DHCP-сервер на своей системе и отвечать на новые DHCP-запросы клиентов сети. После размещения неавторизованного DHCP-сервера в сети атакующий может назначать клиентам адреса и прочие настройки сети. Поскольку DHCP-ответы обычно содержат сведения о шлюзе по умолчанию и DNS-сервере, атакующий может указать свою систему в качестве шлюза по умолчанию и DNS-сервера. Далее может быть проведена атака типа "man-in-the-middle". Однако, для установки фальшивого DHCP-сервера полного израсходования пространства DHCP-адресов не требуется.

    Дополнительные функции коммутаторов семейства Catalyst, такие как DHCP-отслеживание, могут быть использованы в борьбе против атаки на истощение DHCP-сервера. DHCP-отслеживание является функцией безопасности, которая позволяет фильтровать недоверенные DHCP-сообщения, создавать и поддерживать функционирование таблицы привязок DHCP-отслеживания. Таблица привязки содержит такую информацию как MAC-адрес, IP-адрес, время аренды, тип привязки, номер сети VLAN и сведения об интерфейсе, соответствующие локальным недоверенным интерфейсам коммутатора. Недоверенные сообщения – это сообщения, полученные снаружи сети или межсетевого экрана. Недоверенные интерфейсы коммутатора – это интерфейсы, настроенные на получение подобных сообщений снаружи сети или межсетевого экрана.

    Другие функции коммутатора Catalyst, такие как защита от подделки IP-адреса, могут предоставлять дополнительную защиту против атак, использующих истощение DHCP и имитацию IP. Как и DHCP-отслеживание, защита от подделки IP-адреса запускается на недоверенных портах уровня 2. Изначально блокируется весь IP-трафик, за исключением DHCP-пакетов, перехваченных процессом DHCP-отслеживания. Как только клиент получает действительный IP-адрес от DHCP-сервера, к данном порту применяется PACL. Это ограничивает IP-трафик клиента теми исходными IP-адресами, которые указаны в привязке. Остальной IP-трафик с исходными IP-адресами, отличными от адресов, указанных в привязке, фильтруется.

Настройка

В этом разделе приводится информация по настройке безопасности порта, DHCP-отслеживания, динамической проверки ARP и функций защиты от подделки IP-адреса.

Примечание. Воспользуйтесь Средством поиска команд (только для зарегистрированных клиентов) для получения дополнительных сведений о командах, упомянутых в этом разделе.

Конфигурация коммутатора Catalyst 3750 включает в себя следующее:

Схема сети

В данном документе используется следующая настройка сети.

  • PC 1 и PC 3 являются клиентами, подключенными к коммутатору.

  • PC 2 – это DHCP-сервер, подключенный к коммутатору.

  • Все порты коммутатора находятся в одной виртуальной сети (VLAN 1).

  • DHCP-сервер настроен для присвоения IP-адресов клиентам на основании их MAC-адресов.

layer2-secftrs-catl3fixed.gif

Безопасность портов

Функцию обеспечения безопасности портов можно использовать для фильтрации по MAC-адресам, указав адреса станций, которым будет разрешен доступ к порту. Это ограничивает поток входящих данных в интерфейс. Если для безопасного порта указаны безопасные MAC-адреса, он не будет пересылать пакеты с адресом источника, не принадлежащим к заданной группе адресов. Если ограничить количество безопасных адресов одним, указав единственный безопасный MAC-адрес, рабочая станция, привязанная к этому порту получит в полное распоряжение всю ширину его канала. Если порт настроен на режим безопасного порта, и достигнуто максимальное количество безопасных MAC-адресов, то попытка станции с MAC-адресом, не совпадающим ни с одним из указанных безопасных адресов, получить доступ к порту приведет к конфликту с системой безопасности. Также регистрируется нарушение безопасности, если станция с MAC-адресом, указанным в качестве безопасного для одного порта, попытается получить доступ к другому безопасному порту. По умолчанию при превышении максимального количества безопасных MAC-адресов порт отключается.

