Настройка IP Source Guard¶
Описание и назначение функции¶
IP Source Guard ограничивает прием IP-пакетов на интерфейсе по таблице привязок. Коммутатор сверяет источник пакета с записью IP/MAC/VLAN и пропускает только тот трафик, который совпадает с разрешенной привязкой; несовпадающие пакеты отбрасываются. Функция работает на уровне интерфейса и использует либо статические записи, заданные вручную, либо динамические записи, построенные на основе DHCP Snooping.
Основные сценарии использования:
- Защита пользовательского порта с фиксированным IP-адресом.
- Защита серверного или технологического узла с заранее известными IP- и MAC-адресами.
- Контроль абонентских портов, где таблицу привязок формирует DHCP Snooping.
Используйте IP Source Guard на граничных L2-интерфейсах, где важно запретить подмену IP-адреса. Для хостов со статической адресацией удобны статические привязки; для клиентских портов с DHCP удобнее динамические записи из DHCP Snooping.
Note
После включения IP Source Guard интерфейс не пропускает обычный IP-трафик, пока на устройстве нет подходящей записи в таблице привязок. Исключение - DHCP-пакеты, которые обрабатывает DHCP Snooping.
Необходимые условия и предварительные требования¶
Для настройки IP Source Guard требуется:
- Аппаратная платформа CIT серии L3200.
- Версия ПО: v1.0.2 и выше (серия CIT L3200).
- Интерфейс, на котором включаете защиту, должен использоваться как L2-порт; в смежных сетевых ОС эта функция применяется на портах уровня 2, включая access и trunk.
- Для динамических записей должен быть включен DHCP Snooping.
- Для динамических записей клиентский интерфейс должен участвовать в формировании таблицы DHCP Snooping; такая таблица заполняется по локальным нетрастовым интерфейсам.
- Для статических записей должны быть известны IP-адрес, MAC-адрес, VLAN и физический интерфейс узла.
- На CIT L3200 команда
user-bind staticв предоставленном CLI принимает только физический интерфейс; указаниеeth-trunkне поддерживается. - Если физический порт уже включен в агрегирование, команда статической привязки завершается ошибкой
%%Failed.User interface is in the trunk. (0x41d0002).
Note
По вашим тестам команда ip source check user-bind enable доступна в представлении interface eth-trunk, но статическую привязку создавайте на физическом порту, не входящем в Eth-Trunk.
Назначение команд конфигурации¶
| Команда | Режим | Назначение | ||
|---|---|---|---|---|
configure |
Privileged EXEC | Переходит в режим глобальной конфигурации. | ||
user-bind static ip 192.168.10.10 mac 00:11:22:33:44:55 interface 10gigaethernet 2/1/0/15 vlan 10 |
Global config | Создает статическую привязку IP/MAC/VLAN к физическому интерфейсу. | ||
interface 10gigaethernet 2/1/0/15 |
Global config | Переходит в режим настройки пользовательского порта. | ||
ip source check user-bind enable |
Interface config | Включает IP Source Guard на интерфейсе. | ||
ip source check user-bind check-item { ip-address | mac-address | vlan } |
Interface config | Опционально задает поля, по которым коммутатор сверяет пакет с таблицей привязок. По умолчанию используются IP, MAC и VLAN. | ||
show user-bind |
Privileged EXEC | Показывает текущую таблицу привязок. | ||
show user-bind config |
Privileged EXEC | Показывает сохраненные команды привязки и интерфейсы, где включена проверка. | ||
show ip source check user-bind |
Privileged EXEC | Показывает, на каких интерфейсах включена проверка, и счетчики отброшенных пакетов. | ||
show running-config |
Privileged EXEC | Показывает активную конфигурацию устройства. |
Базовая схема настройки состоит из двух действий: сначала создайте корректную привязку, затем включите проверку на нужном интерфейсе. Если планируете динамический сценарий, IP Source Guard использует записи, которые DHCP Snooping добавляет в таблицу привязок после выдачи адреса.
Пример конфигурирования¶
Пошаговые инструкции¶
Шаг 1: Перейдите в режим конфигурации
Команда открывает режим глобальной конфигурации.
