IP source guard – функция защиты от подмены IP адреса. Данная функция реализуема только на линейках коммутаторов Cisco Catalyst начиная с серии 3560 и выше по причине достаточно мощного процессора, находящегося внутри коммутаторов данных серий.
Суть IP source guard заключается в том, что данная функция создает мини список доступа на том интерфейсе, с которого ушел DHCP запрос. Данный список доступа содержит в себе одну запись, которая разрешает исключительно тот IP и MAC адрес, который был выдан устройству DHCP сервером. Так, например, если устройство на порту fa0/10 динамически получило адрес 192.168.1.85, то только этот адрес и только с этого порта сможет использовать ресурсы сети. Если злоумышленник или пакостный сотрудник, захочет изменить его вручную, допустим на IP адрес шлюза 192.168.1.254, коммутатор с правильно настроенной функцией IP source guard откажет ему в доступе в сеть.
Прежде всего необходимо включить функцию DHCP snooping, которая осуществляется командой ip dhcp snooping . Затем необходимо задать VLAN, допустим 100, командой ip dhcp snooping vlan 100 в режиме глобальной конфигурации. Затем на интерфейсе, смотрящем в сторону DHCP сервера, допустим GigabitEthernet0/26, нужно прописать команду ip dhcp snooping trust.
После включения DHCP snooping необходимо зайти в режим конфигурации интерфейса, допустим FastEthernet0/10, и набрать команду ip verify source vlan dhcp-snooping port-security, которая включит функцию IP source guard на данном интерфейсе. И т.д. можно проделывать на каждом интерфейсе доступа. Для удобства можно воспользоваться командой range, применимой к интерфейсам, например, interface range fa0/1 – 14, что позволит одним движением руки сконфигурировать все интерфейсы с FastEthernet0/1 по FastEthernet0/14.
Если устройство, подключенное к определенному интерфейсу, допустим FastEthernet0/15, имеет статический IP адрес, то IP source guard можно настроить применительно к данному интефейсу прописав команду в режиме глобальной конфигурации ip source binding 0000.1100.0022.aa00 vlan 100 interface fa0/15, где 0000.1100.0022.aa00 — MAC адрес устройства, а 100 – номер VLAN, приписанного к данному интерфейсу.
Интерфейс Fa0/15 необходимо предварительно перевести в режим switchport, иначе система выдаст ошибку Static IP source binding can only be configured on switch port.
Пример:
telecombook(config)#ip dhcp snooping telecombook(config)#ip dhcp snooping vlan 100 telecombook(config)#interface gigabitethernet0/26 telecombook(config-if)#ip dhcp snooping trust telecombook(config-if)#exit telecombook(config)#interface range fastethernet0/1 - 14 telecombook(config-if)#switchport telecombook(config-if)#ip verify source vlan dhcp-snooping port-security telecombook(config-if)#exit telecombook(config)#interface fastethernet0/15 telecombook(config-if)#switchport telecombook(config-if)#exit telecombook(config)#ip source binding 0000.1100.0022.aa00 vlan 100 interface gi0/15