Меню

arp inspection cisco настройка

ИТ База знаний

Полезно

— Узнать IP — адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Калькулятор инсталляции IP — АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

Настройка программных телефонов

Корпоративные сети

Популярное и похожее

Настройка Site-To-Site IPSec VPN на Cisco

Настройка GRE туннеля на Cisco

Настройка интерфейсов коммутатора Cisco

Настройка Cisco Embedded Packet Capture

Настройка DHCP Snooping и Dynamic Arp Inspection на Cisco

Хочу рассказать, как настроить DHCP Snooping и DAI (Dynamic Arp Inspection). Материал будет полезен начинающим сетевым администраторам.

Коротко о технологии DHCP Snooping и DAI

Данные функции защищают вашу сеть от подмены DHCP сервера. На коммутаторах вручную настраиваются доверенные порты, которые как правило подключены к маршрутизатору или DHCP серверу. Также доверенными портами назначаются UpLink порты.

Другая возможность это Dynamic Arp inspection. Тоже защитная функция, предотвращающая атаку типа Man-in-The-Middle. Это такой вид атаки, когда к вашей сети подключается устройство злоумышленника и, например, объявляет, что IP адрес, принадлежащий авторизованному серверу, принадлежит ему. После этого все данные, которые отправляются на сервер переходят через устройство злоумышленника.

Настройка DHCP Snooping и DAI

Чтобы включить функцию DHCP Snooping нужно для начала задать доверенные и не доверенные порты. Все порты, к которому подключены конечные пользователи считаются не доверенными. Так как DHCP Snooping и DAI настраиваются в связке я не буду делить это на отдельные части:

Тут мы задаем количество пакетов, которые должны проходить через не доверенный интерфейс. Обычно такого числа пакетов хватает для получения и обновления IP адреса. Далее настраиваем доверенные интерфейсы:

После этого глобально включаем DHCP Snooping, но НЕ ARP Inspection:

Последняя команда отключает опцию 82, которая используется коммутатором в DHCP пакетах, идущих от DHCP клиента через коммутатор к DHCP серверу. Опция 82 содержит информацию об устройстве (например, MAC адрес коммутатора) и информацию о номере порта с которого идет запрос для того, чтобы сервер, опираясь на полученную информацию, смог выдать IP адрес DHCP клиенту из нужной подсети.

Далее переходим к настройке DAI. Если у вас в сети есть устройства со статическим IP адресом, то нужно как-то сказать коммутатору, чтобы порты, к которым подключены такие устройства не проверялись. Для этого существуют ARP списки доступа. Важно, чтобы название access-list-а было именно DAI. По личному опыту знаю, что в противном случае нужно вводить дополнительные команды. А так все работает без лишних команд.

В таком порядке добавляем IP адреса всех устройств со статическим IP. Дополнительно можно настроить Sorce Guard. Этим мы конкретное устройство к порту коммутатора, таким образом другое устройство подключенное к указанному порту не сможет выдать себя за привязанное:

Также под не доверенными интерфейсами нужно ввести команду ip verify source, которые проверяет источник запросов.

Важно! После всех настроек, приведенных выше, ждем сутки-две чтобы DHCP Snooping таблица заполнилась. В противном случае DAI будет блокировать все запросы, и пользователи не смогут работать в сети. Когда таблица заполнена включаем arp inspection:

Полезна ли Вам эта статья?

Пожалуйста, расскажите почему?

Нам жаль, что статья не была полезна для вас 🙁 Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации 🙂 Просто оставьте свои данные в форме ниже.

источник

DAI (Dynamic ARP Inspection)

Автор: privilege15 от 20 Июнь 2009 . в разделе Справочник

Читайте также:  дааз 21073 1107010 настройка

Dynamic ARP inspection или DAI – функция для защиты от ARP spoofing атак.

