IP Source Guard配置

Cisco交换机的安全特性一、端口安全二、AAA服务认证三、DHCP欺骗四、IP Source Guard五、ARP六、DAI的介绍七、SSH认证八、VTY线路出入站的ACL九、HTTP server十、ACL功能十一、PVLAN一、端口安全：A、通过端口安全特性可以检查连接交换机的MAC地址的真实性。

管理员可以通过这个特性将固定的MAC地址写在交换机中。

B、配置顺序：1）启动端口安全程序，2）配置有效的MAC地址学习上线，3）配置静态有效MAC地址（动态学习不需要配置），4）配置违反安全规定的处理方法（方法有三种：shut down直接关闭端口，需要后期由管理员手工恢复端口状态；protect过滤掉不符合安全配置的MAC地址；restrict过滤掉非安全地址后启动计时器，记录单位时间内非安全地址的连接次数），5）配置安全地址的有效时间（静态配置的地址永远生效，而动态学习的地址则需要配置有效时间）。

C、配置实例：D、当管理员需要静态配置安全MAC地址，而又不知道具体MAC地址时，可通过sticky特性实现需求。

命令如下：switchport port-security mac-address stickysticky特性会将动态学习到的MAC地址自动配置为静态安全地址。

且该条目可以在show run中看到（记得保存配置）。

E、校验命令：show port-security [interface interface-id] [address]具体端口明细信息show port-security显示端口安全信息show port-security address显示安全地址及学习类型二、AAA认证1、AAA：A、Authentication 身份认证：校验身份B、Authorization 授权：赋予访问者不同的权限C、Accounting 日志：记录用户访问操作2、AAA服务认证的三要素：AAA服务器、各种网络设备、客户端客户端：AAA服务中的被管理者各种网络设备：AAA服务器的前端代理者AAA服务器：部署用户、口令等注：CC IE-RS只涉及网络设备上的一小部分,不作为重点。

应用场景：IP Source Guard可以实现防止用户私设IP地址及防止用户变化源IP的扫描行为，要求用户必须动态DHCP方式获取IP，否则将无法使用网络；IP Source Guard配合ARP-check功能使用可以有效预防ARP欺骗，具体配置参考IP Source Guard+ ARP-check防范ARP功能简介：IP Source Guard：IP Source Guard（IP源防护）维护一个IP 源地址绑定数据库，IP Source Guard可以在对应的接口上主机报文进行基于源IP、源IP和源MAC的报文过滤，从而保证只有IP源地址绑定数据库中的主机才能正常使用网络。

IP Source Guard会自动将DHCP Snooping绑定数据库中的合法用户绑定同步到IPSource Guard的IP源地址绑定数据库（硬件安全表项中），这样IP Source Guard就可以在打开DHCP Snooping设备上对客户端的进行严格过滤；默认情况下，打开IP Source Guard的功能的端口会过滤所有非DHCP的IP报文；只有当客户端通过DHCP从服务器获取到合法的IP或者管理员为客户端配置了静态的IP源地址绑定，端口将允许和这个客户端匹配的IP报文通过。

IP Source Guard支持基于IP+MAC或者基于IP的过滤，如果打开基于IP+MAC的过滤，IP Source Guard会对所有报文的MAC+IP进行检测，仅仅允许IP源地址绑定表格中存在的用户报文通过；而基于IP的过滤，仅仅会对报文的源IP地址进行检测。

一、组网需求用户网关在核心交换机上，核心交换机创建DHCP Server，接入交换机下联PC使用动态DHCP获取IP地址，为了防止内网用户私设IP，需要实施IP Source Guard功能，对于私设IP地址的用户不让访问外网。

二、组网拓扑三、配置要点1、在核心交换机上开启DHCP Server功能（部分场景中，客户可能采用专用DHCP服务器，则核心交换机只需要启用DHCP Relay功能即可）2、在接入交换机上全局开启dhcp snooping功能，并且在上联核心的端口开启DHCPSnooping信任口3、在接入交换机连接用户的端口开启IP Source Guard功能4、网络中存在个别用户使用静态IP，配置IP Source Guard功能后也能实现安全控制。

IP DHCP Snooping 和 Ip Source Guard、 DAI1.目的为了配合使用公司的dhcp enforcement准入控制组件，强制终端电脑用dhcp来获取IP，并使用内部网络。

为了防止终端用户通过手动设置IP来绕过DHCP，必须在交换机上配合使用IP DHCP Snooping、IP Source Guard、或DAI（dynamic arp inspection）技术，使得手动设置IP的终端电脑无法使用网络。

2.环境如下图其中：3.原理介绍3.1. DHCP Server用于管理分配IP地址从特定的地址池，它可以是一个PC/ROUTER/SWITCH。

3.2. DHCP Relay Agent一个用于在DHCP SERVER与DHCP Client之间转发DHCP Packets的中间三层设备。

它主要应用于DHCP SERVER与Client端在不同的子网时，临时作为一个代理，在它们之间传递数据包。

DHCP Relay Agent的中继转发不同与一般的二层转发，它在收到一个DHCP消息时，会生成一个新的DHCP消息同时发送到外出接口。

3.3. DHCP Snooping一种DHCP安全特性，通过监听DHCP流量，来建立和维护一个DHCP Snooping Binding Database/Table,并且过滤untrusted DHCP消息。

连接在交换机上的所有PC都配置为动态获取IP地址，PC作为DHCP客户端通过广播发送DHCP请求，DHCP服务器将含有IP地址信息的DHCP回复通过单播的方式发送给DHCP客户端，交换机从DHCP报文中提取关键信息（包括IP地址，MAC地址，vlan号，端口号，租期等），并把这些信息保存到DHCP 监听绑定表中。

