Configuration

-
Fonctions de Sécurité
de Couche 2
sur
Commutateurs de couche 3
à
configuration fixe

ccnp_cch 1
Sommaire

• Introduction
- Composants utilisés
- Produits liés

• Rappel

• Configuration
- Schéma du réseau
- Sécurité de port
- DHCP snooping
- Inspection ARP dynamique
- IP Source Guard

ccnp_cch 2
Introduction
Ce document décrit fournit un exemple de configuration pour quelques fonctionnalités
de sécurité de couche 2 telles que la sécurité de port, DHCP Snooping, l'inspection ARP
(Address Resolution Protocol) et IP Source Guard qui peuvent être implémentées sur
des commutateurs Cisco Catalyst de couche 3 à configuration fixe.

Composants utilisés

Les informations présentées dans de document sont basées sur le commutateur Cisco
Catalyst 3750 avec la version logicielle 12.2(25)SEC2.

Produits liés

Cette configuration peut également être utilisée avec ces matériels:

 Commutateurs Cisco Catalyst Série 3550

 Commutateurs Cisco Catalyst Série 3560
 Commutateurs Cisco Catalyst Série 3560-E
 Commutateurs Cisco Catalyst Série 3750-E

Rappel

De manière similaire aux routeurs, les commutateurs de couche 2 et de couche 3 ont

leurs propres ensembles d'exigence de sécurité. Les commutateurs sont susceptibles
de subir les mêmes attaques de couche 3 que les routeurs. Toutefois les commutateurs
et la couche 2 du modèle OSI en général sont sujet à différents types d'attaques. Ceci
inclut:

 Débordement de la table CAM (Content Addressable Memory)

Les tables CAM (Content Addressable Memory) ont une taille limitée. Si beaucoup
d'informations sont entrées dans la table CAM avant que les précédentes expirent,
la table CAM se remplit à tel point que les nouvelles entrées ne peuvent plus être
acceptées. Typiquement, un intrus réseau inonde le commutateur avec un grand
nombre d'adresses MAC (Media Access Control) source invalides jusqu'à ce que la
table MAC soit remplie. Quand ceci se produit, le commutateur inonde les ports
avec le trafic entrant car il ne car il ne peut trouver le numéro de port pour cette
adresse source particulière dans la table CAM. Le commutateur à ce moment là agit
comme un hub. Si l'intrus ne maintient pas l'inondation avec des adresses MAC
source invalides, le commutateur fait expirer les anciennes entrées d'adresses MAC
de la table CAM et recommence à agir comme un commutateur. Le débordement de
de la table CAM inonde de trafic le VLAN local car l'intrus voit uniquement le trafic
du VLAN local auquel il est connecté.

L'attaque de débordement de la table CAM peut être tempéré en configurant la sécu-

rité de port sur le commutateur. Cette option fournit la spécification des adresses
MAC sur un port particulier du commutateur soit le nombre maximum d'adresses
MAC pouvant être apprises sur un port du commutateur. Quand une adresse MAC
invalide est apprise sur un port, le commutateur peut soit bloquer l'adresse MAC

ccnp_cch 3
 interdite ou bloquer le port. La spécification d'adresses MAC sur un port n'est pas
une solution admissible dans un environnement de production. Une limite du nom-
bre d'adresses MAC sur un port est admissible. Une solution d'administration plus
évolutive est l'implémentation de la sécurité de port dynamique sur un commuta-
teur. Pour implémenter la sécurité de port dynamique, spécifiez un nombre maxi-
mum d'adresses MAC apprises.

 Spoofing d'adresse MAC

Les attaques de spoofing d'adresse MAC (Medium Access Control) comprennent l'uti-
lisation de l'adresses MAC connue d'un autre host pour tenter de faire en sorte que
le commutateur cible achemine les trames destinées au host distant vers le réseau
de l'attaquant. Quand une trame unique est transmise vers l'adresse Ethernet sour-
ce de l'autre host, l'attaquant réseau écrase l'entrée de la table CAM ainsi le commu-
tateur achemine les paquets destinés au host vers le réseau de l'attaquant. Jusqu'à
ce que le host transmette du trafic, celui-ci ne recevra aucun trafic. Quand le host
transmet du trafic, l'entrée de la table CAM est réécrite une fois de plus revenant
ainsi au port original.