Примечание. Когда коммутатор Catalyst 3750 присоединяется к стеку, новый коммутатор получает данные об указанных безопасных адресах. Новый элемент стека загружает с других элементов все действующие безопасные адреса.

Инструкцию по настройке безопасности портов см. в документе Руководство по настройке.

Здесь показана функция обеспечения безопасности портов, настроенная на интерфейсе FastEthernet 1/0/2. По умолчанию допускается не более одного безопасного MAC-адреса для каждого интерфейса. Можно проверить состояние системы безопасности порта для интерфейса, введя команду show port-security interface.

Безопасность портов

Cat3750#show port-security interface fastEthernet 1/0/2
Port Security              : Disabled
Port Status                : Secure-down
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 0
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : 0000.0000.0000:0
Security Violation Count   : 0
!--- Параметры настройки безопасности портов, используемые на коммутаторе по умолчанию.

Cat3750#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Cat3750(config)#interface fastEthernet 1/0/2
Cat3750(config-if)#switchport port-security 
Command rejected: FastEthernet1/0/2 is a dynamic port.
!--- Параметры безопасности портов можно настроить только на портах статического доступа или портах магистрали.

Cat3750(config-if)#switchport mode access
!--- Установка в качестве режима доступа режима интерфейсного порта коммутатора.
 
Cat3750(config-if)#switchport port-security
!--- Активация функции безопасности портов на интерфейсе.
 
Cat3750(config-if)#switchport port-security mac-address 0011.858D.9AF9
!--- Установка безопасного MAC-адреса для интерфейса.

Cat3750(config-if)#switchport port-security violation shutdown
!--- Установка функции отключения в режиме нарушения безопасности. Этот режим используется по умолчанию.

Cat3750#
!--- К порту FastEthernet 1/0/2 подключен другой PC (PC 4)
!--- для проверки функции обеспечения безопасности порта.

00:22:51: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa1/0/2, 
           putting Fa1/0/2 in err-disable state
00:22:51: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, 
           caused by MAC address 0011.8565.4B75 on port FastEthernet1/0/2.
00:22:52: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0/2, 
           changed state to down
00:22:53: %LINK-3-UPDOWN: Interface FastEthernet1/0/2, changed state to down
!--- Интерфейс отключается при обнаружении нарушения безопасности.

Cat3750#show interfaces fastEthernet 1/0/2
FastEthernet1/0/2 is down, line protocol is down (err-disabled)
!--- Выходные данные подавляются.

!--- Отображается информация о том, что порт находится в состоянии error-disabled. Это выполняется для проверки конфигурации.

!--- Примечание. Если безопасный порт находится в состоянии error-disabled,  
!--- вывести его из этого состояния можно с помощью команды глобальной конфигурации  
!--- errdisable recovery cause psecure-violation   
!--- либо, активизировав его вручную с помощью команд конфигурации интерфейса
!--- shutdown и no shutdown.


Cat3750#show port-security interface fastEthernet 1/0/2
Port Security              : Enabled
Port Status                : Secure-shutdown
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : 0011.8565.4B75:1
Security Violation Count   : 1

Дополнительную информацию см. в документе Настройка безопасности портов.

DHCP-отслеживание

DHCP-отслеживание выполняет роль межсетевого экрана между недоверенными хостами и DHCP-серверами. DHCP-отслеживание используется для разделения не пользующихся доверием интерфейсов, подключенных к конечному пользователю, и доверенных интерфейсов, подключенных к DHCP-серверу или другому коммутатору. Когда коммутатор получает пакет на недоверенный интерфейс, и этот интерфейс принадлежит виртуальной сети (VLAN), в которой включено DHCP-отслеживание, коммутатор сравнивает MAC-адрес источника с аппаратным адресом клиента DHCP. Если адреса совпадают (по умолчанию), коммутатор пересылает пакет. Если адреса не совпадают, коммутатор отбрасывает пакет. Коммутатор может отбросить DHCP-пакет в одном из следующих случаев:

  • Пакет от DHCP-сервера, такой как пакеты DHCPOFFER, DHCPACK, DHCPNAK или DHCPLEASEQUERY, получен из внешней сети или за пределами межсетевого экрана.

