使用的方法是採用DHCP方式爲用戶分配IP,然後限定這些用戶只能使用動態IP的方式,如果改成靜態IP的方式則不能連接上網絡;也就是使用了DHCP SNOOPING功能。
例子:
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service compress-config
!
hostname C4-2_4506
!
enable password xxxxxxx!
clock timezone GMT 8
ip subnet-zero
no ip domain-lookup
!
ip dhcp snooping vlan 180-181 // 對哪些VLAN 進行限制
ip dhcp snooping
ip arp inspection vlan 180-181
ip arp inspection validate src-mac dst-mac ip
errdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause security-violation
errdisable recovery cause channel-misconfig
errdisable recovery cause pagp-flap
errdisable recovery cause dtp-flap
errdisable recovery cause link-flap
errdisable recovery cause l2ptguard
errdisable recovery cause psecure-violation
errdisable recovery cause gbic-invalid
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause unicast-flood
errdisable recovery cause vmps
errdisable recovery cause arp-inspection
errdisable recovery interval 30
spanning-tree extend system-id
!
!
interface GigabitEthernet2/1 // 對該端口接入的用戶進行限制,可以下聯交換機
ip arp inspection limit rate 100
arp timeout 2
ip dhcp snooping limit rate 100
!
interface GigabitEthernet2/2
ip arp inspection limit rate 100
arp timeout 2
ip dhcp snooping limit rate 100
!
interface GigabitEthernet2/3
ip arp inspection limit rate 100
arp timeout 2
ip dhcp snooping limit rate 100
!
interface GigabitEthernet2/4
ip arp inspection limit rate 100
arp timeout 2
ip dhcp snooping limit rate 100
--More--
IP Source Guard
要使用IP source guard的話有個前提,就是先要啓用DHCP snooping.
DHCP snooping是一種通過建立和維護一個DHCP綁定數據庫來提供過濾不可信的DHCP消息
的一種安全特性. 通過啓用DHCP snooping通過保證DHCP的合法性.
就是說所有的DHCP OFFER都是由可信的DHCP Server發出的.而不是僞造的.
有了這個保證後就可以使用IP source guard來防止IP盜用了.
###瞭解IP Source Guard
IP source guard是一種在2層的,非路由口上的基於DHCP snooping綁定數據庫和手工配置
IP源綁定來限制IP流量的安全特性.可以使用IP source guard來阻止盜用鄰居IP而導致的
流量***.
當DHCP snooping在一個非信任口啓用的時候,就可以啓用它上面的IP source guard了.
當IP source guard啓用後,交換機將阻止非信任口上收到的除DHCP snooping允許的DHCP包
以外的所有IP流量.一條端口訪問控制列表將應用到這個端口上.這條端口訪問控制列表僅
允許在IP source綁定表中存在的源地址的IP流量,並阻止其他的流量.
IP source綁定表綁定了從DHCP snooping或者手工配置(靜態IPsource綁定)學來的源地址.
表中的每一項都有一個IP地址,並和一個MAC地址和一個VLAN號相關聯.交換機僅在
IP source guard啓用的時候使用IP source綁定表.
IP source guard僅支持2層端口,包括acess和trunk口.可以配置IP source guard和源IP
地址過濾或者IP/MAC地址過濾共同工作.
當IP source guard啓用並使用這個選項的時候, IP流量會基於源IP地址進行過濾.
當源IP地址爲符合DCHP snooping綁定數據庫或者IP source綁定表中的條目的IP流量,
交換機纔會進行轉發.
當在一個接口上添加,改變或者刪除DHCP snooping綁定或者靜態IP source綁定的時候,
交換機將修改端口訪問控制列表以使用更改後的IP source綁定,並重新在接口上應用
這條端口訪問控制列表.
如果在沒有啓動IP source 綁定(通過DHCP snooping動態學習或者手工配置)的接口上啓用
IP source guard,交換機將在這個接口上創建並應用一個端口訪問控制列表來阻止所有的
IP流量.如果禁用IP source guard,那麼交換機則會把這個端口訪問控制列表從接口上移除.
###源IP和MAC地址過濾--Source IP and MAC Address Filtering
當IP source guard啓用並使用這個選項的時候, IP流量會基於源IP和MAC地址進行過濾.
當源IP和MAC地址爲符合IP source綁定表中的條目的IP流量,交換機纔會進行轉發.
當帶源IP和MAC地址的IP source guard啓用時,交換機會過濾IP和非IP流量.如果一個IP
或者非IP數據包的源MAC地址符合一個有效的IP source綁定,那麼交換機將轉發這個數據包.
然後交換機將丟棄除DHCP包以外的其他所有類型的數據包.
交換機使用端口安全策略來過濾源MAC地址.如果一個接口上出現了不符合端口安全策略的
情況,那麼這個接口就有可能被shutdown.
瞭解了IP source guard的用處,那麼我們就可以在接入交換機上配置DHCP Snooping和
IP source guard. 這樣就可以僅僅允許通過DHCP獲得地址的機器可以通信.自己指定
IP地址的機器就無法通信了.
不過,這個特性是要在 Cisco Catalyst 3550 EMI /3560 EMI /3750 EMI 系列以上的交換機
才支持. 對於價格便宜的 Cisco Catalyst 2950 SI/EI 系列交換機只支持DHCP snooping
參考文檔:
Catalyst 3550 Multilayer Switch Software Configuration Guide, Rel. 12.2(25)SEB
-- Configuring DHCP Features and IP Source Guard
http://www.cisco.com/en/US/partner/product...0080403b4e.html
在非可信端口上實施DHCP Snooping IP Source Guard
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.