Технология IP-MAC-Port Binding (IMPB) предоставляет возможность контролировать доступ к сети на базе IP- и MAC-адресов устройств, а также номера порта коммутатора, к которому устройство подключается. Администратор может создать записи, связывающие MAC- и IP-адреса устройств с номерами портов коммутатора. При полном совпадении этих параметров, клиенты получают доступ к сетевым ресурсам со своих устройств. В случае несовпадения связки IP-MAC-порт при подключении нового устройства, их трафик будет блокироваться коммутатором.
Функция IP-MAC-Port Binding полезна для предотвращения таких угроз, как ARP Spoofing и атаки на DHCP, и рекомендуется для использования на коммутаторах уровня доступа в различных типах сетей.
Как функция IMPB работает на коммутаторах D-Link со стандартным CLI
При включении функции IMPB на определенном порту коммутатора, администратору необходимо выбрать режим его работы. Это может быть режим Strict Mode (по умолчанию порт заблокирован, используется по умолчанию), либо Loose Mode (порт по умолчанию находится в открытом состоянии).
Для прохождения проверки привязки, IP- и MAC-адрес источника, номер VLAN и номер порта должны совпадать с любой определенной записью: либо статической привязкой IP Source Guard, либо с изученной динамической привязкой DHCP Snooping. Также необходимо активировать функцию Dynamic ARP Inspection.
При включении функции IP Source Guard на определенном порту, все поступающие на него IP-пакеты проверяются списком управления доступом для порта (Port ACL). Механизм Port ACL является аппаратным, и записи в нем могут быть настроены администратором вручную или получены из таблицы DHCP Snooping. Если проверка пакета не проходит, он отбрасывается.
Dynamic ARP Inspection служит для проверки ARP-пакетов, получаемых в VLAN, на предмет соответствия между IP-адресом источника и MAC-адресом источника. В ходе проверки сравниваются адреса привязки с записями из таблицы привязки DHCP Snooping или со статической таблицей. Данная проверка производится при наличии соответствующей команды конфигурации.
Списки управления доступом ARP (ARP ACL) обладают более высоким приоритетом по сравнению с таблицей привязки DHCP Snooping. В случае, если пакету явно запрещено прохождение через список контроля доступа, он будет отброшен. В случае, если доступ пакету неявно запрещен, он дополнительно сравнивается с записями привязки DHCP Snooping (если не указано ключевое слово “static”). Если доступ пакету был неявно запрещен и указано ключевое слово “static”, пакет будет отброшен.
Таким образом, для настройки связки IP-MAC-Port на коммутаторе необходимо обеспечить совместную работу всех трех функций: IP Source Guard, ARP Inspection и IP-MAC-Port Binding.
Настраивая коммутатор, необходимо запретить ПК 1 и ПК 2 менять IP-адреса и порты подключения. DHCP в этом примере не используется. Если компьютеров больше, то для всех остальных тоже надо написать ip source binding и добавить правила в access-list LIST1
Switch(config)# ip source binding 60:02:92:25:CB:5B vlan 1 192.168.1.11 interface ethernet 1/0/2
Switch(config)# ip source binding 00:26:2D:F4:41:4B vlan 1 192.168.1.12 interface ethernet 1/0/10
Switch(config)# ip arp inspection vlan 1
Switch(config)# ip arp inspection validate
Switch(config)# arp access-list LIST1
Switch(config-arp-nacl)# permit ip host 192.168.1.1 mac host 60-02-92-25-cb-5b
Switch(config-arp-nacl)# permit ip host 192.168.1.2 mac host 00-26-2d-f4-41-4b
Switch(config-arp-nacl)# exit
Switch(config)# ip arp inspection filter LIST1 vlan 1
Switch(config)# interface range ethernet 1/0/1-24
Switch(config-if-range)# ip ip-mac-port-binding strict
Switch(config-if-range)# ip verify source vlan dhcp-snooping ip-mac
Команды для проверки сделанных настроек:
Switch# show ip source binding
Switch# show ip ip-mac-port-binding
Switch# show ip verify source
Включение логирования событий Dynamic ARP Inspection:
Switch(config)# ip arp inspection vlan 1 logging acl-match all
Проверка информации о событиях:
Switch# show ip arp inspection log
Switch# show ip ip-mac-port-binding violation
При использовании механизма DHCP Snooping вводится разделение портов на доверенные и недоверенные. По умолчанию все порты считаются недоверенными для защиты клиентов от несанкционированных DHCP-серверов. Подключения к таким портам делают невозможной работу DHCP-серверов, поэтому в качестве доверенных обычно настраиваются порты, к которым подключены DHCP-серверы или другие коммутаторы.
