在非可信端口上实施DHCP Snooping IP Source Guard

使用的方法是采用DHCP方式为用户分配IP，然后限定这些用户只能使用动态IP的方式，如果改成静态IP的方式则不能连接上网络；也就是使用了DHCP SNOOPING功能。
例子：
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service compress-config
!
hostname C4-2_4506
!
enable password xxxxxxx!
clock timezone GMT 8
ip subnet-zero


no ip domain-lookup
!
ip dhcp snooping vlan 180-181 // 对哪些VLAN 进行限制
ip dhcp snooping
ip arp inspection vlan 180-181
ip arp inspection validate src-mac dst-mac ip




errdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause security-violation
errdisable recovery cause channel-misconfig
errdisable recovery cause pagp-flap
errdisable recovery cause dtp-flap
errdisable recovery cause link-flap
errdisable recovery cause l2ptguard
errdisable recovery cause psecure-violation
errdisable recovery cause gbic-invalid
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause unicast-flood
errdisable recovery cause vmps
errdisable recovery cause arp-inspection
errdisable recovery interval 30
spanning-tree extend system-id
!
!

interface GigabitEthernet2/1 // 对该端口接入的用户进行限制，可以下联交换机
ip arp inspection limit rate 100
arp timeout 2
ip dhcp snooping limit rate 100
!



interface GigabitEthernet2/2
ip arp inspection limit rate 100
arp timeout 2
ip dhcp snooping limit rate 100
!
interface GigabitEthernet2/3
ip arp inspection limit rate 100
arp timeout 2
ip dhcp snooping limit rate 100
!
interface GigabitEthernet2/4
ip arp inspection limit rate 100
arp timeout 2
ip dhcp snooping limit rate 100
--More--

IP Source Guard

要使用IP source guard的话有个前提,就是先要启用DHCP snooping.
DHCP snooping是一种通过建立和维护一个DHCP绑定数据库来提供过滤不可信的DHCP消息
的一种安全特性. 通过启用DHCP snooping通过保证DHCP的合法性.
就是说所有的DHCP OFFER都是由可信的DHCP Server发出的.而不是伪造的.
有了这个保证后就可以使用IP source guard来防止IP盗用了.


###了解IP Source Guard

IP source guard是一种在2层的,非路由口上的基于DHCP snooping绑定数据库和手工配置
IP源绑定来限制IP流量的安全特性.可以使用IP source guard来阻止盗用邻居IP而导致的
流量攻击.

当DHCP snooping在一个非信任口启用的时候,就可以启用它上面的IP source guard了.
当IP source guard启用后,交换机将阻止非信任口上收到的除DHCP snooping允许的DHCP包
以外的所有IP流量.一条端口访问控制列表将应用到这个端口上.这条端口访问控制列表仅
允许在IP source绑定表中存在的源地址的IP流量,并阻止其他的流量.

IP source绑定表绑定了从DHCP snooping或者手工配置(静态IPsource绑定)学来的源地址.
表中的每一项都有一个IP地址,并和一个MAC地址和一个VLAN号相关联.交换机仅在
IP source guard启用的时候使用IP source绑定表.

IP source guard仅支持2层端口,包括acess和trunk口.可以配置IP source guard和源IP
地址过滤或者IP/MAC地址过滤共同工作.

当IP source guard启用并使用这个选项的时候, IP流量会基于源IP地址进行过滤.
当源IP地址为符合DCHP snooping绑定数据库或者IP source绑定表中的条目的IP流量,
交换机才会进行转发.

当在一个接口上添加,改变或者删除DHCP snooping绑定或者静态IP source绑定的时候,
交换机将修改端口访问控制列表以使用更改后的IP source绑定,并重新在接口上应用
这条端口访问控制列表.

如果在没有启动IP source 绑定(通过DHCP snooping动态学习或者手工配置)的接口上启用
IP source guard,交换机将在这个接口上创建并应用一个端口访问控制列表来阻止所有的
IP流量.如果禁用IP source guard,那么交换机则会把这个端口访问控制列表从接口上移除.


###源IP和MAC地址过滤--Source IP and MAC Address Filtering

当IP source guard启用并使用这个选项的时候, IP流量会基于源IP和MAC地址进行过滤.
当源IP和MAC地址为符合IP source绑定表中的条目的IP流量,交换机才会进行转发.

当带源IP和MAC地址的IP source guard启用时,交换机会过滤IP和非IP流量.如果一个IP
或者非IP数据包的源MAC地址符合一个有效的IP source绑定,那么交换机将转发这个数据包.
然后交换机将丢弃除DHCP包以外的其他所有类型的数据包.
交换机使用端口安全策略来过滤源MAC地址.如果一个接口上出现了不符合端口安全策略的
情况,那么这个接口就有可能被shutdown.



了解了IP source guard的用处,那么我们就可以在接入交换机上配置DHCP Snooping和
IP source guard. 这样就可以仅仅允许通过DHCP获得地址的机器可以通信.自己指定
IP地址的机器就无法通信了.

不过,这个特性是要在 Cisco Catalyst 3550 EMI /3560 EMI /3750 EMI 系列以上的交换机
才支持. 对于价格便宜的 Cisco Catalyst 2950 SI/EI 系列交换机只支持DHCP snooping

参考文档:
Catalyst 3550 Multilayer Switch Software Configuration Guide, Rel. 12.2(25)SEB
-- Configuring DHCP Features and IP Source Guard

http://www.cisco.com/en/US/partner/product...0080403b4e.html