93 lines
3.4 KiB
Plaintext
93 lines
3.4 KiB
Plaintext
Router:
|
|
hostname R1
|
|
!
|
|
ip dhcp pool MY_POOL
|
|
network 192.168.1.0 255.255.255.0
|
|
!
|
|
ip cef
|
|
!
|
|
interface FastEthernet0/0
|
|
ip address 192.168.1.254 255.255.255.0
|
|
!
|
|
end
|
|
|
|
|
|
Przełącznik (router podłączony na porcie g0/1):
|
|
hostname SW1
|
|
!
|
|
ip dhcp snooping vlan 1
|
|
no ip dhcp snooping information option
|
|
ip dhcp snooping
|
|
!
|
|
interface GigabitEthernet0/1
|
|
switchport mode access
|
|
spanning-tree portfast
|
|
ip dhcp snooping trust
|
|
!
|
|
interface GigabitEthernet0/2
|
|
switchport mode access
|
|
spanning-tree portfast
|
|
!
|
|
interface GigabitEthernet0/3
|
|
switchport mode access
|
|
spanning-tree portfast
|
|
!
|
|
interface GigabitEthernet0/4
|
|
switchport mode access
|
|
spanning-tree portfast
|
|
!
|
|
end
|
|
|
|
|
|
Konfigurujemy "IP Source Guard" dla komputera podłączonego na porcie g0/2:
|
|
SW1(config)#interface GigabitEthernet 0/2
|
|
SW1(config-if)#ip verify source
|
|
|
|
SW1#show ip verify source
|
|
Interface Filter-type Filter-mode IP-address Mac-address Vlan Log
|
|
--------- ----------- ----------- --------------- ----------------- ---- ---
|
|
Gi0/2 ip active 192.168.1.1 1 disabled
|
|
|
|
|
|
SW1 zezwala teraz tylko na źródłowy adres IP 192.168.1.1 (bo taki PC dostanie pierwszy z brzegu) na
|
|
interfejsie GigabitEthernet 0/2. Pole adresu MAC jest puste, także w tej chwili przełącznik sprawdza
|
|
tylko źródłowy adres IP. Można jednak również sprawdzać źródłowy adres MAC.
|
|
Do tego celu trzeba wykorzystać jeszcze mechanizm port-security:
|
|
SW1(config)#interface GigabitEthernet 0/2
|
|
SW1(config-if)#switchport port-security
|
|
SW1(config-if)#ip verify source port-security
|
|
|
|
SW1#show ip verify source
|
|
Interface Filter-type Filter-mode IP-address Mac-address Vlan Log
|
|
--------- ----------- ----------- --------------- ----------------- ---- ---
|
|
Gi0/2 ip-mac active 192.168.1.1 00:11:22:44:33:AA 1 disabled
|
|
|
|
|
|
Załóżmy, że skonfigurujemy na porcie G0/3 kolejny PC, który będzie mieć statycznie przypisane dane adresowe:
|
|
SW1(config)#interface GigabitEthernet 0/3
|
|
SW1(config-if)#switchport port-security
|
|
SW1(config-if)#ip verify source port-security
|
|
|
|
SW1#show ip verify source
|
|
Interface Filter-type Filter-mode IP-address Mac-address Vlan Log
|
|
--------- ----------- ----------- --------------- ----------------- ---- ---
|
|
Gi0/2 ip-mac active 192.168.1.1 00:11:22:44:33:AA 1 disabled
|
|
Gi0/3 ip-mac active deny-all deny-all 1
|
|
|
|
Jeżeli teraz z tego powyższego komputera spróbujemy wykonać jakąkolwiek transmisję (choćby ping), to nie pwoiedzie się, będzie blokowane.
|
|
|
|
|
|
|
|
Możemy również przypisać statycznie adres mac oraz adres IP do zadanego portu, np. dla portu G0/4:
|
|
SW1(config)#interface GigabitEthernet 0/4
|
|
SW1(config-if)#switchport port-security
|
|
SW1(config-if)#ip verify source port-security
|
|
SW1(config)#ip source binding 0011.aabb.0088 vlan 1 192.168.1.200 interface GigabitEthernet 0/4
|
|
|
|
|
|
SW1#show ip verify source
|
|
Interface Filter-type Filter-mode IP-address Mac-address Vlan Log
|
|
--------- ----------- ----------- --------------- ----------------- ---- ---
|
|
Gi0/2 ip-mac active 192.168.1.1 00:11:22:44:33:AA 1 disabled
|
|
Gi0/3 ip-mac active deny-all deny-all 1
|
|
Gi0/4 ip-mac active 192.168.1.200 00:11:AA:BB:00:88 1 disabled |