Перейти к содержанию

IP Source Guard

IP Source Guard - функция безопасности на коммутаторах, которая предотвращает подмену IP-адресов. Она разрешает передачу трафика только от тех IP-адресов, которые закреплены за конкретным портом и MAC-адресом.

IP Source Guard динамически создает таблицу привязки на основе записей DHCP Snooping (можно сделать привязку статически).

Необходимые условия и предварительные требования

  • Настроенный DHCP-сервер;
  • Настроенный DHCP Snooping для формирования таблицы привязок.

Назначение применяемой команды/конфигурации

Команды в режиме глобальной конфигурации

1
2
3
ip verify source [translate]

no ip verify source

Команды в режиме настройки интерфейса

1
2
3
ip verify source [limit <0-2>]

no ip verify source [limit]

Команды отображения информации

1
show ip verify source [interface]

Пример конфигурирования

Настройка

Шаг 1. Включение IP Source Guard глобально 

1
2
# configure terminal
(config)# ip verify source

Шаг 2. Настройка порта GigabitEthernet 1/21-22 для подключения клиентов 

1
2
3
4
5
(config)# interface GigabitEthernet 1/21
(config-if)# description TO-DHCP-CLIENT
(config-if)# switchport access vlan 2501
(config-if)# no spanning-tree
(config-if)# spanning-tree edge

Шаг 3. Настройка порта как untrusted для dhcp snooping 

1
(config-if)# no ip dhcp snooping trust

Шаг 4. Включение IP Source Guard на порту 

1
(config-if)# ip verify source

Шаг 5. Настройка порта GigabitEthernet 1/23 для подключения DHCP сервера 

1
2
3
4
config# interface GigabitEthernet 1/23
(config-if)# description TO-DHCP-SERVER
(config-if)# switchport access vlan 2501
(config-if)# ip dhcp snooping trust

Полный вывод выполненных конфигураций

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
configure terminal
!
ip verify source
!
interface GigabitEthernet 1/21
 description TO-DHCP-CLIENT
 switchport access vlan 2501
 no spanning-tree
 spanning-tree edge
 no ip dhcp snooping trust
 ip verify source
!
interface GigabitEthernet 1/22
 description TO-DHCP-CLIENT
 switchport access vlan 2501
 no spanning-tree
 spanning-tree edge
 no ip dhcp snooping trust
 ip verify source
!
interface GigabitEthernet 1/23
 description TO-DHCP-SERVER
 switchport access vlan 2501
 ip dhcp snooping trust

Изучение состояния устройства

Просмотр конфигурации

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
# show ip verify source interface GigabitEthernet 1/21-23

Port                      Port Mode    Dynamic Entry Limit
----                      ---------    -------------------
GigabitEthernet 1/21      enabled      unlimited
GigabitEthernet 1/22      enabled      unlimited
GigabitEthernet 1/23      disabled     unlimited



# show ip source binding

Type     Port                    VLAN  IP Address       MAC Address
----     ----                    ----  ----------       -----------
Dynamic  GigabitEthernet 1/21    2501  10.50.101.104    00-07-32-78-47-fa
Dynamic  GigabitEthernet 1/22    2501  10.50.101.105    a0-36-9f-f2-6d-d5