IP source guard PON hálozatokon

Igen hasznos funkciója a GePON és GPON hálózatoknak. Amennyiben a DHCP snooping be van kapcsolva a hálózaton, amely önmagában egy védelmet biztosít a visszirányú (ügyfél felőli) IP cím kiosztásoknak, ám mellé opcionálisan bekapcsolható az IP source guard, amely védelmet biztosít az illetéktelen IP cím felhasználásnak. Mit is értünk ezalatt?

Amennyiben DHCP alapú hálózatot üzemel, rátermettebb ügyfelek a kiosztott IP címek alapján könnyedén beállíthatnak statikus IP címeket maguknak (és a jobb DHCP szerverek észre is veszik, hogy foglalt az IP cím). Hogyan védekezzünk ellene?

Az előző blog bejegyzésben írtunk a DHCP snooping és option 82-es beállításáról. Az IPSG bekapcsolásához elengedhetetlen a DHCP snooping működése.

Topológia:
option82
Konfiguráció:
Raisecom(config)#ip verify source dynamic //DHCP alapú védelem engedélyezése
Raisecom(config-if-gigabitethernet-1:3)#ip verify source trust //Megbízható forrású interfész felől érkező csomagok (tipikusan az OLT uplink interfésze)

Raisecom(config)#ip verify source static  //Statikus IP cím alapú védelem engedélyezése
Raisecom(config-if-epon-olt-1:1)#ip source binding 192.168.100.199 mask 255.255.255.0 60E3.2704.90BE vlan 100 //Statikus IP cím felvétele

Eredmény:
Az elvégzett konfiguráció után, a 192.168.100.200-as és 192.168.100.199-es IP címet csak azzal a MAC címmel lehet használni, ami a DHCP source binding táblázatában szerepel:

Raisecom#show ip source binding
Current IP Entry Num: 2
IP Address Mask Mac Address VLAN Port Type Inhw
———————————————————————————————
192.168.100.200 0.0.0.0 0021.ccc2.7488 100 epon-olt1/1 dynamic yes //DHCP alapú
192.168.100.199 255.255.255.0 60e3.2704.90be 100 epon-olt1/1 static yes //Statikus IP

Amennyiben valaki a hálózaton használni próbálna olyan IP címet, amely a táblázatban nem szerepel, vagy másik MAC címmel, akkor az OLT blokkolja a forgalmát.

[yuzo_related]