  • Пакет получен на недоверенный интерфейс и MAC-адрес источника не совпадает с адресом оборудования клиента DHCP.

  • Коммутатор получает широковещательное сообщение DHCPRELEASE или DHCPDECLINE, указанные в нем MAC-адреса есть в базе данных привязок DHCP-отслеживания, но информация об интерфейсе, имеющаяся в этой базе данных не совпадает с интерфейсом, на который приходит сообщение.

  • Агент-ретранслятор DHCP пересылает DHCP-пакет, который включает в себя IP-адрес агента-ретранслятора не равный 0.0.0.0, или пакет, включающий в себя информацию параметра 82 на недоверенный порт.

Инструкцию по настройке DHCP-отслеживания см. в документе Руководство по настройке DHCP-отслеживания.

Примечание. Для нормальной работы функции DHCP-отслеживания все DHCP-серверы должны быть подключены к коммутатору через доверенные интерфейсы.

Примечание. В стеке с коммутаторами Catalyst 3750 DHCP-отслеживание управляется на мастере стека. Когда к стеку присоединяется новый коммутатор, он получает данные о конфигурации DHCP-отслеживания от мастера стека. Когда элемент покидает стек, все привязки DHCP-отслеживания, ассоциированные с ним, устаревают.

Примечание. Чтобы быть уверенным в точности времени аренды в параметре "lease time" базы данных, Cisco рекомендует включить и настроить протокол NTP. Если настроен NTP, коммутатор записывает изменения привязок в файл привязок только в том случае, если системные часы коммутатора синхронизированы с NTP.

Функциями DHCP-отслеживания могут быть нейтрализованы DHCP-серверы нарушители. Для включения глобального DHCP-отслеживания на коммутаторе используется команда ip dhcp snooping. Если функция DHCP-отслеживания настроена, все порты VLAN становятся недоверенными в отношении ответных сообщений DHCP. Здесь только интерфейс FastEthernet 1/0/3, подключенный к DHCP-серверу, настроен как доверенный.

DHCP-отслеживание

Cat3750#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Cat3750(config)#ip dhcp snooping

!--- Активация DHCP-отслеживания на коммутаторе.
 
Cat3750(config)#ip dhcp snooping vlan 1

!--- Функция DHCP-отслеживания не активируется до тех пор, пока DHCP-отслеживание не активировано на VLAN.

Cat3750(config)#no ip dhcp snooping information option
!--- Деактивация вставки и удаления поля option-82, если  
!--- DHCP-клиенты и DHCP-сервер находятся в той же IP-сети или подсети.

Cat3750(config)#interface fastEthernet 1/0/3
Cat3750(config-if)#ip dhcp snooping trust
!--- Настройка интерфейса, подключенного к DHCP-серверу, в качестве доверенного интерфейса.

Cat3750#show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1
Insertion of option 82 is disabled
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
FastEthernet1/0/3            yes         unlimited
!--- Отображение настроек DHCP-отслеживания для коммутатора.

Cat3750#show ip dhcp snooping binding
MacAddress          IpAddress        Lease(sec)  Type           VLAN  Interface
------------------  ---------------  ----------  -------------  ----  --------------------
00:11:85:A5:7B:F5     10.0.0.2        86391       dhcp-snooping  1    FastEtheret1/0/1
00:11:85:8D:9A:F9     10.0.0.3        86313       dhcp-snooping  1    FastEtheret1/0/2
Total number of bindings: 2
!--- Отображение записей о привязках DHCP-отслеживания для коммутатора.

Cat3750#
!--- DHCP-сервер (серверы), подключенный к недоверенным портам, не может 
!--- назначать IP-адреса клиентам.

Дополнительную информацию см. в документе Настройка функций DHCP.