Шаг 2: Создайте статическую привязку для хоста
Команда связывает IP-адрес, MAC-адрес, VLAN и физический порт в одной записи. Такой сценарий удобен для узлов со статической адресацией и небольшого числа заранее известных хостов.
Шаг 3: Перейдите в режим интерфейса
Выберите тот же порт, для которого создали статическую привязку.
Шаг 4: Включите IP Source Guard
После включения коммутатор начнет сравнивать входящие пакеты с таблицей привязок и отбрасывать несовпадающий трафик.
Шаг 5: Выйдите из режима конфигурации
На этом базовая настройка завершена.
Шаг 6: Проверьте таблицу привязок
Вывод подтверждает, что коммутатор создал одну статическую запись для порта 10ge2/1/0/15.
Note
По фактическому CLI CIT L3200 не принимает user-bind static ... interface eth-trunk .... Если порт уже состоит в агрегировании, команда завершится ошибкой о том, что интерфейс находится в trunk.
Полный вывод выполненных конфигураций¶
Команды для copy-paste в режиме privileged EXEC:
Вывод show running-config:
Изучение состояния устройства¶
Просмотр конфигурации¶
Проверка активной конфигурации:
Обратите внимание на строки:
user-bind static ip 192.168.10.10 mac 00:11:22:33:44:55 interface 10gigaethernet 2/1/0/15 vlan 10- проверяем наличие статической привязки.ip source check user-bind enable- проверяем, что защита включена на нужном интерфейсе.
Просмотр параметров работы¶
Проверка таблицы привязок:
Проверьте соответствие IP-адреса, MAC-адреса, VLAN и интерфейса. Для динамического сценария в этой таблице должны появляться записи, сформированные на основе DHCP Snooping.
Проверка включения функции на интерфейсе:
Этот вывод из вашего тестового стенда подтверждает синтаксис команды проверки и наличие счетчика отброшенных IP-пакетов. Рост счетчика при рабочем хосте обычно указывает на несовпадение IP, MAC, VLAN или интерфейса с записью в таблице.
Проверка сохраненной конфигурации функции:
Команда удобна, когда нужно быстро сопоставить созданные привязки и интерфейсы, где включена проверка.
Рекомендации выполнения команд и настроек¶
Выбор интерфейса
- Создавайте статические привязки только для конечных пользовательских портов.
- Не назначайте
user-bind staticна интерфейс, который уже входит в Eth-Trunk. - Не используйте
eth-trunkв самой командеuser-bind static; по вашему CLI эта форма не поддерживается.
Согласованность данных привязки
- Указывайте точные IP- и MAC-адреса конечного узла.
- Проверяйте VLAN в записи; ошибка в VLAN приводит к отбрасыванию пакетов даже при правильных IP и MAC.
- После замены сетевой карты или виртуального адаптера обновляйте статическую запись.
Выбор сценария
- Применяйте статические записи для серверов, контроллеров и других узлов с ручной адресацией.
- Применяйте DHCP Snooping + динамические записи для абонентских портов с DHCP.
Поля проверки
- Учитывайте, что по умолчанию проверка использует IP-адрес, MAC-адрес и VLAN.
- Меняйте
ip source check user-bind check-itemтолько если понимаете, какие поля должны участвовать в сопоставлении на вашем участке сети.
Диагностика
- Сразу после включения проверяйте
show user-bindиshow ip source check user-bind. - Если трафик исчез сразу после активации, сначала ищите отсутствие привязки или несовпадение параметров записи, а не ошибку маршрутизации.
История возникновения команды¶
Команды в данной главе применимы для:
- Аппаратных платформ CIT серии L3200 с установленной версией ПО v1.0.2 и выше
- Являются актуальными с версии ПО v1.0.2
Версия ПО
По предоставленным данным команда доступна и работает на CIT L3200 с ПО V1.0.2; это подтверждает текущая тестовая конфигурация и выводы CLI.
Ссылка на внешнюю документацию¶
Документация
При возникновении вопросов обратитесь к технической поддержке.