MES 1124 - помогите с ip source-guard

[mopnex]

Приветствую!
DHCP сервер настроен таким образом, что всем зарегистрированным mac адресам выдает ip адреса из сетей 10.0.1-199.0/24. В соответствии с этим на коммутаторах созданы связки ip source-guard. Все незарегистрированные mac'и получают ip из сетей 10.0.200-202.0/24. Этих связок, естественно, нет и такие маки должны блокироваться. Однако, потому как ip адреса они все-таки получают от dhcp сервера, работа им разрешается:

Код: Выделить всё

console#sh ip source-guard status
IP Source Guard: Enabled                                                                                                                                                                                                                                                       
Interface Filter  Status    IP address       MAC address    VLAN  Type                                                                                                                                                                                                         
--------- ------ -------- --------------- ----------------- ---- ------
fa1/0/17  IP     active   10.0.202.181  54:04:a6:e0:8a:6a 1    DHCP


Как разрешить работу только тем ip адресам, которые есть в списке ip source-guard?
И второй вопрос: Как запретить пакеты PPPoE с маков с неправильным IP адресом?

[Евгений Т]

На основе таблицы dhcp bindings коммутатор должен сформировать таблицу ip source guard для предотвращения атак ip spoofing. При попытке использовать IP-адрес, отличный от выданного DHCP-сервером, трафик должен блокироваться коммутатором.
У вас в конфигурации используется как статический IP/MAC binding, так и динамический IP/MAC binding.
Если на порт прописано статикой правило, то пакет будет проверяться по нему. При несоответствии будет отброшен.
ip source-guard binding 00:1c:15:b3:60:16 398 192.168.1.3 GigabitEthernet 1/0/11
Соответственно в таблице будет запись о статической привязке

console#sh ip source-guard statu
IP Source Guard: Enabled
Interface Filter Status IP address MAC address VLAN Type
--------- ------ -------- --------------- ----------------- ---- ------

gi1/0/11 IP active 192.168.1.3 00:1c:25:a3:70:06 398 Static

Если на порт не прописано правило статикой, то будет динамическая привязка. Об этом свидетельствует тип DHCP в таблице:

console#sh ip source-guard statu
IP Source Guard: Enabled
Interface Filter Status IP address MAC address VLAN Type
--------- ------ -------- --------------- ----------------- ---- ------
gi1/0/10 IP active 192.168.1.2 bc:ae:c5:da:0c:a2 398 DHCP

И второй вопрос: Как запретить пакеты PPPoE с маков с неправильным IP адресом?

Разъясните этот вопрос. Что значит неправильный IP адрес?

[mopnex]

Разъясните этот вопрос. Что значит неправильный IP адрес?

IP адрес, отсутствующий в статической таблице связок. Т.е. если в таблице с этим маком связан определенный ip адрес, а пакеты приходят с этого мака, но src ip в них другой. Можно ли запретить pppoe пакеты с такого мака?

[Евгений Т]

Такой возможности нет.

[Vans]

А можно сделать такую схему:
1. Клиент получает адрес по DHCP с использованием Relay и Option 82.
2. Работает DHCP Snooping. От него нам надо, чтобы, как написано в инструкции, была защита от DHCP-серверов на не доверенных портах. Кроме того, вроде как, без него оригинальный широковещательный запрос от клиента улетает дальше по влану и релеится другими коммутаторами (?).
2. При этом IP Source guard проверяет только статические привязки. Т.е. клиент воткнут в нашу сеть, получает IP, но не имеет доступ абсолютно никуда, пока мы не сделаем привязку его мака и IP к порту.

??