DHCP Snooping就像是运行在untrusted hosts与DHCP SERVER之间的一个firewall 一样。

IP Source Guard配置说明●IP Source Guard原文说明：●IP Source Guard解释----IP Source Guard是一种二层网络安全技术，应用在一个非路由端口下,可以通过dhcp 状态表或手工绑定的ip binding进行流量的严格限制。

应用后，在端口下会被产生一个隐藏的port acl，该acl将限制只有ip source binding的数据流可以流过该端口-—--IP Source Guard可以应用在accesss端口，也可以应用在trunk端口下—-——使用IP Source Guard时，必须配合ip dhcp snooping使用，当应用在access端口下时，打开该端口所属VLAN的ip dhcp snooping,应用在trunk口下时，打开终端连接端口所属VLAN的ip dhcp snooping--—-IP Source Guard可以基于ip地址进行流量过滤（只要ip地址符合即可通过）；也可以基于ip 和mac进行过滤（必须ip和mac同时匹配才可以通过），●IP Source Guard配置及步骤说明以下所有的说明基于以下拓扑：拓扑说明：一台核心交换机，提供vlan 30，vlan 40的网关,通过trunk与接入层交换机连接,所有的配置在核心交换机上完成，接入层交换机上使用了两个vlan（30,40)，user1 和user2分别位于vlan 30和vlan 401.打开dhcp snooping功能命令：（config）#ip dhcp snooping2.在需要进行IP Source Guard的vlan下打开dhcp snooping功能,针对某个vlan进行实施,如果有多个vlan，则需要打开多个vlan的dhcp snooping功能(这里举例vlan40）命令:（config)＃ip dhcp snooping vlan 403.进行IP和MAC地址绑定,例如：命令：ip source binding 00C0。

默认情况下，交换机在二层接口上转发数据时，只查看数据包的MAC地址，并不会查看数据包的IP地址，如果要让交换机根据数据包的IP或者同时根据IP与MAC做出转发决定，有多种方法可以实现。

如根据IP 转发，可以通过在接口上应用Port ACL来实现，如果要根据MAC转发，可以通过应用port-security来实现，但无论是Port ACL还是port-security，都存在一些局限性，下面介绍一种扩展性较高的安全防护特性- IP Source Guard，IP Source Guard可以根据数据包的IP地址或IP与MAC地址做出转发决定，如果数据包的IP或MAC是不被允许的，那么数据包将做丢弃处理。

因为IP Source Guard需要根据数据包的IP或者同时根据IP与MAC做出转发决定，所以IP Source Guard 在工作时，需要有一张IP和MAC的转发表，在这张表中，明确记录着哪些IP是可以转发的，哪些MAC可以被转发，其它不能被转发的统统丢弃。

这表转发表称为IP source binding table，并且只能被IP source guard使用。

而IP source binding table表，只有在交换机上开启DHCP snooping功能后，才会生成。

IP Source Guard的这张转发表的条目可以自动学习，也可以手工静态添加，如果是自动学习，是靠DHCP snooping功能学习的，所以只有客户端是通过DHCP请求获得地址，并且DHCP服务器的回复是经过交换机时，才能被DHCP snooping学习到。

当在交换机上同时开启了IP Source Guard与DHCP snooping后，交换机将在开启了的接口上拒绝所有流量通过，只放行DHCP流量，并且会自动应用一条ACL到接口上，也只有ACL允许的IP才能通过，这条ACL无法在正常配置中查看，只能通过表的方式查看。

DHCP+IP SOURCE GUARD的配置实例在正常开启DHCP Snooping的情况下：Ruijie(config-FastEthernet 0/1)#ip verify sourceRuijie#ping 192.168.1.2Sending 5, 100-byte ICMP Echoes to 192.168.1.2, timeout is 2 seconds:< press Ctrl+C to break >…..Success rate is 0 percent (0/5)此情况证明此端口已经应用了根防护，所以端口下得主机自己配置了地址之后无法通过端口。

之后在全局下配置：Ruijie(config)#ip source binding 0025.6454.b680 vlan 1 192.168.1.2 int f 0/1Ruijie#ping 192.168.1.2Sending 5, 100-byte ICMP Echoes to 192.168.1.2, timeout is 2 seconds:< press Ctrl+C to break >Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms此现象表明，在全局下绑定了端口信息之后，既可以通过。

此绑定信息是通过IP MAC VLAN 端口等四元组来确定信息的。

Ruijie#sh ip verify sourceInterface Filter-type Filter-mode Ip-address Mac-address VLAN-------------------- ----------- ----------- --------------- -------------- --------FastEthernet 0/1 ip active 192.168.1.2 1FastEthernet 0/1 ip active deny-allRuijie#sh ip verRuijie#sh ip soRuijie#sh ip source binRuijie#sh ip source bindingMacAddress IpAddress Lease(sec) Type VLAN Interface------------------ --------------- ------------ ------------- ----- --------------------0025.6454.b680 192.168.1.2 infinite static 1 FastEthernet 0/1Total number of bindings: 1Ruijie#sh ip verify sourceInterface Filter-type Filter-mode Ip-address Mac-address VLAN-------------------- ----------- ----------- --------------- -------------- --------FastEthernet 0/1 ip active 192.168.1.2 1FastEthernet 0/1 ip active deny-all。