Cisco Konfigurieren von IP Source Guard
Technische Daten
- Produkt: IP Source Guard auf Cisco NX-OS-Geräten
- Funktionalität: Pro-Schnittstelle-Verkehrsfilter für IP-Verkehr
- Voraussetzungen: DHCP-Funktion und DHCP-Snooping aktiviert
Gebrauchsanweisung
Aktivieren oder Deaktivieren von IP Source Guard auf einer Layer-2-Schnittstelle
- Rufen Sie den globalen Konfigurationsmodus auf:
configure terminal - Wechseln Sie in den Schnittstellenkonfigurationsmodus für die angegebene Schnittstelle:
interface ethernet slot/port - Aktivieren oder deaktivieren Sie IP Source Guard auf der Schnittstelle:
[no] ip verify source dhcp-snooping-vlan
Hinzufügen oder Entfernen eines statischen IP-Quelleintrags
- Aktivieren Sie IP Source Guard auf der Schnittstelle:
ip verify source dhcp-snooping vlan - Zeigen Sie die laufende Konfiguration für DHCP-Snooping an:
show running-config dhcp
Über IP Source Guard
- IP Source Guard ist ein schnittstellenspezifischer Verkehrsfilter, der IP-Verkehr nur dann zulässt, wenn die IP-Adresse und die MAC-Adresse jedes Pakets mit einer von zwei Quellen von IP- und MAC-Adressbindungen übereinstimmen:
- Einträge in der DHCP-Snooping-Bindungstabelle
- Statische IP-Quelleinträge, die Sie konfigurieren
- Die Filterung vertrauenswürdiger IP- und MAC-Adresszuordnungen hilft, Spoofing-Angriffe zu verhindern, bei denen ein Angreifer die IP-Adresse eines gültigen Hosts nutzt, um sich unbefugten Netzwerkzugriff zu verschaffen. Um IP Source Guard zu umgehen, müsste ein Angreifer sowohl die IP-Adresse als auch die MAC-Adresse eines gültigen Hosts fälschen.
- Sie können IP Source Guard auf Layer-2-Schnittstellen aktivieren, die von DHCP-Snooping nicht als vertrauenswürdig eingestuft werden. IP Source Guard unterstützt Schnittstellen, die im Zugriffsmodus und im Trunk-Modus konfiguriert sind. Bei der ersten Aktivierung von IP Source Guard wird der gesamte eingehende IP-Verkehr auf der Schnittstelle blockiert, mit Ausnahme der folgenden:
- DHCP-Pakete, die vom DHCP-Snooping geprüft und je nach Ergebnis der Paketprüfung weitergeleitet oder verworfen werden.
- IP-Datenverkehr von statischen IP-Quelleinträgen, die Sie auf dem Cisco NX-OS-Gerät konfiguriert haben.
- Das Gerät lässt den IP-Verkehr zu, wenn DHCP-Snooping einen Bindungstabelleneintrag für die IP-Adresse und MAC-Adresse eines IP-Pakets hinzufügt oder wenn Sie einen statischen IP-Quelleintrag konfiguriert haben.
- Das Gerät verwirft IP-Pakete, wenn die IP-Adresse und die MAC-Adresse des Pakets keinen Eintrag in der Bindungstabelle oder einen statischen IP-Quelleintrag haben. Zum BeispielampNehmen wir an, dass der Befehl „show ip dhcp snooping binding“ den folgenden Eintrag in der Bindungstabelle anzeigt:
- Wenn das Gerät ein IP-Paket mit der IP-Adresse 10.5.5.2 empfängt, leitet IP Source Guard das Paket nur weiter, wenn die MAC-Adresse des Pakets 00:02:B3:3F:3B:99 lautet.
Voraussetzungen für IP Source Guard
Für IP Source Guard gelten die folgenden Voraussetzungen:
- Sie müssen die DHCP-Funktion und DHCP-Snooping aktivieren, bevor Sie IP Source Guard konfigurieren können. Siehe DHCP konfigurieren.
- Sie müssen die Größe des ACL-TCAM-Bereichs für IP Source Guard mithilfe des Befehls „hardware access-list tcam region ipsg“ konfigurieren. Siehe Konfigurieren von ACL-TCAM-Bereichsgrößen.
Notiz
Standardmäßig ist die Größe der ipsg-Region null. Sie müssen dieser Region genügend Einträge zuweisen, um die SMAC-IP-Bindungen zu speichern und durchzusetzen.
Richtlinien und Einschränkungen für IP Source Guard
Für IP Source Guard gelten die folgenden Konfigurationsrichtlinien und Einschränkungen:
- IP Source Guard beschränkt den IP-Verkehr einer Schnittstelle auf Quellen mit einem Eintrag in der IP-MAC-Adressbindungstabelle oder einem statischen IP-Quelleintrag. Nach der erstmaligen Aktivierung von IP Source Guard auf einer Schnittstelle kann es zu Unterbrechungen des IP-Verkehrs kommen, bis die Hosts an der Schnittstelle eine neue IP-Adresse von einem DHCP-Server erhalten.