Utilisez la fonctionnalité de sécurité de port pour tempérer les attaques d'usurpation

d'adresse MAC. La sécurité de port donne la capacité de spécifier l'adresse MAC du
système connecté à un port particulier. Cela fournit également la capacité de spéci-
fier une action à prendre si une violation de sécurité se produit.

 Usurpation ARP (Address Resolution Protocol)

ARP est utilisé pour faire la correspondance entre une adresse IP et une adresse
MAC sur un segment local où les hosts résident sur le même sous-réseau. Normale-
ment un host transmet une requête ARP broadcast pour trouver l'adresse MAC d'un
autre host avec l'adresse IP de ce host et une réponse ARP est faite par le host dont
l'adresse IP correspond. Le host qui a fait la requête place la réponse dans le cache
ARP. Dans le protocole ARP une autre possibilité est donnée aux hosts de faire des
réponses ARP non-sollicitées. Ces réponses non-sollicitées sont appelées GARP ou
Gratuitous ARP. GARP peut être exploité de manière malicieuse par un attaquant
pour usurper une adresse IP sur un segment LAN. Cette attaque est typiquement
utilisée pour usurper l'identité entre deux hosts où tout le trafic de ou vers la passe-
relle par défaut par une attaque du type "man-in-the-middle".

Quand une réponse ARP est subtilisée, un attaquant peut faire apparaître son sys-
tème comme la destination pour le transmetteur. La réponse ARP fait que le trans-
metteur stocke l'adresse MAC du système réseau attaquant dans son cache ARP.
Cette adresse MAC est également stockée par le commutateur dans sa table CAM.
De cette manière, l'attaquant réseau a inséré l'adresse MAC de son système dans la
table CAM du commutateur et dans le cache ARP de l'émetteur. Ceci permet à l'atta-
quant réseau d'intercepter les trames destinées au host dont il a usurpé l'adresse.

Des timers de maintien dans le menu de configuration interface peuvent être utilisés
pour tempérer les attaques d'usurpation d'adresse ARP en fixant la durée pendant
laquelle une entrée ARP reste dans le cache. Toutefois les timers de maintien par
eux-mêmes sont insuffisants. La modification du temps d'expiration du cache ARP
sur tous les systèmes d'extrémité est requise comme pour les entrées ARP statiques.

ccnp_cch 4
 Une autre solution qui peut être utilisée pour tempérer les diverses exploitations ma-
licieuses basées sur ARP est d'utiliser la surveillance DHCP ainsi que l'inspection
ARP dynamique. Ces fonctionnalités des commutateurs Catalyst valident les paquets
ARP dans un réseau et permettent d'intercepter, de logguer et d'ignorer les paquets
ARP avec des liens adresses MAC et adresses IP invalides.

La surveillance DHCP filtre les messages DHCP de confiance pour fournir la sécurité.
Par la suite ces messages sont utilisés pour construire et maintenir une table de sur-
veillance DHCP. La surveillance DHCP considère que les messages DHCP qui sont
issus de ports utilisateurs qui ne sont pas des ports de serveurs DHCP sont non fia-
bles. Du point de vue de la surveillance DHCP, ces ports utilisateurs non fiables ne
doivent pas transmettre de réponse de type serveur DHCP telles que DHCPOFFER,
DHCPACK ou DHCPNAK. La table de liens de surveillance DHCP les informations
d'adresses MAC, d'adresses IP , de durée de bail, de type de bail, de numéro de Vlan
et d'interface qui correspondent aux interfaces locales non fiables d'un commutateur.
La table de liens de surveillance DHCP ne contient aucune information sur les hosts
connectés avec des interfaces fiables. Une interface non fiable est une interface con-
figurée pour recevoir des messages venant de l'extérieur du réseau ou d'un pare-feu.
Une interface fiable ou de confiance est une interface configurée pour recevoir des
messages issus de l'intérieur du réseau. La table de liens de surveillance DHCP peut
contenir des liens d'adresses MAC dynamiques et statiques et des adresses IP.

