Konfigurasi IP Source Guard
“
Spesifikasi
- Product: IP Source Guard ing piranti Cisco NX-OS
- Fungsi: Filter lalu lintas saben antarmuka kanggo lalu lintas IP
- Prasyarat: fitur DHCP lan DHCP snooping aktif
Informasi produk
Babagan IP Source Guard
IP Source Guard minangka panyaring lalu lintas sing ngidini lalu lintas IP
adhedhasar binding alamat IP lan MAC.
Prasyarat kanggo IP Source Guard
Priksa manawa ukuran wilayah ipsg diparengake kanggo nyimpen lan
ngleksanakake pengikatan SMAC-IP.
Pedoman lan Watesan
IP Source Guard wis pedoman konfigurasi tartamtu lan
watesan.
Setelan Default
Kanthi gawan, IP Source Guard dipatèni ing kabeh antarmuka karo
ora ana entri sumber IP statis utawa standar.
Pandhuan Panggunaan
Ngaktifake utawa mateni IP Source Guard ing Layer 2
Antarmuka
- Ketik mode konfigurasi global:
configure terminal - Ketik mode konfigurasi antarmuka kanggo sing ditemtokake
antarmuka:
interface ethernet slot/port - Aktifake utawa mateni IP Source Guard ing antarmuka:
[no] ip verify source dhcp-snooping-vlan
Nambah utawa Mbusak Entri Sumber IP Statis
- Aktifake IP Source Guard ing antarmuka:
ip verify source dhcp-snooping vlan - Tampilake konfigurasi mlaku kanggo DHCP snooping:
show running-config dhcp
FAQ
P: Apa prasyarat kanggo IP Source Guard?
A: Priksa manawa ukuran wilayah ipsg diparengake kanggo nyimpen lan
ngleksanakake pengikatan SMAC-IP.
P: Apa setelan gawan kanggo IP Source Guard?
A: Kanthi gawan, IP Source Guard dipatèni ing saben antarmuka
tanpa entri sumber IP statis utawa standar.
“`
Konfigurasi IP Source Guard
Bab iki nerangake carane ngatur IP Source Guard ing piranti Cisco NX-OS. Bab iki kalebu bagean ing ngisor iki:
· Babagan IP Source Guard, ing kaca 1 · Prasyarat kanggo IP Source Guard, ing kaca 2 · Pedoman lan Watesan kanggo IP Source Guard, ing kaca 2 · Setelan Default kanggo IP Source Guard, ing kaca 3 · Konfigurasi IP Source Guard, ing kaca 3 · Nampilake IP Source Guard Bindings, ing kaca 5 · Mbusak Statistik IP Source Guard, ing Ex 6ample kanggo IP Source Guard, ing kaca 6 · Referensi Tambahan, ing kaca 6
Babagan IP Source Guard
IP Source Guard minangka panyaring lalu lintas saben antarmuka sing ngidini lalu lintas IP mung nalika alamat IP lan alamat MAC saben paket cocog karo salah siji saka rong sumber binding alamat IP lan MAC:
· Entri ing tabel binding snooping Protocol Host Dinamis (DHCP) · Entri sumber IP statis sing sampeyan atur
Nyaring ikatan alamat IP lan MAC sing dipercaya mbantu nyegah serangan spoofing, ing ngendi panyerang nggunakake alamat IP host sing bener kanggo entuk akses jaringan sing ora sah. Kanggo ngatasi IP Source Guard, panyerang kudu ngapusi alamat IP lan alamat MAC saka host sing sah. Sampeyan bisa ngaktifake IP Source Guard ing Layer 2 antarmuka sing ora dipercaya dening DHCP snooping. IP Source Guard ndhukung antarmuka sing dikonfigurasi kanggo operate ing mode akses lan mode trunk. Nalika wiwitane ngaktifake IP Source Guard, kabeh lalu lintas IP mlebu ing antarmuka diblokir kajaba ing ngisor iki:
· Paket DHCP, sing DHCP snooping mriksa lan banjur nerusake utawa nyelehake, gumantung saka asil mriksa paket
· lalu lintas IP saka entri sumber IP statis sing wis diatur ing piranti Cisco NX-OS
Piranti kasebut ngidini lalu lintas IP nalika DHCP snooping nambah entri tabel naleni kanggo alamat IP lan alamat MAC saka paket IP utawa nalika sampeyan wis ngatur entri sumber IP statis.
Konfigurasi IP Source Guard 1
Prasyarat kanggo IP Source Guard
Konfigurasi IP Source Guard
Piranti kasebut ngeculake paket IP nalika alamat IP lan alamat MAC saka paket kasebut ora duwe entri tabel pengikat utawa entri sumber IP statis. Kanggo example, nganggep yen printah ip dhcp snooping binding nuduhake entri tabel naleni ing ngisor iki:
MacAddress
IPAddress
—————————-
00:02:B3:3F:3B:99 10.5.5.2
Tipe LeaseSec
VLAN
—————————-
6943
dhcp-snooping 10
Antarmuka ——–Ethernet2/3
Yen piranti nampa paket IP kanthi alamat IP 10.5.5.2, IP Source Guard nerusake paket kasebut mung yen alamat MAC paket kasebut 00:02:B3:3F:3B:99.