- IP Source Guard ist auf DHCP-Snooping angewiesen, um die IP-MAC-Adressbindungstabelle zu erstellen und zu pflegen, oder auf die manuelle Pflege statischer IP-Quelleinträge.
- IP Source Guard wird auf Fabric Extender (FEX)-Ports oder Generic Expansion Module (GEM)-Ports nicht unterstützt.
- IP Source Guard wird auf EoR nicht unterstützt.
- Für die Switches der Cisco Nexus 9200-Serie gelten folgende Richtlinien und Einschränkungen:
- Eine IPv6-Nachbarschaft wird nicht hergestellt, wenn IPSG auf der eingehenden Schnittstelle aktiviert ist.
- IPSG verwirft ARP-Pakete im HSRP-Standby-Modus.
- Wenn DHCP-Snooping und IPSG aktiviert sind, wird der Datenverkehr an den Host weitergeleitet, auch ohne ARP, falls ein Bindungseintrag für den Host vorhanden ist.
- Ab Cisco NX-OS Release 9.3(5) wird IP Source Guard auf den Switches Cisco Nexus 9364C-GX, Cisco Nexus 9316D-GX und Cisco Nexus 93600CD-GX unterstützt.
- IP Source Guard benötigt kein TCAM-Carving auf den Cisco Nexus 9300-X Cloud Scale Switches.
- Wenn IPSG aktiviert ist, kann die Port-Sicherheit auf der Schnittstelle nicht aktiviert werden.
Standardeinstellungen für IP Source Guard
In dieser Tabelle sind die Standardeinstellungen für IP Source Guard-Parameter aufgeführt.
Tabelle 1: Standardparameter für IP Source Guard
| Parameter | Standard |
| IP-Quellschutz | Auf jeder Schnittstelle deaktiviert. |
| IP-Quelleinträge | Keine. Standardmäßig sind keine statischen oder Standard-IP-Quelleinträge vorhanden. |
Konfigurieren von IP Source Guard
Aktivieren oder Deaktivieren von IP Source Guard auf einer Layer-2-Schnittstelle
Sie können IP Source Guard auf einer Layer-2-Schnittstelle aktivieren oder deaktivieren. Standardmäßig ist IP Source Guard auf allen Schnittstellen deaktiviert.
Bevor Sie beginnen
Stellen Sie sicher, dass die DHCP-Funktion und DHCP-Snooping aktiviert sind.
Stellen Sie sicher, dass die ACL-TCAM-Regionsgröße für IPSG (ipsg) konfiguriert ist.
Verfahren
| Befehl or Aktion | Zweck | |
| Schritt 1 | Terminal konfigurieren
Exampauf: switch# Terminal konfigurieren switch(config)# |
Wechselt in den globalen Konfigurationsmodus. |
| Schritt 2 | Schnittstelle Ethernet Slot/Hafen
Exampauf: switch(config)# Schnittstelle Ethernet 2/3 switch(config-if)# |
Wechselt in den Schnittstellenkonfigurationsmodus für die angegebene Schnittstelle. |
| Befehl or Aktion | Zweck | |
| Schritt 3 | [NEIN] ip verify source dhcp-snooping-vlan
Exampauf: switch(config-if)# IP-Überprüfungsquelle DHCP-Snooping-VLAN |
Aktiviert IP Source Guard auf der Schnittstelle. NEIN Diese Befehlsform deaktiviert IP Source Guard auf der Schnittstelle. |
| Schritt 4 | (Optional) show running-config dhcp
Exampauf: switch(config-if)# zeige laufende DHCP-Konfiguration an |
Zeigt die laufende Konfiguration für DHCP-Snooping an, einschließlich des IP-Quellschutzes.
Konfiguration. |
| Schritt 5 | (Optional) laufende Konfiguration kopieren Startkonfiguration
Exampauf: switch(config-if)# Running-Config Startup-Config kopieren |
Kopiert die laufende Konfiguration in die Startkonfiguration. |
Hinzufügen oder Entfernen eines statischen IP-Quelleintrags
Sie können einen statischen IP-Quelleintrag auf dem Gerät hinzufügen oder entfernen. Standardmäßig sind keine statischen IP-Quelleinträge vorhanden.