L'inspection ARP dynamique détermine la validité d'un paquet ARP sur la base de
liens adresse MAC avec adresse IP valides stockés dans la base de données de sur-
veillance DHCP. De plus l'inspection ARP dynamique peut valider des paquets ARP
sur la base de listes d'accès utilisateur configurables. Ceci permet l'inspection de
paquets ARP pour des hosts qui utilisent des adresses IP statiques. L'inspection ARP
dynamique autorise l'utilisation de listes de contrôle d'accès par port et Vlan (PACL)
pour limiter les paquets ARP pour des adresses IP spécifiques vers des adresses MAC
spécifiques.

 Epuisement d'adresses DHCP

Une attaque d'épuisement d'adresses DHCP fonctionne avec du broadcast de requête

DHCP avec des adresses MAC usurpées. Si un nombre suffisant de requêtes est fait,
l'attaquant réseau peut épuiser l'espace d'adresses disponibles sur le serveur DHCP
pendant une période donnée. L'attaquant réseau peut ensuite mettre en service un
serveur DHCP non autorisé de son système et répondre aux nouvelles requêtes
DHCP venant des clients sur le réseau. Avec l'introduction d'un serveur DHCP non
autorisé, un attaquant peut fournir aux clients des adresses et d'autres informations
réseau. comme les réponses DHCP contiennent de manière typique l'adresse de la
passerelle par défaut et l'adresse du serveur DNS, l'attaquant peut indiquer que son
propre système est la passerelle par défaut et le serveur DNS. Ceci correspond à une
attaque du type "man-in-the-middle". Toutefois il n'est pas nécessaire d'avoir un
épuisement d'adresses DHCP pour introduire un serveur DHCP non-autorisé.

Des fonctionnalités supplémentaires dans la famille des commutateurs Catalyst telle

que la surveillance DHCP peuvent être utilisées pour aider à se prémunir contre des
attaques d'épuisement d'adresses DHCP. La surveillance DHCP est une fonctionnali-
té de sécurité qui filtre les messages DHCP non fiables pour construire et maintenir
une table de surveillance DHCP. La table de liens de surveillance DHCP les informa-
tions d'adresses MAC, d'adresses IP , de durée de bail, de type de bail, de numéro de
ccnp_cch 5
 Vlan et d'interface qui correspondent aux interfaces locales non fiables d'un commu-
tateur. Les messages non fiables sont ceux reçus de l'extérieur du réseau ou du pa-
re-feu. Les interfaces non fiables du commutateur sont celles configurées pour rece-
voir de tels messages de l'extérieur du réseau ou du pare-feu.

D'autres fonctionnalités des commutateurs Catalyst, telle que IP source guard, peu-
vent fournir une défense supplémentaire contre des attaques telles que l'épuisement
d'adresses IP et l'usurpation IP. Similaire à la surveillance DHCP, IP source guard
est validé sur les ports de couche 2 non fiables. Tout le trafic IP est initialement blo-
qué sauf pour les paquets DHCP capturés par le processus de surveillance DHCP.
Une fois qu'un client a reçu une adresse IP valide du serveur DHCP, une PACL est
appliquée à ce port. Cela restreint le trafic du client Ip à ces adresses IP configurées
dans le lien. Tout trafic IP avec des adresses source différentes de celles présentes
dans les liens sont filtrées.

Configuration

Dans cette section sont présentées les informations nécessaires pour la configuration
des fonctionnalités de sécurité Port Security, surveillance DHCP, Inspection ARP dyna-
mique et IP source Guard.

La configuration du Catalyst 3750 contient:

 Port Security
 DHCP Snooping
 Dynamic ARP Inspection
 IP Source Guard

Schéma du réseau

Ce document utilise ces paramètres :

 PC1 et PC3 sont des clients connectés au commutateur

 PC2 est un serveur DHCP connecté au commutateur
 Tous les ports du commutateur sont dans le même Vlan (VLAN 1)
 Le serveur DHCP est configuré pour affecter des adresses aux clients sur la base de
leurs adresses MAC.

