开启Cisco交换机IP Source Guard功能.doc

查看文章开启Cisco交换机IP Source Guard功能2009年04月03日 星期五 14:31一、IP地址盗用 IP地址的盗用方法多种多样，其常用方法主要有以下几种： 1、静态修改IP地址 对于任何一个TCP/IP实现来说，IP地址都是其用户配置的必选项。如果用户在配置TCP/IP或修改TCP/IP配置时，使用的不是授权分配的IP地址，就形成了IP地址盗用。由于IP地址是一个逻辑地址，因此无法限制用户对于其主机IP地址的静态修改。 2、成对修改IP-MAC地址 对于静态修改IP地址的问题，现在很多单位都采用IP与MAC绑定技术加以解决。针对绑定技术，IP盗用技术又有了新的发展，即成对修改 IP-MAC地址。现在的一些兼容网卡，其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的 IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址，其同样可以接入网络。 另外，对于那些MAC地址不能直接修改的网卡来说，用户还可以采用软件的办法来修改MAC地址，即通过修改底层网络软件达到欺骗上层网络软件的目的。 3、动态修改IP地址 某些攻击程序在网络上收发数据包，可以绕过上层网络软件，动态修改自己的 IP地址（或IP-MAC地址对），以达到IP欺骗。 二、IP Source Guard技术介绍 IP源防护（IP Source Guard，简称IPSG）是一种基于IP/MAC的端口流量过滤技术，它可以防止局域网内的IP地址欺骗攻击。IPSG能够确保第2层网络中终端设备的IP地址不会被劫持，而且还能确保非授权设备不能通过自己指定IP地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。 交换机内部有一个IP源绑定表（IP Source Binding Table）作为每个端口接受到的数据包的检测标准，只有在两种情况下，交换机会转发数据： 所接收到的IP包满足IP源绑定表中Port/IP/MAC的对应关系 所接收到的是DHCP数据包 其余数据包将被交换机做丢弃处理。 IP源绑定表可以由用户在交换机上静态添加，或者由交换机从DHCP监听绑定表（DHCP Snooping Binding Table）自动学习获得。 静态配置是一种简单而固定的方式，但灵活性很差，因此Cisco建议用户最好结合DHCP Snooping技术使用IP Source Guard，由DHCP监听绑定表生成IP源绑定表。 以DHCP Snooping技术为前提讲一下IP Source Guard技术的原理。 在这种环境下，连接在交换机上的所有PC都配置为动态获取IP地址，PC作为DHCP客户端通过广播发送DHCP请求，DHCP服务器将含有IP地址信息的DHCP回复通过单播的方式发送给DHCP客户端，交换机从DHCP报文中提取关键信息（包括IP地址，MAC地址，vlan号，端口号，租期等），并把这些信息保存到 DHCP 监听绑定表中。（以上这个过程是由DHCP Snooping完成的） 接下来的由IP Source Guard完成。交换机根据DHCP监听绑定表的内容自动生成IP源绑定表，然后IOS根据IP源绑定表里面的内容自动在接口加载基于端口的VLAN ACL（PVACL），由该ACL（可以称之为源IP地址过滤器）来过滤所有IP流量。客户端发送的IP数据包中，只有其源IP地址满足源IP绑定表才会被发送，对于具有源IP绑定表之外的其他源IP地址的流量，都将被过滤。 PC没有发送DHCP请求时，其连接的交换机端口默认拒绝除了DHCP请求之外的所有数据包，因此PC使用静态IP是无法连接网络的（除非已经存在绑定好的源IP绑定条目，如静态源IP绑定条目或者是之前已经生成的动态IP绑定条目还没过期，而且PC还必须插在正确的端口并设置正确的静态IP地址）。 IP源防护只支持第2层端口，其中包括接入（access）端口和干道（trunk）接口。IP源防护的信任端口/非信任端口也就是DHCP监听的信任端口/非信任端口。对于非信任端口存在以下两种级别的IP流量安全过滤： 源IP地址过滤：根据源IP地址对IP流量进行过滤，只有当源IP地址与IP源绑定条目匹配，IP流量才允许通过。当端口创建、 修改、 删除新的IP源绑定条目的时候，IP源地址过滤器将发生变化。为了能够反映IP源绑定的变更，端口PACL将被重新修改并重新应用到端口上。 默认情况下，如果端口在没有存在IP源绑定条目的情况下启用了IP源防护功能，默认的PACL将拒绝端口的所有流量（实际上是除 DHCP报文以外的所有IP流量）。 源IP和源MAC地址过滤：根据源IP地址和源MAC地址对IP流量进行过滤，只有当源IP地址和源MAC地址都与IP源绑定条目匹配，IP流量才允许通过。当以IP和MAC地址作为过滤的时候，为了确保DHCP协议能够正常的工作，还必须启用DHCP监听选项82。 对于没有选项82的数据，交换机不能确定用于转发DHCP服务器响应的客户端主机端口。相反地，DHCP服务器响应将被丢弃，客户机也不能获得IP地址。 注：交换机使用端口安全（Port Security）来过滤源MAC地址。 当交换机只使用“IP源地址过滤”时，IP源防护功能与端口安全功能是相互独立的关系。 