(TK) Funkcja IP Source Guard*

Teoria funkcji IP Source Guard

  • Funkcja IP guard umożliwia weryfikację źródłowych adresów IP oraz źródłowych adresów MAC, ramek Ethernet-owych nadawanych przez urządzenia końcowe. Dzięki zawartej w pamięci urządzenia bazie DHCP binding, kojarzącej adres IP z adresami MAC jak i portem, do którego przynależą, przełącznik może weryfikować czy nadchodzące na interfejs ramki Ethernet-owe są zgodne z przypisanymi do interfejsu adresami źródłowymi. Dzięki takiej weryfikacji nadchodzącego ruchu sieciowego, sieć lokalna jest częściowo chroniona przed atakami typu „Men-in-the-Middle”.
Do poprawnego działania IP guard wymaga funkcji DHCP Snooping.

Konfiguracja funkcji IP Source Guard

Konfiguracja bazy DHCP Binding

(config)# ip source binding adres-MAC vlan VLAN-id adres-IP interface interfejs

Statycznie przypisuje adres MAC do adresu IP, kojarząc obydwa adresy z danym interfejsem sieciowym.
Dynamiczne przypisywanie adresów IP do adresów MAC jest możliwe tylko za pomocą funkcji DHCP Snooping.

Konfiguracja funkcji IP guard

(config)# interface interfejs

Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# ip verify source [port-security]

Rozpoczyna weryfikację źródłowych adresów IP na danym interfejsie. Dodatkowa pod-komanda „port-security” rozszerza zakres weryfikacje o adresy MAC.

Komendy SHOW

# show ip verify source [interface interfejs]

Wyświetla Status funkcji IP guard na danym przełączniku.

# show ip source binding [interface interfejs / adres-MAC / adres-IP]

Wyświetla zawartość bazy IP Guard, wskazując odwzorowanie interfejsów sieciowych przełącznika na adresy MAC oraz adresy IP.

Pozostałe artykuły dotyczące bezpieczeństwa warstwy drugiej

PDFPRINT

Robert T Kucharski

Cisco Network Engineer in GPW.

Dodaj komentarz