Prasyarat kanggo IP Source Guard
IP Source Guard nduweni prasyarat ing ngisor iki:
· Sampeyan kudu ngaktifake fitur DHCP lan DHCP snooping sadurunge sampeyan bisa ngatur IP Source Guard. Waca Konfigurasi DHCP.
· Sampeyan kudu ngatur ukuran wilayah ACL TCAM kanggo IP Source Guard nggunakake hardware akses-dhaftar tcam wilayah printah ipsg. Waca Konfigurasi ACL TCAM ukuran Region.
Cathetan Kanthi gawan ukuran wilayah ipsg nol. Sampeyan kudu nyedhiakke entri cukup kanggo wilayah iki kanggo nyimpen lan ngleksanakake bindings SMAC-IP.
Pedoman lan Watesan kanggo IP Source Guard
IP Source Guard duwe pedoman konfigurasi lan watesan ing ngisor iki:
· IP Source Guard mbatesi lalu lintas IP ing antarmuka mung kanggo sumber sing duwe alamat IP-MAC entri tabel naleni utawa entri sumber IP statis. Nalika sampeyan pisanan ngaktifake IP Source Guard ing antarmuka, sampeyan bisa nemu gangguan ing lalu lintas IP nganti host ing antarmuka nampa alamat IP anyar saka server DHCP.
· IP Source Guard gumantung marang DHCP snooping kanggo mbangun lan njaga tabel ikatan alamat IP-MAC utawa nalika pangopènan manual entri sumber IP statis.
· IP Source Guard ora didhukung ing kain extender (FEX) bandar utawa modul expansion umum (GEM) port.
· IP Source Guard ora didhukung ing EoR.
· Pedoman lan watesan ing ngisor iki ditrapake kanggo switch Cisco Nexus 9200 Series:
· IPv6 adjacency ora kawangun karo IPSG aktif ing antarmuka mlebu.
· IPSG ngeculake paket ARP ing siaga HSRP.
· Kanthi DHCP snooping lan IPSG diaktifake, yen ana entri naleni kanggo host, lalu lintas diterusake menyang host sanajan tanpa ARP.
Konfigurasi IP Source Guard 2
Konfigurasi IP Source Guard
Setelan Default kanggo IP Source Guard
· Diwiwiti karo Cisco NX-OS Release 9.3 (5), IP Source Guard didhukung ing Cisco Nexus 9364C-GX, Cisco Nexus 9316D-GX, lan Cisco Nexus 93600CD-GX ngalih.
· IP Source Guard ora mbutuhake ukiran TCAM ing Cisco Nexus 9300-X Cloud Scale Switch.
· Yen IPSG diaktifake, keamanan port ora bisa diaktifake ing antarmuka.
Setelan Default kanggo IP Source Guard
Tabel iki nampilake setelan gawan kanggo paramèter IP Source Guard.
Tabel 1: Parameter Pengawal Sumber IP Default
Parameter Default IP Source Guard Disabled ing saben antarmuka IP sumber entri Ora ana. Ora ana entri sumber IP statis utawa standar.
Konfigurasi IP Source Guard
Ngaktifake utawa Mateni IP Source Guard ing Layer 2 Interface
Sampeyan bisa ngaktifake utawa mateni IP Source Guard ing antarmuka Layer 2. Kanthi gawan, IP Source Guard dipateni ing kabeh antarmuka.
Sadurunge miwiti Priksa manawa fitur DHCP lan DHCP snooping diaktifake. Priksa manawa ukuran wilayah ACL TCAM kanggo IPSG (ipsg) wis diatur.
tata cara
Langkah 1 Langkah 2
Perintah utawa Tindakan
ngatur terminal
Example:
ngalih# ngatur terminal switch(config)#
Tujuan Mlebet mode konfigurasi global.
antarmuka ethernet slot / port
Example:
switch(config)# antarmuka ethernet 2/3 switch(config-if)#
Mlebet mode konfigurasi antarmuka kanggo antarmuka kasebut.
Konfigurasi IP Source Guard 3
Nambah utawa Mbusak Entri Sumber IP Statis
Konfigurasi IP Source Guard
Langkah 3 Langkah 4 Langkah 5
Perintah utawa Tindakan
[ora] ip verifikasi sumber dhcp-snooping-vlan
Example:
ngalih (config-yen) # ip verifikasi sumber dhcp-snooping vlan
tujuane
Ngaktifake IP Source Guard ing antarmuka. Ora ana wangun printah iki mateni IP Source Guard ing antarmuka.
(Opsional) nuduhake running-config dhcp
Example:
switch (config-if) # nuduhake running-config dhcp
Nampilake konfigurasi mlaku kanggo DHCP snooping, kalebu konfigurasi IP Source Guard.
(Opsional) nyalin running-config startup-config
Nyalin konfigurasi mlaku menyang konfigurasi wiwitan.