ARP spoofing – атака, направленная на перехват трафика между хостами. Если предположить, что в сети есть сервер с IP адресом 192.168.1.50. То атакующее устройство заспамит сеть, сообщая, что IP адрес 192.168.1.50 принадлежит ему. Коммутатор услышит это сообщение и добавит запись в свою ARP таблицу, куда запишет IP адрес сервера соответствующий MAC адресу атакующего устройства. Так, данные отправленные любым хостом на сервер с IP адресом 192.168.1.50 неизбежно попадут на атакаующее устройство, которое затем перешлет эти данные на сервер, чтобы не вызвать подозрение.

Для противодействия данной атаке , Cisco расширила базовую функцию DHCP Snooping и добавила к ней своего рода надстройку, которая составляет таблицу всех привязок IP адресов, выданных посредством DHCP сервера.

Далее будем отталкиваться от следующей топологии сети:

Так же, как и при реализации функции DHCP snooping, на обоих коммутаторах необходимо прописать команду ip dhcp snooping , указать VLAN командой ip dhcp snooping vlan 100 в режиме глобальной конфигурации. Затем на интерфейсах fa0/24 telecombookS1 и gi0/25 telecombookS2, смотрящими в сторону DHCP сервера, нужно прописать команду ip dhcp snooping trust.

Далее командой ip arp inspection vlan 100, где 100 – номер VLAN, включается функция защиты от ARP spoofing атак, которая позволяет коммутатору следить за каждой привязкой IP к MAC адресу каждого устройства во всей сети. Осуществляется данная функция таким образом, что коммутатор наблюдает за доверенным интерфейсами, регистрирует проходящие через него DHCP запросы и составляет таблицу привязки IP адресов к MAC адресам. Таблицу привязок можно посмотреть командой show ip dhcp snooping binding.

Обязательно нужно указать доверенные линии связи между коммутаторами, чтобы пакеты, проходящие через них, не подвергались обследованию на соответствие MAC и IP адреса. В нашем случае это линия между gi0/25 telecombookS1 и gi0/25 telecombookS2. Следовательно, в режиме конфигурации данных портов необходимо прописать команду ip arp inspection trust.

Пример для коммутатора telecombookS1:

Таким образом, мы оградили от ARP spoofing атаки те хосты, которые получили адрес автоматически. Остается задача защитить от подмены записи в ARP таблице коммутаторов статические адреса DHCP сервера или шлюза.

Для примера защитим ARP записи только для статического адреса шлюза 192.168.1.254 и его MAC адрес 0033.22a3.fa12. Для этого необходимо создать ARP список доступа из режима глобальной конфигурации обоих коммутаторов командой arp access-list GW, где GW – название списка доступа. Затем нужно указать статический IP адрес и MAC адрес шлюза командой permit ip host 192.168.1.254 mac host 0033.22a3.fa12. Далее необходимо привязать созданный список доступа к VLAN 100 командой ip arp inspection filter GW vlan 100 static. Все! Теперь в случае, если какой-либо хост в сети, подключенный к коммутатору telecombookS1 или telecombookS2, решит изменить совой IP адрес на адрес шлюза, то коммутатор, сразу заметит несоответствие IP и MAC адреса и отключит порт.

Вренуть порт в активное состояние можно либо вручную командами shut и no shut, либо воспользоваться функцией errdisable recovery cause arp-inspection, которая включит порт через 300 секунд. Для изменения интервала времени можно воспользоваться командой errdisable recovery interval 60, где 60 – время в секундах.

источник

Построение провайдерской сети на коммутаторах Cisco с использованием Option 82 и Dynamic ARP Inspection

Пролог

На хабре было довольно много топиков, описывающих те или иные варианты построения провайдерских сетей, в том числе и с использованием указанных в заголовке технологий. Отчасти они помогли мне в решении своей задачи, но многое пришлось копать самому. Хочу поделиться тем, что получилось и попытаться сэкономить время последователям.

Читайте также:  samsung mobile tv сброс настроек

Итак, постоновка задачи:

Необходимо организовать сеть, максимально удобную для конечного пользователя, при этом также удобную (с точки зрения минимальной нагрузки на техподдержку) и безопасную (с точки зрения мошенничества) для оператора. К тому же сеть должна быть недорогой. Кто-то возразит, что Cisco и «недорого» — несовместимые понятия, однако для решения нашей задачи годятся и End of Life старички, которые можно приобрести по очень демократичным ценам.