端口安全是否开启对于IP源防护功能来说不是必须的。 如果同时开启，则两者也只是一种宽松的合作关系，IP源防护防止IP地址欺骗，端口安全防止MAC地址欺骗。而当交换机使用“源IP和源MAC地址过滤”时，IP源防护功能与端口安全功能是就变成了一种“集成”关系，更确切的说是端口安全功能被集成到 IP源防护功能里，作为IP源防护的一个必须的组成部分。 在这种模式下，端口安全的违规处理（violation）功能将被关闭。对于非法的二层报文，都将只是被简单的丢弃，而不会再执行端口安全的违规处理了。IP源防护功能不能防止客户端PC的ARP攻击。ARP攻击问题必须由DAI功能来解决。如果要支持IP源防护功能，必须是35系列及以上的交换机。2960目前不支持该功能。三、IP Source Guard的配置(IPSG配置前必须先配置ip dhcp snooping）Switch(config-if)# ip verify sourceSwitch(config-if)#ip verify source vlan dhcp-snooping /接口级命令；在该接口下开启IP源防护功能 说明： I、这两条语句的作用是一样的，不同的是： ip verify source是35系列交换机的命令 ip verify source vlan dhcp-snooping是45/65系列交换机以及76系列路由器的命令 II、这两条命令后还有个参数port-security，即命令：Switch (config-if)#ip verify source port-securitySwitch (config-if)#ip verify source vlan dhcp-snooping port-security 不加port-security参数，表示IP源防护功能只执行“源IP地址过滤”模式 加上port-security参数以后，就表示IP源防护功能执行“源IP和源MAC地址过滤”模式 另外，在执行这两条命令之前需要先执行switchport port-security命令。 III、当执行“源IP和源MAC地址过滤”模式时，还可以通过以下命令限制非法MAC包的速度Switch (config-if)#switchport port-security limit rate invalid-source-mac 50/接口级命令；限制非法二层报文的速度为每秒50个；可以用参数none表示不限制/只在“源IP和源MAC地址过滤”模式下有效，并且只有45系列及以上才支持该命令； IV、 另外，在发生IP地址欺骗时，35/45系列交换机不会提供任何报错信息，只是丢弃数据报文；而65系列交换机会发出IP地址违背的报错信息。 添加一条静态IP源绑定条目：Switch (config)#ip source binding 000f.1fc5.1008 vlan 10 192.168.10.131 interface fa0/2/全局命令；对应关系为：vlan10 - 000f.1f05.1008 - 192.168.10.131 - fa0/2 四、显示IP Source Guard的状态Switch#show ip source binding /显示当前的IP源绑定表Switch#show ip verify source/显示当前的IP源地址过滤器的实际工作状态 五、IP Source Guard实例 1、单交换机环境（所有主机位于同一个VLAN） 环境： DHCP服务器和PC客户端都位于vlan 10 DHCP服务器的MAC为000B.DB47.36EF，需要静态分配IP地址192.168.10.2，接在fa0/1 特殊应用服务器MAC为0016.D49F.4866，需要静态分配IP地址192.168.10.3，接在fa0/2 客户端PC的MAC为000F.1FC5.1008，通过DHCP动态获得地址，接在fa0/3 交换机为3560，Vlan 10的网关为192.168.10.1 当前相关配置如下：ip dhcp snooping vlan 10ip dhcp snooping!interface FastEthernet0/1description : Connect to Win2003 DHCP Serverswitchport access vlan 10switchport mode accessspanning-tree portfastip verify sourceip dhcp snooping trust!interface FastEthernet0/2switchport access vlan 10switchport mode accessspanning-tree portfastip verify sourceip dhcp snooping limit rate 15!interface FastEthernet0/3switchport access vlan 10switchport mode accessspanning-tree portfastip verify sourceip dhcp snooping limit rate 15!interface Vlan10ip address 192.168.10.1 255.255.255.0 测试步骤： 