Example:
switch(config-if)# nyalin running-config startup-config
Nambah utawa Mbusak Entri Sumber IP Statis
Sampeyan bisa nambah utawa mbusak entri sumber IP statis ing piranti. Kanthi gawan, ora ana entri sumber IP statis.
tata cara
Langkah 1 Langkah 2 Langkah 3 Langkah 4
Perintah utawa Tindakan
ngatur terminal
Example:
ngalih# ngatur terminal switch(config)#
Tujuan Mlebet mode konfigurasi global.
[no] ip source binding ip-address mac-address Nggawe entri sumber IP statis kanggo saikivlan vlan-id antarmuka antarmuka-jinis slot / antarmuka port. Ora ana wangun perintah iki
Example:
mbusak entri sumber IP statis.
switch(config)# ip source binding 10.5.22.17 001f.28bd.0013 vlan 100 antarmuka ethernet 2/3
(Opsional) nuduhake ip dhcp snooping binding [slot/port tipe antarmuka antarmuka] Example:
ngalih (config) # nuduhake ip dhcp snooping naleni antarmuka ethernet 2/3
Nampilake binding alamat IP-MAC kanggo antarmuka sing ditemtokake, kalebu entri sumber IP statis. Entri statis katon karo istilah ing kolom Tipe.
(Opsional) nyalin running-config startup-config
Example:
Nyalin konfigurasi mlaku menyang konfigurasi wiwitan.
Konfigurasi IP Source Guard 4
Konfigurasi IP Source Guard
Konfigurasi Pengawal Sumber IP kanggo Port Trunk
Perintah utawa Tindakan
switch(config)# nyalin running-config startup-config
tujuane
Konfigurasi Pengawal Sumber IP kanggo Port Trunk
Nalika IP Source Guard wis diatur ing port, lalu lintas teka ing port sing bakal dropped kajaba ana DHCP snooping entri kanggo ngidini ing TCAM. Nanging, nalika IP Source Guard dikonfigurasi ing port trunk lan sampeyan ora pengin lalu lintas teka ing VLAN tartamtu kanggo mriksa iki (sanajan DHCP snooping ora aktif ing wong), sampeyan bisa nemtokake dhaftar VLAN kanggo ngilangi.
Sadurunge miwiti
Priksa manawa fitur DHCP lan DHCP snooping diaktifake.
tata cara
Langkah 1 Langkah 2 Langkah 3 Langkah 4
Perintah utawa Tindakan
ngatur terminal
Example:
ngalih# ngatur terminal switch(config)#
[ora] ip dhcp snooping ipsg-dikecualian vlan-daftar
Example:
switch(config)# ip dhcp snooping ipsg-excluded vlan 1001-1256,3097
(Opsional) nuduhake ip ver sumber [slot ethernet / port | nomer saluran port-saluran] Example:
ngalih (config) # nuduhake ip ver sumber
(Opsional) nyalin running-config startup-config
Example:
switch(config)# nyalin running-config startup-config
Tujuan Mlebet mode konfigurasi global.
Nemtokake dhaptar VLAN kanggo ngilangi saka DHCP snooping mriksa kanggo IP Source Guard ing port trunk.
Nampilake VLAN sing ora kalebu.
Nyalin konfigurasi mlaku menyang konfigurasi wiwitan.
Nampilake IP Source Guard Bindings
Gunakake show ip ver sumber [slot ethernet / port | port-channel channel-number] printah kanggo nampilake binding alamat IP-MAC.
Konfigurasi IP Source Guard 5
Mbusak Statistik Pengawal Sumber IP
Konfigurasi IP Source Guard
Mbusak Statistik Pengawal Sumber IP
Kanggo mbusak statistik IP Source Guard, gunakake printah ing tabel iki. Komando mbusak akses-dhaftar ipsg stats [nomer conto | nomer modul]
Tujuan Mbusak statistik IP Source Guard.
Konfigurasi Example kanggo IP Source Guard
Mantan ikiample nuduhake carane nggawe entri sumber IP statis lan ngaktifake IP Source Guard ing antarmuka:
ip source binding 10.5.22.17 001f.28bd.0013 vlan 100 antarmuka ethernet 2/3 antarmuka ethernet 2/3
ora mati ip verifikasi sumber dhcp-snooping-vlan nuduhake ip ver sumber
Pengawal sumber IP ora kalebu vlan: ———————————————————Ora ana
———————————- njaga sumber IP diaktifake ing antarmuka ing ngisor iki: ——————————————————
ethernet2/3
Referensi Tambahan
Dokumen sing gegandhengan
Topik ACL TCAM wilayah DHCP lan DHCP snooping
Judul Dokumen Konfigurasi IP ACLs Konfigurasi DHCP
Konfigurasi IP Source Guard 6
Dokumen / Sumber Daya
 |
cisco Konfigurasi IP Source Guard [pdf] Pandhuan pangguna Konfigurasi IP Source Guard, IP Source Guard, Source Guard, Guard |