PC1 PC2

Fa1/0/1 Fa1/0/3

Non Fiable Fiable

Client Fa1/0/2
10.0.0.2/8 Serveur DHCP
10.0.0.1/8

Non Fiable

Client
PC3 10.0.0.3/8

ccnp_cch 6
Port Security

Vous pouvez utiliser la fonctionnalité "Port security" pour limiter et identifier les adres-
ses MAC des stations autorisées à accéder au port. Ceci restreint l'entrée sur une in-
terface. Quand vous affectez une adresse MAC sécurisée à un port sécurisé, ce port
n'achemine pas les trames avec des adresses source en dehors du groupe d'adresses
prédéfini. Si vous limitez le nombre d'adresse MAC sécurisée à une seule et que vous
affectez une seule adresses MAC sécurisée, la station attachée à ce port est assurée
d'avoir la totalité de la bande passante de ce port. Si un port est configuré comme port
sécurisé et que le nombre maximum d'adresses MAC sécurisées est atteint et que
l'adresse MAC d'une station qui tente d'accéder au port est différente des adresses
source sécurisées identifiées une violation de sécurité se produit. Ainsi si une station
avec une adresse MAC sécurisée configurée ou apprise sur un port sécurisé tente d'ac-
céder à un autre port sécurisé , une violation de sécurité est renseignée. Par défaut le
port se bloque quand le nombre maximum d'adresses MAC sécurisées est dépassé.

Note: Quand un commutateur Catalyst 3750 rejoint une pile, le nouveau commutateur
reçoit les adresses. Toutes les adresses dynamiques sécurisées sont téléchargées par
le nouveau membre de la pile à partir des autres membres de la pile.

Ici la configuration indique que la fonctionnalité de sécurité port est configurée sur
l'interface FastEhternet1/0/2. Par défaut, le nombre maximum d'adresses MAC sécu-
risées pour l'interface est un. Vous pouvez entrez la commande show port-security
interface pour vérifier la sécurité de port sur une interface.

Port Security
Cat3750#show port−security interface fastEthernet 1/0/2
Port Security : Disabled
Port Status : Secure−down
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0

!−−− Configuration de Port security par défaut du commutateur.

Cat3750#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Cat3750(config)#interface fastEthernet 1/0/2
Cat3750(config−if)#switchport port−security
Command rejected: FastEthernet1/0/2 is a dynamic port.

!−−− Port security peut être configuré uniquement sur des ports
!--- d'accès statiques ou des ports

ccnp_cch 7
Cat3750(config−if)#switchport mode access

!−−− Fixe l'interface en mode port d'accès.

Cat3750(config−if)#switchport port−security

!−−− Valide Port security sur l'interface.

Cat3750(config−if)#switchport port−security mac−address

0011.858D.9AF9

!−−− Fixe l'adresse MAC sécurisée pour l'interface.

Cat3750(config−if)#switchport port−security violation shutdown

!−−− Fixe le mode de violation à shutdown. C'est le mode par

!--- défaut.

Cat3750#

!−−− Un autre PC (PC 4) est connecté au port FastEthernet

!--- 1/0/2 Pour vérifier la fonctionnalité port security.

00:22:51: %PM−4−ERR_DISABLE: psecure−violation error detected on

Fa1/0/2, putting Fa1/0/2 in err−disable state
00:22:51: %PORT_SECURITY−2−PSECURE_VIOLATION: Security violation
occurred,caused by MAC address 0011.8565.4B75 on port
FastEthernet1/0/2.
00:22:52: %LINEPROTO−5−UPDOWN: Line protocol on Interface
FastEthernet1/0/2, changed state to down
00:22:53: %LINK−3−UPDOWN: Interface FastEthernet1/0/2, changed
state to down

!−−− L'interface se bloque quand une violation de sécurité est

!--- détectée.

Cat3750#show interfaces fastEthernet 1/0/2

FastEthernet1/0/2 is down, line protocol is down (err−disabled)

!−−− Partie supprimée.

!−−− Le port est affiché error−disabled. Ceci permet de confirmer

!--- que la configuration est correcte.

