利用IP source guard 防止IP地址盗用

Author: phanxUpdated

　　无论是802.1x还是基于web portal的身份认证,在校园网里面都是一件麻烦的事情.在不进行身份认证的情况下,解决IP地址盗用的问题的办法就是IP source guard
　　要使用IP source guard的话有个前提,就是先要启用DHCP snooping. DHCP snooping是一种通过建立和维护一个DHCP绑定数据库来提供过滤不可信的DHCP消息的一种安全特性. 通过启用DHCP snooping通过保证DHCP的合法性. 就是说所有的DHCP OFFER都是由可信的DHCP Server发出的.而不是伪造的. 有了这个保证后就可以使用IP source guard来防止IP盗用了.
了解IP Source Guard
　　IP source guard是一种在2层的,非路由口上的基于DHCP snooping绑定数据库和手工配置 IP源绑定来限制IP流量的安全特性.可以使用IP source guard来阻止盗用邻居IP而导致的流量攻击.
当DHCP snooping在一个非信任口启用的时候,就可以启用它上面的IP source guard了. 当IP source guard启用后,交换机将阻止非信任口上收到的除DHCP snooping允许的DHCP包以外的所有IP流量.一条端口访问控制列表将应用到这个端口上.这条端口访问控制列表仅允许在IP source绑定表中存在的源地址的IP流量,并阻止其他的流量.
　　IP source绑定表绑定了从DHCP snooping或者手工配置(静态IPsource绑定)学来的源地址. 表中的每一项都有一个IP地址,并和一个MAC地址和一个VLAN号相关联.交换机仅在 IP source guard启用的时候使用IP source绑定表.
　　IP source guard仅支持2层端口,包括acess和trunk口.可以配置IP source guard和源IP 地址过滤或者IP/MAC地址过滤共同工作.
　　当IP source guard启用并使用这个选项的时候, IP流量会基于源IP地址进行过滤. 当源IP地址为符合DCHP snooping绑定数据库或者IP source绑定表中的条目的IP流量, 交换机才会进行转发.
当在一个接口上添加,改变或者删除DHCP snooping绑定或者静态IP source绑定的时候, 交换机将修改端口访问控制列表以使用更改后的IP source绑定,并重新在接口上应用这条端口访问控制列表.
　　如果在没有启动IP source 绑定(通过DHCP snooping动态学习或者手工配置)的接口上启用 IP source guard,交换机将在这个接口上创建并应用一个端口访问控制列表来阻止所有的 IP流量.如果禁用IP source guard,那么交换机则会把这个端口访问控制列表从接口上移除.
　　源IP和MAC地址过滤--Source IP and MAC Address Filtering
当IP source guard启用并使用这个选项的时候, IP流量会基于源IP和MAC地址进行过滤. 当源IP和MAC地址为符合IP source绑定表中的条目的IP流量,交换机才会进行转发.
　　当带源IP和MAC地址的IP source guard启用时,交换机会过滤IP和非IP流量.如果一个IP 或者非IP数据包的源MAC地址符合一个有效的IP source绑定,那么交换机将转发这个数据包. 然后交换机将丢弃除DHCP包以外的其他所有类型的数据包. 交换机使用端口安全策略来过滤源MAC地址.如果一个接口上出现了不符合端口安全策略的情况,那么这个接口就有可能被shutdown.
　　了解了IP source guard的用处,那么我们就可以在接入交换机上配置DHCP Snooping和 IP source guard. 这样就可以仅仅允许通过DHCP获得地址的机器可以通信.自己指定 IP地址的机器就无法通信了.
　　不过,这个特性是要在 Cisco Catalyst 3550 EMI /3560 EMI /3750 EMI 系列以上的交换机才支持. 对于价格便宜的 Cisco Catalyst 2950 SI/EI 系列交换机只支持DHCP snooping