1、初始状态：交换机当前已经配置好DHCP Snooping和端口的IP Source Guard（具体配置如上所示），但还没有添加DHCP服务器和特殊应用服务器的静态源IP绑定条目；并且DHCP服务器，特殊应用服务器和客户端PC都还没有连接到交换机，即交换机端口处于down状态 显示工作状态： Switch#show ip dhcp snooping binding MacAddress IpAddress Lease(sec) Type VLAN Interface- - - - - -Total number of bindings: 0当前没有任何DHCP监听绑定条目Switch#show ip source binding MacAddress IpAddress Lease(sec) Type VLAN Interface- - - - - -Total number of bindings: 0当前也没有任何IP源绑定条目Switch#show ip verify sourceInterface Filter-type Filter-mode IP-address Mac-address Vlan- - - - - -Fa0/1 ip inactive-trust-portFa0/2 ip inactive-no-snooping-vlanFa0/3 ip inactive-no-snooping-vlan 由于当前这三个端口都是down的，所以IP源地址过滤器显示工作状态为非激活 注意当前“Filter-type”列里的“ip”说明当前是“源IP地址过滤”模式； 如果显示的是“ip-mac”则说明是“源IP和源MAC地址过滤”模式。 2、将DHCP服务器接上交换机的fa0/1口；特殊应用服务器接在fa0/2上；确定端口这两端口为up状态 Switch#show ip dhcp snooping binding MacAddress IpAddress Lease(sec) Type VLAN Interface- - - - - -Total number of bindings: 0由于两台服务器都是静态指定IP地址，所以当前没有任何DHCP监听绑定条目Switch#show ip source bindingMacAddress IpAddress Lease(sec) Type VLAN Interface- - - - - -Total number of bindings: 0/IP源绑定表没有任何条目，因为两服务器的静态IP源绑定条目还未添加Switch#show ip verify source Interface Filter-type Filter-mode IP-address Mac-address Vlan- - - - - -Fa0/1 ip inactive-trust-portFa0/2 ip active deny-all 10Fa0/3 ip inactive-no-snooping-vlan 两台服务器接上以后，在IP源地址过滤器里结果却是不一样的 fa0/1还是为非激活状态，是由于该端口是DHCP监听的信任端口 fa0/2为激活状态，但却是拒绝所有IP流量（虽然这么显示，不过DHCP请求是可以通过的） 说明IP源绑定对于DHCP监听的信任端口和非信任端口的处理方式是不一样的。 此时在交换机上ping DHCP服务器的IP地址：Switch#ping 192.168.10.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.10.2, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms可以ping通 再ping特殊应用服务器的IP地址： Switch#ping 192.168.10.3Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.10.3, timeout is 2 seconds:.Success rate is 0 percent (0/5)可以看到无法ping通3、添加这两台服务器的静态IP源绑定条目 ip source binding 000B.DB47.36EF vlan 10 192.168.10.2 interface fa0/1ip source binding 0016.D49F.4866 vlan 10 192.168.10.3 interface fa0/2 Switch#show ip dhcp snooping binding MacAddress IpAddress Lease(sec) Type VLAN Interface- - - - - -Total number of bindings: 0/由于两台服务器都是静态指定IP地址，所以当前没有任何DHCP监听绑定条目Switch#show ip source bindingMacAddress IpAddress Lease(sec) Type VLAN Interface- - - - - -00:0B:DB:47:36:EF 192.168.10.2 infinite static 10 FastEthernet0/100:16:D4:9F:48:66 192.168.1