Таблица привязок DHCP Snooping создается только на недоверенных портах.
Настройка коммутатора будет такой:
Switch# configure terminal
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 1
Switch(config)# interface ethernet 1/0/23
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# exit
Switch(config)# interface range ethernet 1/0/1-22,1/0/24
Switch(config-if-range)# ip dhcp snooping limit entries 2
Switch(config-if-range)# end
Как функция IMPB работает на коммутаторах с D-Link CLI
Функция включает четыре режима работы: ARP Inspection (по умолчанию), IP Inspection, ND Snooping и DHCP/DHCPv6 Snooping.
Когда функция IMPB работает в режиме ARP Inspection, коммутатор анализирует ARP-сообщения и сравнивает их содержимое с привязкой IP-MAC, настроенной администратором. В ARP-сообщении проверяется следующая информация:
- Заголовок Ethernet: поле Source Address
- Полезная нагрузка ARP: поля Sender Hardware Address и Sender Protocol Address
Если хотя бы один из параметров не совпадает, MAC-адрес узла добавляется в таблицу коммутации с пометкой “drop” (отбрасывать). Если все параметры совпадают, MAC-адрес узла добавляется в таблицу коммутации с пометкой “allow” (разрешить).
Настройка коммутатора:
create address_binding ip_mac ipaddress 192.168.1.1 mac_address 60:02:92:25:CB:5B ports 2
create address_binding ip_mac ipaddress 192.168.1.2 mac_address 00:26:2D:F4:41:4B ports 10
config address_binding ip_mac ports 2,10 state enable arp_inspection loose
Посмотреть созданную таблицу IMPB можно с помощью команды show address_binding ip_mac.
Посмотреть настройки функции на портах можно с помощью команды show address_binding ports.
Когда функция IPMB работает работает в режиме IP Inspection, коммутатор анализирует IPv4 /v6 пакеты и сравнивает их содержание с привязкой IP−MAC, настроенной администратором.
В IPv4 /v6 пакетах проверяется следующая информация:
- Заголовок Ethernet: поле Source Address
- Заголовок IP: поле Source IP Address
Коммутатор создает на основе предустановленных администратором таблиц IMPB (белый список) аппаратную таблицу ACL (список контроля доступа). Любой IPv4 /v6 пакет, привязка IP-MAC для которого отсутствует в белом списке, будет заблокирован ACL. Если функция IP Inspection отключена, правила для IMPB записей будут удалены из ACL таблицы.
Режимы ARP Inspection и IP Inspection могут использоваться вместе. Если функция IP Inspection включена, а функция ARP Inspection выключена, все пакеты, не являющиеся IP пакетами (сообщения канального уровня), будут передаваться в обычном режиме.
Режим DHCPv4 /v6 Snooping позволяет коммутатору динамически создавать записи IPv4 /v6 - MAC на основе анализа пакетов DHCP и привязывать их к портам с активной функцией IMPB (администратор не должен создавать записи вручную). Коммутатор автоматически создает таким образом “белый список” IMPB в аппаратной таблице коммутации и/или таблице ACL (если активна функция IP Inspection). Каждая созданная запись ассоциируется со сроком аренды IP- адреса. Для правильной работы DHCP-сервер или другой коммутатор должны быть подключены к доверенному порту с отключенной функцией IMPB. Если DHCP-сервер или коммутатор подключены к порту с активной функцией IMPB, для них необходимо создать статическую привязку IP-MAC-порт. В противном случае пакеты будут блокироваться.
Администратор может установить ограничение на максимальное количество записей IP-MAC, которые могут быть созданы на порту в процессе автоматического изучения, то есть ограничить количество узлов, которые могут получать IP-адрес от DHCP-сервера на каждом порту с активной функцией IMPB. Когда коммутатор работает в режиме DHCP Snooping, он не создает записи IP- MAC для узлов с адресами, установленными вручную.
Чтобы проводилась проверка входящих пакетов, режим DHCP Snooping должен использоваться совместно с режимами ARP Inspection или IP Inspection.
Настройка коммутатора с D-Link CLI будет такой:
enable address_binding dhcp_snoop ports 1-24
config address_binding dhcp_snoop max_entry ports 1-24 limit 2
create address_binding ip_mac ipaddress 192.168.1.10 mac_address 60:02:92:26:CА:1F ports 23
config address_binding ip_mac ports 1-24 state enable arp_inspection loose allow_zeroip enable forward_dhcppkt enable