Динамическая ARP-проверка

Динамическая ARP-проверка – это функция безопасности, выполняющая проверку ARP-пакетов в сети. Она перехватывает, регистрирует и удаляет ARP-пакеты с неправильной привязкой IP-адресов и MAC-адресов. Эта функция защищает сеть от определенных атак типа "man-in-the-middle".

Динамическая ARP-проверка гарантирует настройку на получение и отправление только правильных запросов ARP. Коммутатор выполняет следующие действия:

  • Перехват всех принятых и отправленных ARP-запросов из недоверенного порта.

  • Проверка правильности привязки адресов IP-MAC каждого из перехваченных пакетов до обновления локального ARP-кэша или до того, как пакеты будут переадресованы по соответствующему назначению.

  • Удаление неверных ARP-пакетов

Динамичная проверка ARP определяет правильность пакета ARP на основании действительных привязок IP-адресов к MAC-адресам, хранящихся в доверенной базе данных, базе данных привязок DHCP-отслеживания. Эта база данных создается DHCP-отслеживанием, если функция DHCP-отслеживания включена на сетях VLAN и коммутаторе. При получении доверенным интерфейсом пакета ARP, коммутатор передает пакет без выполнения каких-либо проверок. Если интерфейс недоверенный, коммутатор передает пакет только если он является действительным.

В условиях, не относящихся к DHCP, функция динамической проверки ARP может выполнить проверку пакетов ARP относительно списков управления доступом ARP, настроенных пользователем для хостов со статически настроенными IP-адресами. Для определения списка управления доступом ARP можно выполнить команду глобальной конфигурации arp access-list. Списки управления доступом ARP имеют больший приоритет чем приоритет записей в базе данных привязки DHCP-отслеживания. Коммутатор использует списки управления доступом только в случае использования команды глобальной конфигурации ip arp inspection filter vlan для настройки списков управления доступом. Сначала коммутатор сравнивает ARP-пакеты с настроенными пользователем списками управления доступом ARP. Если ARP ACL отклоняет ARP-пакет, коммутатор также отклоняет этот пакет, даже если в базе данных, заполненной с помощью DHCP-отслеживания, существует правильная привязка.

Дополнительную информацию о динамической ARP-проверке см. в документе Руководство по настройке динамической ARP-проверки.

Команда глобальной конфигурации ip arp inspection vlan используется для активизации динамической ARP-проверки на уровне VLAN. Здесь только интерфейс FastEthernet 1/0/3, подключенный к DHCP серверу, настроен как доверенный с помощью команды ip arp inspection trust. Функция DHCP-отслеживания должна быть включена для разрешения ARP-пакетов с динамически назначаемыми IP-адресами. Информацию о настройке функции DHCP-отслеживания см. в разделе DHCP-отслеживание данного документа.

Динамическая ARP-проверка

Cat3750#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Cat3750(config)#ip arp inspection vlan 1
!--- Активация динамической ARP-проверки на VLAN.

Cat3750(config)#interface fastEthernet 1/0/3
Cat3750(config-if)#ip arp inspection trust
!--- Настройка интерфейса, подключенного к DHCP-серверу, в качестве доверенного интерфейса.

Cat3750#show ip arp inspection vlan 1

Source Mac Validation      : Disabled
Destination Mac Validation : Disabled
IP Address Validation      : Disabled

 Vlan     Configuration    Operation   ACL Match          Static ACL
 ----     -------------    ---------   ---------          ----------
    1     Enabled          Active

 Vlan     ACL Logging      DHCP Logging
 ----     -----------      ------------
    1     Deny             Deny
!--- Проверка настройки динамической ARP-проверки.

Cat3750#

Дополнительную информацию см. в документе Настройка динамической ARP-проверки.