!−−− Note: Quand un port sécurisé est dans l'état error−disabled,

!−−− vous pouvez le sortir de cet état en entrant la commande
!−−− errdisable recovery cause psecure−violation en mode de
!--- configuration global, ou vous pouvez le revalider
!--- manuellement en entrant les commandes shutdown et
!--- no shutdown en mode de configuration interface.

ccnp_cch 8
 Cat3750#show port−security interface fastEthernet 1/0/2
Port Security : Enabled
Port Status : Secure−shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0011.8565.4B75:1
Security Violation Count : 1

DHCP Snooping

La surveillance DHCP agit comme un pare-feu entre des hosts non fiables et des ser-
veurs DHCP. Vous utilisez la surveillance DHCP pour faire la différence entre les inter-
faces non fiables connectées à des utilisateurs et des interfaces fiables connectées à
des serveurs DHCP ou à un autre commutateur. Quand un commutateur reçoit un pa-
quet sur une interface non fiable et l'interface appartient à un VLAN qui a la surveillan-
ce DHCP validée, le commutateur compare l'adresse source MAC et le l'adresse "hard-
ware" du client DHCP. Si l'adresse correspond (cas normal), le commutateur achemine
le paquet. Si les adresses ne correspondent pas le commutateur élimine le paquet. Le
commutateur élimine un paquet DHCP quand une de ces situations se produit:

 Un paquet issu d'un serveur DHCP tel que DHCPOFFER, DHCACK, DHCPNAK ou
DHCPLEASEQUERY est reçu de l'extérieur du réseau ou d'un pare-feu.

 Un paquet est reçu sur une interface non fiable et l'adresse MAC source et l'adresse
"hardware" du client DHCP ne correspondent pas.

 Le commutateur reçoit un message broadcast DHCPRELEASE ou DHCPDECLINE

qui a une adresse MAC dans la base de données des liens de surveillance DHCP
mais l'information d'interface de la base de données des liens de surveillance ne cor-
respond pas à l'interface sur laquelle le message a été reçu.

 Un agent relais DHCP achemine un paquet DHCP qui contient une adresse IP agent
relais qui n'est pas 0.0.0.0 ou l'agent relais achemine un paquet qui contient l'option
82 vers un port non fiable.

Note: Pour que la surveillance DHCP fonctionne correctement, tous les serveurs DHCP
doivent être connectés au commutateurs par des interface fiables ou de confiance.

Note: Dans une pile de commutateurs avec des commutateurs Catalyst 3750, la sur-
veillance DHCP est gérée par le maître de la pile. Quand un nouveau commutateur re-
joint la pile, le commutateur reçoit l'information de configuration de surveillance DHCP
du maître de la pile. Quand un membre quitte la pile, tous les liens de surveillance
DHCP associés à ce commutateur expirent.

ccnp_cch 9
Note: Pour s'assurer que la durée de bail dans la base de données est fiable, Cisco re-
commande que vous validiez et configuriez NTP. Si NTP est configuré, le commutateur
écrit les modifications de lien dans le fichier des liens uniquement lorsque l'horloge
système est synchronisée avec NTP.

L'action des serveurs DHCP non autorisés peut être bloquée par la fonctionnalité de
surveillance DHCP (DHCP Snooping). La commande ip dhcp snooping est entrée pour
valider DHCP globalement sur le commutateur. Quand ils sont configurés avec DHCP
snooping, tous les ports dans un VLAN sont non fiables pour des réponses DHCP. Ici
seule l'interface FastEthernet 1/0/3 connectée au serveur DHCP est configurée comme
fiable ou de confiance.

DHCP Snooping
Cat3750#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Cat3750(config)#ip dhcp snooping

!−−− Valide DHCP snooping sur le commutateur.

Cat3750(config)#ip dhcp snooping vlan 1

!−−− DHCP snooping n'est pas actif tant qu'il n'est pas validé sur
!--- un VLAN.

Cat3750(config)#no ip dhcp snooping information option

!−−− Dévalide l'insertion ou le retrait du champ option−82, si les

!−−− clients DHCP et le serveur DHCP résident sur le même réseau ou
!--- sous-réseau IP.

