В видеоролике рассмотрена подробная конфигурация функций обеспечения безопасности DHCP Snooping, IP Source Guard и IP ARP inspection.
Функции IP Source Guard и IP ARP inspection защищают от подмены IP и MAC адреса в приходящем от клиента трафике. IP Source Guard защищает от подмены в пакетах с IP-заголовком, ARP inspection защищает от подмены в ARP-пакетах.
Работает функционал на основе таблиц DHCP Snoooping. DHCP Snooping предназначен для защиты от несанкционированных DCHP-серверов.
Рассмотрим совместную работу функций на примере следующей схемы. Для примера будем использовать коммутатор MES2428.
пк1------ gi0/1 - MES2428 - gi0/2 ------пк2
На ПК2 настроен DHCP-сервер, ПК1 является DHCP-клиентом.
Рассмотрим конфигурацию коммутатора:
1. Создадим и активируем VLAN 2:
MES2428#configure MES2428(config)#vlan 2MES2428(config-vlan)#vlan active
2. Включаем контроль протокола DHCP путём ведения таблицы DHCP-snooping и отправки клиентских широковещательных DHCP-запросов на доверенные порты:
MES2428(config)#ip dhcp snooping
3. Включаем контроль протокола ARP - функцию ARP Inspection:
MES2428(config)#ip arp inspection enable
4. Включаем проверку протокола ARP, основанную на базе соответствий DHCP snooping, в выбранной группе VLAN:
MES2428(config)#ip arp inspection vlan 2
5. Включаем контроль протокола DHCP в пределах интерфейса VLAN 2:
MES2428(config)#interface vlan 2MES2428(config-if)#ip dhcp snooping
6. Переходим в режим конфигурирования интерфейса gigabitethernet1/0/1. Переводим порт, смотрящий в сторону клиента в режим ACCESS во 2 VLAN:
MES2428(config)#interface gigabitethernet 0/1MES2428(config-if)#switchport mode accessMES2428(config-if)#switchport access vlan 2
7. Также на данном интерфейсе требуется включить функцию защиты IP-адреса для порта:
MES2428(config-if)#ip verify source port-security
8. Переходим в режим конфигурирования интерфейса gigabitethernet1/0/2. Также переводим порт в режим ACCESS во 2 VLAN:
MES2428(config)#interface gigabitethernet 0/2MES2428(config-if)#switchport mode accessMES2428(config-if)#switchport access vlan 2
9. А также необходимо добавить порт, за которым расположен DHCP-сервер, в список "доверенных" слдующими командами:
MES2428(config-if)#port-security-state trusted MES2428(config-if)#set port-role uplink
Команды для просмотра настроенного функционала:show ip dhcp snooping - отобразить соответствия из файла (базы) контроля протокола DHCP.show ip dhcp snooping global - отобразить глобальную настройку DHCP Snooping.show ip arp inspection globals - отобразить системную конфигурацию функции контроля ARP протокола.show ip arp inspection statistics - показать статистику для следующих типов пакетов, которые были обработаны при помощи функции ARP.show ip verify source interface gi0/x - отобразить настройки IP/IPv6 source Guard на интерфейсах.