Verfahren
| Befehl or Aktion | Zweck | |
| Schritt 1 | Terminal konfigurieren
Exampauf: switch# Terminal konfigurieren switch(config)# |
Wechselt in den globalen Konfigurationsmodus. |
| Schritt 2 | [NEIN] ip Quelle Bindung IP Adresse MAC-Adresse
vlan vlan-id Schnittstelle Schnittstellen-Steckplatz/Hafen Exampauf: switch(config)# ip source binding 10.5.22.17 001f.28bd.0013 vlan 100 interface ethernet 2/3 |
Erstellt einen statischen IP-Quelleintrag für die aktuelle Schnittstelle. NEIN Form dieses Befehls
entfernt den Eintrag der statischen IP-Quelle. |
| Schritt 3 | (Optional) show ip dhcp snooping binding
[Schnittstelle Schnittstellen-Steckplatz/Hafen]
Exampauf: switch(config)# show ip dhcp snooping binding interface ethernet 2/3 |
Zeigt IP-MAC-Adressbindungen für die angegebene Schnittstelle an, einschließlich statischer IP-Quelleinträge. Statische Einträge werden mit dem Begriff in der Spalte „Typ“ angezeigt. |
| Schritt 4 | (Optional) laufende Konfiguration kopieren Startkonfiguration
Exampauf: |
Kopiert die laufende Konfiguration in die Startkonfiguration. |
| Befehl or Aktion | Zweck | |
| switch(config)# Running-Config Startup-Config kopieren |
Konfigurieren von IP Source Guard für Trunk-Ports
Wenn IP Source Guard auf einem Port konfiguriert ist, wird der über diesen Port eingehende Datenverkehr verworfen, sofern kein DHCP-Snooping-Eintrag im TCAM vorhanden ist, der dies zulässt. Wenn IP Source Guard jedoch auf Trunk-Ports konfiguriert ist und Sie nicht möchten, dass der über bestimmte VLANs eingehende Datenverkehr dieser Prüfung unterzogen wird (auch wenn DHCP-Snooping auf diesen Ports nicht aktiviert ist), können Sie eine Liste auszuschließender VLANs angeben.
Bevor Sie beginnen
Stellen Sie sicher, dass die DHCP-Funktion und DHCP-Snooping aktiviert sind.
Verfahren
| Befehl or Aktion | Zweck | |
| Schritt 1 | Terminal konfigurieren
Exampauf: switch# Terminal konfigurieren switch(config)# |
Wechselt in den globalen Konfigurationsmodus. |
| Schritt 2 | [NEIN] ip dhcp snooping ipsg-excluded vlan
VLAN-Liste Exampauf: switch(config)# ip dhcp snooping ipsg-excluded vlan 1001-1256,3097 |
Gibt die Liste der VLANs an, die von der DHCP-Snooping-Prüfung für IP Source Guard auf Trunk-Ports ausgeschlossen werden sollen. |
| Schritt 3 | (Optional) show ip ver source [Ethernet
Steckplatz/Anschluss | Hafenkanal Kanal Nummer] Exampauf: switch(config)# zeige IP-Ver-Quelle |
Zeigt an, welche VLANs ausgeschlossen sind. |
| Schritt 4 | (Optional) laufende Konfiguration kopieren Startkonfiguration
Exampauf: switch(config)# Running-Config Startup-Config kopieren |
Kopiert die laufende Konfiguration in die Startkonfiguration. |
Anzeigen von IP Source Guard-Bindungen
Verwenden Sie den Befehl „show ip ver source [ethernet slot/port | port-channel channel-number]“, um die IP-MAC-Adressbindungen anzuzeigen.
Löschen der IP Source Guard-Statistiken
Um die Statistiken von IP Source Guard zu löschen, verwenden Sie die Befehle in dieser Tabelle.
| Befehl | Zweck |
| Zugriffsliste löschen ipsg-Statistiken [Beispiel Nummer | Modul Nummer] | Löscht die Statistiken von IP Source Guard. |
Konfiguration ExampDatei für IP Source Guard
Dieses ExampDie Datei zeigt, wie Sie einen statischen IP-Quelleintrag erstellen und IP Source Guard auf einer Schnittstelle aktivieren:
Zusätzliche Referenzen
Zugehörige Dokumente
| Verwandt Thema | Dokumentieren Titel |
| ACL-TCAM-Regionen | IP-ACLs konfigurieren |
| DHCP und DHCP-Snooping | DHCP konfigurieren |
Häufig gestellte Fragen
- F: Was sind die Voraussetzungen für IP Source Guard?
A: Stellen Sie sicher, dass die ipsg-Regionsgröße für die Speicherung und Durchsetzung von SMAC-IP-Bindungen zugewiesen ist. - F: Was sind die Standardeinstellungen für IP Source Guard?
A: Standardmäßig ist IP Source Guard auf jeder Schnittstelle deaktiviert, die keine statischen oder Standard-IP-Quelleinträge aufweist.
Dokumente / Ressourcen
 |
Cisco Konfigurieren von IP Source Guard [pdf] Benutzerhandbuch Konfigurieren von IP Source Guard, IP Source Guard, Source Guard, Guard |