Для обеспечения удобства пользователя были отброшены следующие варианты:

  • статическое назначение ip-адресов — неудобно для пользователя, адрес нужно где-то записывать, потерявшие адрес пользователи названивают в техподдержку
  • dhcp с привязкой по mac-адресу — неудобно для пользователя, при смене устройства нужно перерегистрировать его у провайдера или менять на нем mac.
  • всевозможные виды туннелей, в основном pptp — требует настройки у клиента, забытые логины и пароли

Из всех рассмотренных вариантов для пользователя наиболее удобен вариант с DHCP, но для провайдера есть ряд сложностей:
Привязка по mac неудобна, так как придется перерегистрировать новые mac-адреса. Аутентификация пользователя в биллинге только по ip-адресу тоже на первый взгляд кажется ненадежной, хитрый пользователь может поставить себе вручную ip-адрес соседа и внести смуту. Однако решение есть и строится оно на технологиях из заголовка статьи — option 82 и dynamic arp inspection

Кому интересно решение — прошу под кат

Решение

DHCP сервер для выдачи адресов будет ориентироваться на опцию 82, которая определяет, с какого физического порта коммутатора пришел запрос на получение адреса. Таким образом мы добиваемся того, что Вася Пупкин из 14-й квартиры, кабель которого подключен в 7-й порт нашего коммутатора SW-01 всегда получит адрес 10.10.1.7, например, вне зависимости от того, какое устройство он подключит к своему кабелю. Такой подход позволяет нам идентифицировать Васю Пупкина только по IP-адресу, но тут есть проблема. Сосед Жора, который не хочет платить за инет, поставит себе руками адрес Васи Пупкина, создаст в сети конфликт IP-адресов и будет пользоваться Интернетом за счет Васи.

Чтобы такого не произошло, существует технология Dynamic ARP Inspection. Суть технологии сводится к проверке связки mac+ip, полученных от DHCP-сервера и сравнении их с ARP-запросами, поступающими на порт. Таким образом, даже если сосед Жора поставит себе такой же mac и IP, как у Васи, коммутатор проверит, выдавал ли DHCP в этот порт такой IP такому mac-у. Если не выдавал, пакет будет отброшен.

Собственно настройка

В нашем распоряжении есть два коммутатора: Cisco 2950-24 и Cisco 2960-24-TT-L
Коммутатор 2950 будет использоваться для подключения абонентов. На нем сконфигурирован Management vlan 254 для управления.
IP коммутатора — 10.0.254.10, mac — 00:11:92:1B:3A:00

Коммутатор 2960 будет выступать в роли DHCP-сервера и решать задачу инспектирования ARP.
IP коммутатора — 10.0.254.2, mac — 00:16:C8:D7:D2:80

MAC можно посмотреть командой show version

Коммутатор 2950 не поддерживает Dynamic ARP Inspection, но мы можем решить эту задачу на вышестоящем коммутаторе. В примере в качестве такого коммутатора использован Cisco 2960-24-TT-L, хотя более правильно использовать L3 коммутатор, например, 3550-12T или 3550-12G, тогда он сможет решить и задачу Inter-VLAN Routing тоже.

И так, на С2950 конфигурируем следующее:

    В режиме глобальной конфигурации указываем необходимость добавления опций в dhcp-relay сообщение:

В настройках management-интерфейса указать, что DHCP-запросы нужно пересылать на 2960-й коммутатор по адресу 10.0.254.2

В режиме глобальной конфигурации активировать DHCP-snooping для всех наших vlan-ов

Определить, что DHCP-offer разрешены только с порта 24, к которому подключен вышестоящий 2960 с DHCP-сервером.