Cat3750(config)#interface fastEthernet 1/0/3

Cat3750(config−if)#ip dhcp snooping trust

!−−− Configure l'interface connectée au serveur DHCP comme fiable ou

!--- de confiance.

Cat3750#show ip dhcp snooping

Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1
Insertion of option 82 is disabled
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface Trusted Rate limit (pps)
−−−−−−−−−−−−−−−−−−−−−−−− −−−−−−− −−−−−−−−−−−−−−−−
FastEthernet1/0/3 yes unlimited

!−−− Affiche la configuration DHCP snooping pour le commutateur.

ccnp_cch 10
Cat3750#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
−−−−−−−−−−−−−−−−−− −−−−−−−−−−−−−−− −−−−−−−−−− −−−−−−−−−−−−− −−−− −−−−−−−−−−−−−−--
00:11:85:A5:7B:F5 10.0.0.2 86391 dhcp−snooping 1 FastEtheret1/0/1
00:11:85:8D:9A:F9 10.0.0.3 86313 dhcp−snooping 1 FastEtheret1/0/2
Total number of bindings: 2

!−−− Affiche les entrées des liens pour la surveillance DHCP pour le commutateur.

Cat3750#

!−−− Le(s) serveur(s) DHCP connectés à des ports non fiables ne pourront pas
!---- affecter d'adresse IP aux clients.

Inspection ARP dynamique

L'inspection ARP dynamique est une fonctionnalité qui valide les paquets ARP dans
un réseau. L'inspection ARP dynamique intercepte, loggue et élimine les paquets ARP
avec des liens IP - Adresse MAC non valides. Cette capacité protège le réseau contre
certaines attaques de type "man-in-the-middle".

Inspection ARP dynamique assure que seules les requêtes et les réponses ARP valides
sont relayées. Le commutateur réalise ces actions:

 Intercepte toutes les requêtes et réponses ARP sur les ports non fiable
 Vérifie que chacun de ces paquets interceptés ait un lien IP vers Adresse MAC vali-
de avant de mettre à jour le cache ARP local ou avant d'acheminer le paquet vers la
destination appropriée.
 Elimine les paquets ARP invalides

L'inspection ARP dynamique détermine la validité des paquets ARP sur la base de liens
stockés dans la base de données de la surveillance DHCP (DHCP Snooping). Cette ba-
se de données est construite par la surveillance DHCP si DHCP snooping a été validé
sur le commutateur et sur les VLANs. Si le paquet ARP est reçu sur une interface de
confiance ou fiable, le commutateur achemine le paquet sans aucune vérification. Sur
les interfaces non fiables le commutateur achemine le paquet uniquement si celui-ci
est valide.

Dans des environnements sans DHCP, l'inspection ARP dynamique peut valider les pa-
quets ARP à l'aide d'ACLs ARP configurées pour les hosts configurés avec des adresses
IP statiques. Vous pouvez entrer la commande arp access-list en mode de configura-
tion global pour définir une ACL ARP. Les ACLs ARP ont priorité sur les entrées de la
base de données des liens de surveillance DHCP. Le commutateur utilise des ACLs
uniquement si vous entrez la commande ip arp inspection filter vlan en mode de
configuration global pour configurer les ACLs. Le commutateur compare d'abord les
paquets ARP aux ACLs ARP configurées par l'utilisateur. Si l'ACL ARP rejette le paquet
le commutateur rejette également le paquet même si un lien valide existe dans la base
de données de liens remplie par la surveillance DHCP.

La commande de configuration globale ip arp inspection vlan est entrée pour valider
l'inspection ARP dynamique basée sur le VLAN. Ici seule l'interface FastEthernet 1/0/3

ccnp_cch 11
connectée au serveur DHCP est configurée comme fiable ou de confiance avec la com-
mande ip arp inspection trust. La surveillance DHCP doit être validée pour autoriser
les paquets ARP qui ont des addresses IP affectées dynamiquement.

Inspection ARP dynamique

Cat3750#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Cat3750(config)#ip arp inspection vlan 1

!−−− Valide l'inspection ARP dynamique sur le VLAN.

Cat3750(config)#interface fastEthernet 1/0/3

Cat3750(config−if)#ip arp inspection trust

!−−− Configure les interfaces connectées au serveur DHCP comme

!--- fiable ou de confiance.

