Tweet
IP source guard là phương thức bảo mật được cấu hình trên các cổng Untrusted nhằm chống việc hacker có thể sử dụng một máy có sẵn trong mạng nội bộ rồi đổi IP sau đó sẽ tiến hành thâm nhập lấy trộm thông tin.
IP Source Guard sẽ kiểm tra IP và MAC trong bảng MAC ở thời gian hiện hành xem có trùng khớp nhau không. Nếu phát hiện có sự khác biệt, cổng Untrust đó sẽ bị thi hành các biện pháp phòng chống mà người sử dụng cấu hình sẵn.
Lab:
Yêu cầu: Cấu hình tính năng IP Source Guard không cho client đặt IP tĩnh có thể kết nối vào mạng thông qua port F0/1 của SW2.
Hướng dẫn:
Trên SW2 ta dùng lệnh:
SW2(config)# ip dhcp snooping
SW2(config)# ip dhcp snooping vlan 10
SW2(config)# int f0/1
SW2(config-if)# ip verify source
Để kiểm tra, ta dùng lệnh “show ip verify source interface f0/1”:
.
Lúc này, máy tính của chúng ta (192.168.10.2) vẫn đang nhận IP động từ SW1 cấp xuống nên có thể ping đến gateway (192.168.10.1):
Tiếp theo, ta đổi IP của máy sang tĩnh như sau:
Kết quả ping gateway là “request timed out”:
.
Tiến hành show lại với lệnh “show ip verify source interface f0/1”:
.
Trả lại chế độ nhận IP động cho máy tính, ta lại ping tới gateway bình thường:
.
IP Source Guard sẽ kiểm tra IP và MAC trong bảng MAC ở thời gian hiện hành xem có trùng khớp nhau không. Nếu phát hiện có sự khác biệt, cổng Untrust đó sẽ bị thi hành các biện pháp phòng chống mà người sử dụng cấu hình sẵn.
Lab:
Yêu cầu: Cấu hình tính năng IP Source Guard không cho client đặt IP tĩnh có thể kết nối vào mạng thông qua port F0/1 của SW2.
Hướng dẫn:
Trên SW2 ta dùng lệnh:
SW2(config)# ip dhcp snooping
SW2(config)# ip dhcp snooping vlan 10
SW2(config)# int f0/1
SW2(config-if)# ip verify source
Để kiểm tra, ta dùng lệnh “show ip verify source interface f0/1”:
.
Lúc này, máy tính của chúng ta (192.168.10.2) vẫn đang nhận IP động từ SW1 cấp xuống nên có thể ping đến gateway (192.168.10.1):
Tiếp theo, ta đổi IP của máy sang tĩnh như sau:
Kết quả ping gateway là “request timed out”:
.
Tiến hành show lại với lệnh “show ip verify source interface f0/1”:
.
Trả lại chế độ nhận IP động cho máy tính, ta lại ping tới gateway bình thường:
.