《开启cisco交换机ip source guard功能》由会员分享,可在线阅读,更多相关《开启cisco交换机ip source guard功能(8页珍藏版)》请在金锄头文库上搜索。
1、 查看文章 开启 Cisco交换机 IP Source Guard功能2009年 04月 03日 星期五 14:31一、IP 地址盗用IP地址的盗用方法多种多样,其常用方法主要有以下几种: 1、静态修改 IP地址对于任何一个 TCP/IP实现来说,IP 地址都是其用户配置的必选项。如果用户在配置 TCP/IP或修改 TCP/IP配置时,使用的不是授权分配的 IP地址,就形成了 IP地址盗用。由于 IP地址是一个逻辑地址,因此无法限制用户对于其主机 IP地址的静态修改。2、成对修改 IP-MAC地址对于静态修改 IP地址的问题,现在很多单位都采用 IP与 MAC绑定技术加以解决。针对绑定技术,I
2、P 盗用技术又有了新的发展,即成对修改 IP-MAC 地址。现在的一些兼容网卡,其 MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的 IP 地址和 MAC地址都改为另外一台合法主机的 IP地址和 MAC地址,其同样可以接入网络。另外,对于那些 MAC地址不能直接修改的网卡来说,用户还可以采用软件的办法来修改 MAC地址,即通过修改底层网络软件达到欺骗上层网络软件的目的。3、动态修改 IP地址某些攻击程序在网络上收发数据包,可以绕过上层网络软件,动态修改自己的 IP 地址(或IP-MAC地址对),以达到 IP欺骗。二、IP Source Guard 技术介绍IP源防护(IP Sourc
3、e Guard,简称 IPSG)是一种基于 IP/MAC的端口流量过滤技术,它可以防止局域网内的 IP地址欺骗攻击。IPSG 能够确保第 2层网络中终端设备的 IP地址不会被劫持,而且还能确保非授权设备不能通过自己指定 IP地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。交换机内部有一个 IP源绑定表(IP Source Binding Table)作为每个端口接受到的数据包的检测标准,只有在两种情况下,交换机会转发数据:所接收到的 IP包满足 IP源绑定表中 Port/IP/MAC的对应关系所接收到的是 DHCP数据包其余数据包将被交换机做丢弃处理。IP源绑定表可以由用户在交换机上静态添加
4、,或者由交换机从 DHCP监听绑定表(DHCP Snooping Binding Table)自动学习获得。 静态配置是一种简单而固定的方式,但灵活性很差,因此 Cisco建议用户最好结合 DHCP Snooping技术使用 IP Source Guard,由 DHCP监听绑定表生成 IP源绑定表。以 DHCP Snooping技术为前提讲一下 IP Source Guard技术的原理。 在这种环境下,连接在交换机上的所有 PC都配置为动态获取 IP地址,PC 作为 DHCP客户端通过广播发送 DHCP请求,DHCP服务器将含有 IP地址信息的 DHCP回复通过单播的方式发送给 DHCP客户端
5、,交换机从 DHCP报文中提取关键信息(包括 IP地址,MAC 地址,vlan 号,端口号,租期等),并把这些信息保存 到 DHCP 监听绑定表中。(以上这个过程是由 DHCP Snooping完成的)接下来的由 IP Source Guard完成。交换机根据 DHCP监听绑定表的内容自动生成 IP源绑定表,然后 IOS根据 IP源绑定表里面的内容自动在接口加载基于端口的 VLAN ACL(PVACL),由该ACL(可以称之为源 IP地址过滤器)来过滤所有 IP流量。客户端发送的 IP数据包中,只有其源IP地址满足源 IP绑定表才会被发送,对于具有源 IP绑定表之外的其他源 IP地址的流量,都
6、将被过滤。PC没有发送 DHCP请求时,其连接的交换机端口默认拒绝除了 DHCP请求之外的所有数据包,因此 PC使用静态 IP是无法连接网络的(除非已经存在绑定好的源 IP绑定条目,如静态源 IP绑定条目或者是之前已经生成的动态 IP绑定条目还没过期,而且 PC还必须插在正确的端口并设置正确的静态 IP地址)。IP源防护只支持第 2层端口,其中包括接入(access)端口和干道(trunk)接口。IP 源防护的信任端口/非信任端口也就是 DHCP监听的信任端口/非信任端口。对于非信任端口存在以下两种级别的 IP流量安全过滤:源 IP地址过滤:根据源 IP地址对 IP流量进行过滤,只有当源 IP
