IP Source Guard
IP Source Guard 2. katman interfacelerde IP trafigini, DHCP Snooping Binding veritabanina ya da el ile konfigüre edilmis IP Source Binding verilerine bakaraktan kısıtlamaya yarayan güvenlik özelligidir. IP Source Guard IP çakismalarina engel olmak için ya da son kullanicilarin komsulara ait IP'leri almasini önlemek için kullanılabilir.
IP Source Guard özelliginin kullanılabilmesi için switchte DHCP Snooping özelligi aktif durumda olmalıdır. IP Source Guard özelligi aktif konuma getirildiginde switch, interface üzerinde DHCP snooping tarafindan izin verilen haricinde bütün IP trafiğini keser. IP Source Binding Tablosu, DHCP tarafindan atanmış Binding verileri ile statik olarak atanmış IP Binding bilgilerinden olusur. Bu tabloda IP adresleri ve IP adreslerine karşılık gelen MAC adresleri, bu adreslere ait VLAN bilgileri bulunur.
IP Sorce Guard sadece 2. katman portlarda(access ya da trunk) kullanılabilir. İnterface'e girilerekten yazılan ip verify source komutu IP adres filtrelemeyi aktif hale getirir. Böylelikle porttaki DHCP snooping veritabanina ya da IP source binding tablosuna bakılaraktan sadece belirtilen kaynak IP adresine izin verilecek sekilde veri trafiği filtrelenir.
Bu islem belirtilen porta ACL uygulanmasiyla gerçeklesir. Tablo ya da veritabanında yapılmış herhangi bir degişiklikte otomatik olarak o porttaki ACL de degiştirilir. Özelliğin iptal edilmesi durumunda da yine otomatik olarak porttaki ACL iptal edilir.
İnterface'e ip verify source port-security komutu girilirse IP ve MAC adres filtreleme aktif hale getirilir. Böylelikle IP trafiği belirtilen IP ve MAC adresleri baz alınaraktan filtrelenir. Port sadece IP Source Binding tablosunda belirtilmiş IP ve MAC adresi eşleşmesi durumunda veri trafiğine izin verir. Bu özelliğin aktif hale getirilmesiyle birlikte switch bütün IP ve IP harici trafiği denetler. Eğer kaynak MAC adresi tabloda belirtilen adres değilse switch bütün IP ve IP harici trafiği keser. (DHCP paketleri hariç) Switch mac adreslerini denetlemek için port security özelliğini kullanir. port-security violation olusmasi durumunda interface switch tarafindan kapatılabilir.
IP Source Guard konfigürasyonunda dikkat edilecek hususlar:
- IP filtrelemenin aktif edilmek istenildiği portlardaki access VLAN'de DHCP Snooping aktif durumda olmalıdır.
- Eğer IP Source Guard üzerinden birden çok VLAN bilgisinin aktığı trunk portlarda aktif hale getirilmek isteniyorsa o porttaki bütün VLAN lerde DHCP snooping aktif halde olmalıdır.
- IP ve MAC filtreleme aktif hale getirilmek isteniyorsa portlarda DHCP Snooping ve Port-Security aktif halde olmalıdır. (private VLAN uygulanmakta olan portlarda port-security özelliği desteklenmemektedir)
- EtherChannel portlarda IP Source Guard özelliği desteklenmemektedir.
- 802.1x port-based authentication (port tabanli yetkilendirme) özelliğinin kullanıldığı portlarda IP Source Guard özelliği kullanilabilir.
Örnek IP Source Guard konfigürasyonu(IP ve MAC filtreleme):
Switch#conf t
Switch(config)#interface gigabitethernet 0/1
Switch(config-if)# ip verify source port-security
Switch(config-if)# exit
Switch(config)# ip source binding 0000.1111.2222 vlan 55 10.0.0.2 interface gigabitethernet 0/1
Switch(config)# ip source binding 3333.4444.5555 vlan 15 192.168.2.25 interface gigabitethernet 0/1
Switch(config)# end
IP Source Guard verilerini görüntülemek için de aşağıdaki komutlar kullanılabilir.
Switch#show ip source binding IP Source Binding eşleşmelerini görüntüler.
Switch# show ip verify source IP Source Guard konfigürasyonunu görüntüler.
Mehmet Burak Uysal
Bu yazıyı beğendiniz mi?
Hakkında Mehmet Burak Uysal
Açıklama yok. Lütfen profilinizi tamamlayın.