AM - аналог функционала IP MAC Source Guard. AM используется для борьбы с IP-спуфингом и позволяет фильтровать IP-трафик, сравнивая Source IP либо Source MAC IP с записями в пуле разрешенных адресов. Рассмотрим настройку функционала на коммутаторах SNR.
Info |
---|
|
При использовании AM проверяются пакеты с Ethertype IP (0x0800) и ARP (0x0806). |
CLI
В первую очередь AM необходимо включить в глобальном режиме:
После - в режиме конфигурирования необходимого порта:
Info |
---|
|
По умолчанию, после включения функционала в режиме порта, функционал отбрасывает IP/ARP пакеты со всех адресов. |
Далее, также в режиме конфигурации порта, создается пул разрешенных Source IP-адресов, либо Source MAC IP адресов:
Code Block |
---|
am ip-pool <ip-address> <num>
am mac-ip-pool <mac-address> <ipaddress> |
- num - количество последующих IP-адресов, включая указанный.
Информацию по текущим настройкам AM можно получить с помощью команды 'show am':
Code Block |
---|
|
SNR-SWITCH#show am
AM is enabled
Interface Ethernet1/0/1
am port
am ip-pool 192.168.0.1 1
Interface Ethernet1/0/2
am port
am mac-ip-pool aa-bb-cc-dd-ee-ff 192.168.0.2
|
SNMP
Функционал также настраивается через SNMP, с помощью ветки .1.3.6.1.4.1.40418.7.100.10.4. MIB-файл для коммутаторов SNR доступен по ссылке.
Включаем/выключаем AM глобально:
Code Block |
---|
|
snmpset -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.1.0 i <state> |
- state: '1' - enable, '2' - disable.
Включаем/выключаем AM в режиме порта:
Code Block |
---|
|
snmpset -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.2.1.2.ifindex.0.0.0.0 i <state> |
- state: '1' - enable, '2' - disable;
- ifindex - номер настраиваемого порта;
Настраиваем разрешенный пул Source IP-адресов на порте:
Code Block |
---|
|
snmpset -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.2.1.2.ifindex.ip i 1 \
.1.3.6.1.4.1.40418.7.100.10.4.2.1.3.ifindex.ip i 1 \
.1.3.6.1.4.1.40418.7.100.10.4.2.1.6.ifindex.ip i <num> \
.1.3.6.1.4.1.40418.7.100.10.4.2.1.7.ifindex.ip i <status> |
- ifindex - номер настраиваемого порта;
- ip - настраиваемый разрешенный Source IP-адрес;
- num - количество последующих разрешенных IP-адресов, включая указанный;
- status: '1' - создать правило, '2' - удалить правило.
Настраиваем разрешенную связку Source MAC IP на порте:
Code Block |
---|
|
snmpset -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.2.1.2.ifindex.ip i 1 \
.1.3.6.1.4.1.40418.7.100.10.4.2.1.3.ifindex.ip i 2 \
.1.3.6.1.4.1.40418.7.100.10.4.2.1.5.ifindex.ip s <source_mac>
.1.3.6.1.4.1.40418.7.100.10.4.2.1.7.ifindex.ip i <status> |
- ifindex - номер настраиваемого порта;
- ip - настраиваемый разрешенный Source IP-адрес;
- source_mac - Source MAC для данного Source IP-адреса;
- status: '1' - создать правило, '2' - удалить правило.
Все OID также доступны для чтения. Например, режим работы Source IP либо Source MAC/IP можно посмотреть с помощью OID:
Code Block |
---|
|
snmpwalk -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.2.1.3 |
Разрешенные Source IP-адреса:
Code Block |
---|
|
snmpwalk -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.2.1.4 |
Разрешенные Source MAC-адреса:
Code Block |
---|
|
snmpwalk -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.2.1.5 |
Количество последующих разрешенных Source IP-адресов, включая указанный:
Code Block |
---|
|
snmpwalk -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.2.1.6 |