Cat3750#show ip arp inspection vlan 1

Source Mac Validation : Disabled

Destination Mac Validation : Disabled
IP Address Validation : Disabled

Vlan Configuration Operation ACL Match Static ACL

−−−− −−−−−−−−−−−−− −−−−−−−−− −−−−−−−−− −−−−−−−−−−
1 Enabled Active

Vlan ACL Logging DHCP Logging

−−−− −−−−−−−−−−− −−−−−−−−−−−−
1 Deny Deny

!−−− Vérifie la configuration de l'inspection ARP dynamique.

Cat3750#

IP source Guard

IP Source guard est une fonctionnalité de sécurité qui filtre le trafic sur la base des
liens de la base de données de surveillance DHCP et de liens adresse IP source confi-
gurés manuellement pour restreindre le trafic IP sur des interfaces de couche 2. Vous
pouvez utiliser IP source guard pour éviter les attaques provoquées par un host qui
tente d'utiliser l'adresse IP de son voisin. IP source guard empêche l'usurpation des
adresses IP/MAC .

Vous pouvez valider IP source guard quand la surveillance DHCP est validée sur une
interface non fiable. Après que IP source guard ait été validé sur une interface, le com-
mutateur bloque tout le trafic IP reçu sur l'interface excepté les paquets DHCP auto-
risés par la surveillance DHCP. Une ACL de port est appliquée à l'interface. L'ACL de
port autorise le trafic IP avec une adresse IP source présente dans la base de données
de liens et rejette tout autre trafic.
ccnp_cch 12
La table de liens IP source a des liens qui sont appris par la surveillance DHCP ou qui
sont configurés manuellement (liens IP source statiques). Une entrée dans cette table
a une adresse IP, son adresse MAC associée et son numéro de VLAN associé. Le com-
mutateur utilise la table de liens IP source uniquement quand IP source guard est va-
lidé.

Vous pouvez configurer IP source guard avec filtrage de l'adresse IP source ou avec le
filtrage de l'adresse IP et de l'adresse MAC. Quand IP source guard est validé avec ces
options le trafic IP est filtré sur la base de l'adresse IP source. Le commutateur ache-
mine le trafic IP source quand l'adresse IP source correspond à une entrée de la base
de données des liens de surveillance DHCP ou de la table des liens IP source. Quand
IP source guard est validé avec ces options, le trafic IP est filtré sur la base des adres-
ses IP et MAC. Le commutateur achemine le trafic uniquement lorsque l'adresse IP
source et l'adresse MAC correspondent à une entrée dans la table de liens IP source.

Note: IP source guard est supporté uniquement sur les ports de couche 2 qui sont les
ports d'accès et les ports trunk.

Ici IP source guard avec le filtrage IP source est configuré sur l'interface FastEthernet
1/0/1 avec la commande ip verify source. Quand IP source guard avec le filtrage IP
est validé sur un VLAN, la surveillance DHCP doit être validé sur le VLAN auquel ap-
partient l'interface. Entrez la commande show ip verify source pour vérifier la configu-
ration de IP source guard sur le commutateur.

IP Source Guard
Cat3750#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Cat3750(config)#ip dhcp snooping
Cat3750(config)#ip dhcp snooping vlan 1

!−−− Voir la section DHCP Snooping de ce document pour les

!−−− informations de configuration de DHCP snooping.

Cat3750(config)#interface fastEthernet 1/0/1

Cat3750(config−if)#ip verify source

!−−− Valide IP source guard avec filtrage source IP.

Cat3750#show ip verify source

Interface Filter−type Filter−mode IP−address Mac−address Vlan
−−−−−−−−− −−−−−−−−−−− −−−−−−−−−−− −−−−−−−−−−−−−−− −−−−−−−−−−−−−−−−− −−−−−
Fa1/0/1 ip active 10.0.0.2 1

!−−− Pour le VLAN 1, IP source guard est configuré avec le filtrage

!--- d'adresse IP sur l'interface et un lien existe pour cette interface.

Cat3750#

ccnp_cch 13