Настройка AM (IP-MAC Source Guard) на коммутаторах SNR

AM - аналог функционала IP MAC Source Guard. AM используется для борьбы с IP-спуфингом и позволяет фильтровать IP-трафик, сравнивая Source IP либо Source MAC IP с записями в пуле разрешенных адресов. Рассмотрим настройку функционала на коммутаторах SNR.

CLI

В первую очередь AM необходимо включить в глобальном режиме:

am enable

После - в режиме конфигурирования необходимого порта:

am port

Далее, также в режиме конфигурации порта, создается пул разрешенных Source IP-адресов, либо Source MAC IP адресов:

am ip-pool <ip-address> <num>
am mac-ip-pool <mac-address> <ipaddress>

• num - количество последующих IP-адресов, включая указанный.

Информацию по текущим настройкам AM можно получить с помощью команды 'show am':

SNR-SWITCH#show am                 
AM is enabled

Interface Ethernet1/0/1
    am port
    am ip-pool 192.168.0.1  1

Interface Ethernet1/0/2
    am port
    am mac-ip-pool  aa-bb-cc-dd-ee-ff 192.168.0.2

SNMP

Функционал также настраивается через SNMP, с помощью ветки .1.3.6.1.4.1.40418.7.100.10.4. MIB-файл для коммутаторов SNR доступен по ссылке.

Включаем/выключаем AM глобально:

snmpset -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.1.0 i <state>

• state: '1' - enable, '2' - disable.

Включаем/выключаем AM в режиме порта:

snmpset -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.2.1.2.ifindex.0.0.0.0 i <state>

• state: '1' - enable, '2' - disable;
• ifindex - номер настраиваемого порта;

Настраиваем разрешенный пул Source IP-адресов на порте:

snmpset -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.2.1.2.ifindex.ip i 1 \
.1.3.6.1.4.1.40418.7.100.10.4.2.1.3.ifindex.ip i 1 \
.1.3.6.1.4.1.40418.7.100.10.4.2.1.6.ifindex.ip i <num> \
.1.3.6.1.4.1.40418.7.100.10.4.2.1.7.ifindex.ip i <status>

• ifindex - номер настраиваемого порта;
• ip - настраиваемый разрешенный Source IP-адрес;
• num - количество последующих разрешенных IP-адресов, включая указанный;
• status: '1' - создать правило, '2' - удалить правило.

Настраиваем разрешенную связку Source MAC IP на порте:

snmpset -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.2.1.2.ifindex.ip i 1 \
.1.3.6.1.4.1.40418.7.100.10.4.2.1.3.ifindex.ip i 2 \
.1.3.6.1.4.1.40418.7.100.10.4.2.1.5.ifindex.ip s <source_mac>
.1.3.6.1.4.1.40418.7.100.10.4.2.1.7.ifindex.ip i <status>

• ifindex - номер настраиваемого порта;
• ip - настраиваемый разрешенный Source IP-адрес;
• source_mac - Source MAC для данного Source IP-адреса;
• status: '1' - создать правило, '2' - удалить правило.

Все OID также доступны для чтения. Например, режим работы Source IP либо Source MAC/IP можно посмотреть с помощью OID:

snmpwalk -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.2.1.3

• '1' - IP, '2' - MAC IP.

Разрешенные Source IP-адреса:

snmpwalk -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.2.1.4

Разрешенные Source MAC-адреса:

snmpwalk -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.2.1.5

Количество последующих разрешенных Source IP-адресов, включая указанный:

snmpwalk -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.2.1.6