Защита от подделки IP-адреса

Безопасность IP-источника – это функция обеспечения безопасности, фильтрующая трафик на основе базы данных привязок DHCP-отслеживания и настраиваемых вручную привязок IP-источников, что позволяет ограничивать IP-трафик на немаршрутизируемых интерфейсах уровня 2. Функция защиты от подделки IP-адреса используется для предотвращения атак на трафик, вызванных попытками хоста использовать IP-адрес соседей. Функция защиты от подделки IP-адреса препятствует IP/MAC-спуфингу.

Данную функцию можно включить, если функция DHCP-отслеживания включена на недоверенном интерфейсе. После включения на интерфейсе функции защиты от подделки IP-адреса, коммутатор блокирует весь полученный на интерфейсе IP-трафик, за исключением пакетов DHCP, допущенных в результате DHCP-отслеживания. К интерфейсу применяется порт списка управления доступом. Порт списка управления доступом пропускает только IP-трафик с IP-адресом источника, указанным в таблице привязки IP-источника, и блокирует остальной трафик.

В таблице привязки IP-источника указаны привязки, полученные в результате DHCP-отслеживания или настроенные вручную (статические привязки IP-источника). Запись в таблице содержит IP-адрес, ассоциированный MAC-адрес и ассоциированный номер сети VLAN. При включении функции защиты от подделки IP-адреса коммутатор использует таблицу привязки IP-источника.

В зависимости от выполненных настроек, данную функцию можно использовать совместно с фильтрацией IP-адресов или фильтрацией IP-источников и MAC-адресов. При включении данного параметра функции защиты от подделки IP-адреса, фильтрация IP-трафика выполняется на основании IP-адреса источника. Коммутатор передает IP-трафик, когда IP-адрес источника совпадает с записью в базе данных привязок DHCP-отслеживания или привязкой в таблице привязок IP-источника. При включении данного параметра функции защиты от подделки IP-адреса, фильтрация IP-трафика выполняется на основании IP-источника и MAC-адресов. Коммутатор передает IP-трафик только в том случае, если IP-источник и MAC-адреса совпадают с записью в таблице привязок IP-источника.

Примечание. Функция защиты от подделки IP-адреса поддерживается только на портах уровня 2, включающем порты доступа и магистральные порты.

Инструкцию по настройке функции обеспечения безопасности IP-источника см. в документе Руководство по настройке функции защиты от подделки IP-адреса.

Как указано ниже, защита от подделки IP-адреса, используемая совместно с фильтрацией IP-источников, настраивается на интерфейсе FastEthernet 1/0/1 с помощью команды ip verify source. Когда функция защиты от подделки IP-адреса, используемая совместно с фильтрацией IP-источников, включена на сети VLAN, необходимо включить функцию DHCP-отслеживания на VLAN доступа, к которой относится интерфейс. Введите команду show ip verify source, чтобы проверить конфигурацию функции защиты от подделки IP-адреса на коммутаторе.

Защита от подделки IP-адреса

Cat3750#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Cat3750(config)#ip dhcp snooping 
Cat3750(config)#ip dhcp snooping vlan 1
!--- См. раздел DHCP-отслеживание данного документа
!--- для получения информации о настройке функции DHCP-отслеживания.

Cat3750(config)#interface fastEthernet 1/0/1
Cat3750(config-if)#ip verify source
!--- Активация функции защиты от подделки IP-адреса совместно с фильтрацией IP-источников.

Cat3750#show ip verify source
Interface  Filter-type  Filter-mode  IP-address       Mac-address        Vlan
---------  -----------  -----------  ---------------  -----------------  -----
Fa1/0/1    ip           active       10.0.0.2                              1
!--- Для VLAN 1 функция защиты от подделки IP-адреса совместно с фильтрацией IP-источников настраивается 
!--- на интерфейсе, при этом на интерфейсе установлена привязка.

Cat3750#

Дополнительную информацию см. в документе Общие сведения о функции защиты от подделки IP-адреса.

Проверка

В настоящее время для этой конфигурации нет процедуры проверки.

Поиск и устранение неполадок

Для этой конфигурации отсутствуют сведения об устранении неполадок.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 72846