Конфигурация С2960 чуть более сложная:

    Для каждого пользователя необходимо создать запись ip dhcp class

Читайте также:  zywall настройка dns сервера

В классе достаточно указать только relay-information, но для удобства также рекомендуется использовать комментарий remark, в который можно записать, например, данные абонента.
Здесь самое важное — понять принцип формирования hex-строки. Это 18 байт, содержащиеся в option 82
Ее содержимое состоит из двух полей: circuit-id и remote-id
circuit-id содержит номер vlan и номер физического порта, с которого пришел dhcp запрос.
remote-id содержит mac-адрес коммутатора, который отправил этот запрос.
Данную строку можно извлечь анализатором wireshark, но делать это для каждого абонента неудобно, поэтому рассмотрим, как ее сгенерировать.



После создания dhcp-классов для абонентов, настроим пулы адресов для каждого влана

Время аренды адреса указано 5 минут. Это нужно для того, чтобы при подключении нового устройства с другим адресом в свой порт, абонент быстро получил на него адрес. В противном случае будет ошибка, что данный пул исчерпан, так как в нем всего 1 адрес. Кроме того, в примере опущены остальные настройки dhcp-пула, такие, как шлюз, днс и т.д.

Необходимо сконфигурировать на коммутаторе соответствующие ip-интерфейсы для каждого пула. Делается это через interface vlan
Не смотря на то, что С2960 является коммутатором второго уровня, он позволяет держать активными несколько ip-интерфейсов, но не может маршрутизировать между ними трафик.

На этом коммутаторе нам тоже необходимо настроить dhcp-snooping, так как эта опция формирует базу привязки выданных IP-адресов к mac-адресам.
Командой ip dhcp snooping database мы определим место хранения базы, в примере она будет храниться в файле dhcp на флеш. Можно также указать в качестве места хранения ftp, tftp, http, https, scp и другие url.
Команда ip dhcp snooping information option allow-untrusted разрешает принимать запросы с опцией 82 со всех портов коммутатора.

На данный момент у нас работает привязка ip-адреса к физическому порту коммутатора. Остается настроить Dynamic ARP Inspection. Делается это одной простой командой:

Proof of Concept

Проверим назначение адреса клиенту, подключенному в 9-й порт коммутатора. Порт находится в 20-м влане, согласно нашей схемы, клиент должен получить адрес 10.0.20.9

Сформируем значение hex: 0106000400140008020800060011921b3a00
где 0014 — 20-й влан,
0008 — 9-й порт коммутатора
0011921b3a00 — его mac.

Так этот обмен выглядит в wireshark:

А так выглядит вывод команды debug ip dhcp server events

000a.e45b.dcc6 — mac-адрес клиента
Теперь подключаем в этот же порт другой ноутбук.

Сначала мы получаем сообщение о том, что в пуле нет свободных адресов (так как 5 минут, выделенные на аренду этого адреса другому маку, еще не истекли).
Однако через некоторое время мы получаем нужный нам адрес, но уже для клиента с маком 08-9e-01-2b-6c-e1

Теперь проверим, сможет ли сосед нашего клиента, подключенный к порту 10 коммутатора, поставить себе вручную адрес 10.0.20.9
Так как Cisco 2950 не поддерживает Dynamic ARP Inspection, данную технологию нужно настраивать на вышестоящем коммутаторе Cisco 2960.
Команда show ip dhcp snooping binding на С2960 покажет привязку IP адресов к mac-ам

FastEthernet0/1 — интерфейс коммутатора 2960, в который включен нижестоящий 2950.

Подключим в 10-й порт С2950 компьютер с настроенным вручную адресом 10.0.20.9
И тут же увидим уведомление об ошибке, из которого видно, что она произошла в 20-м влане на 1-м порту коммутатора. Кроме того, мы видим айпи и мак адреса, которые вызвали ошибку. 000a.e45b.dcc6/10.0.20.9/

Узнать, кто конкретно попытался мошенничать можно зайдя на коммутатор С2950 и посмотрев таблицу коммутации

Мы видим, что интересующий нас mac висит на порту 10.

На этом, пожалуй, все, дополнительную информацию можно найти в этих статьях:

источник

Добавить комментарий

Adblock
detector