7、地址与 IP源绑定条目匹配,IP流量才允许通过。当端口创建、 修改、 删除新的 IP源绑定条目的时候,IP 源地址过滤器将发生变化。为了能够反映 IP源绑定的变更,端口 PACL将被重新修改并重新应用到端口上。 默认情况下,如果端口在没有存在 IP源绑定条目的情况下启用了 IP源防护功能,默认的 PACL将拒绝端口的所有流量(实际上是除 DHCP 报文以外的所有 IP流量)。源 IP和源 MAC地址过滤:根据源 IP地址和源 MAC地址对 IP流量进行过滤,只有当源 IP地址和源 MAC地址都与 IP源绑定条目匹配,IP 流量才允许通过。当以 IP和 MAC地址作为过滤的时候,为了确保 DHC
8、P协议能够正常的工作,还必须启用 DHCP监听选项 82。 对于没有选项 82的数据,交换机不能确定用于转发 DHCP服务器响应的客户端主机端口。相反地,DHCP 服务器响应将被丢弃,客户机也不能获得 IP地址。注:交换机使用端口安全(Port Security)来过滤源 MAC地址。当交换机只使用“IP 源地址过滤”时,IP 源防护功能与端口安全功能是相互独立的关系。 端口安全是否开启对于 IP源防护功能来说不是必须的。 如果同时开启,则两者也只是一种宽松的合作关系,IP 源防护防止 IP地址欺骗,端口安全防止 MAC地址欺骗。而当交换机使用“源 IP和源 MAC地址过滤”时,IP 源防护功
9、能与端口安全功能是就变成了一种“集成”关系,更确切的说是端口安全功能被集成到 IP 源防护功能里,作为 IP源防护的一个必须的组成部分。在这种模式下,端口安全的违规处理(violation)功能将被关闭。对于非法的二层报文,都将只是被简单的丢弃,而不会再执行端口安全的违规处理了。IP 源防护功能不能防止客户端 PC的 ARP攻击。ARP 攻击问题必须由 DAI功能来解决。如果要支持 IP源防护功能,必须是 35系列及以上的交换机。2960 目前不支持该功能。三、IP Source Guard 的配置(IPSG 配置前必须先配置 ip dhcp snooping)Switch(config-if
10、)# ip verify sourceSwitch(config-if)#ip verify source vlan dhcp-snooping /接口级命令;在该接口下开启 IP源防护功能 说明:I、这两条语句的作用是一样的,不同的是:ip verify source是 35系列交换机的命令ip verify source vlan dhcp-snooping是 45/65系列交换机以及 76系列路由器的命令II、这两条命令后还有个参数 port-security,即命令:Switch (config-if)#ip verify source port-securitySwitch (con
11、fig-if)#ip verify source vlan dhcp-snooping port-security不加 port-security参数,表示 IP源防护功能只执行“源 IP地址过滤”模式加上 port-security参数以后,就表示 IP源防护功能执行“源 IP和源 MAC地址过滤”模式另外,在执行这两条命令之前需要先执行 switchport port-security命令。III、当执行“源 IP和源 MAC地址过滤”模式时,还可以通过以下命令限制非法 MAC包的速度Switch (config-if)#switchport port-security limit rat
12、e invalid-source-mac 50/接口级命令;限制非法二层报文的速度为每秒 50个;可以用参数 none表示不限制/只在“源 IP和源 MAC地址过滤”模式下有效,并且只有 45系列及以上才支持该命令;IV、 另外,在发生 IP地址欺骗时,35/45 系列交换机不会提供任何报错信息,只是丢弃数据报文;而 65系列交换机会发出 IP地址违背的报错信息。添加一条静态 IP源绑定条目:Switch (config)#ip source binding 000f.1fc5.1008 vlan 10 192.168.10.131 interface fa0/2/全局命令;对应关系为:vla
13、n10 - 000f.1f05.1008 - 192.168.10.131 - fa0/2 四、显示 IP Source Guard的状态Switch#show ip source binding /显示当前的 IP源绑定表Switch#show ip verify source /显示当前的 IP源地址过滤器的实际工作状态 五、IP Source Guard 实例1、单交换机环境(所有主机位于同一个 VLAN) 环境:DHCP服务器和 PC客户端都位于 vlan 10DHCP服务器的 MAC为 000B.DB47.36EF,需要静态分配 IP地址 192.168.10.2,接在 fa0/1特殊应用服务器 MAC为 0016.D49F.4866,需要静态分配 IP地址 192.168.10.3,接在 fa0/2客户端 PC的 MAC为 000F.1FC5.1008,通过 DHCP动态获得地址,接在 fa0/3交换机为 3560,Vl
