AM - аналог функционала IP MAC Source Guard. AM используется для борьбы с IP-спуфингом и позволяет фильтровать IP-трафик, сравнивая Source IP либо Source MAC IP с записями в пуле разрешенных адресов. Рассмотрим настройку функционала на коммутаторах SNR.
Важно!
CLI
В первую очередь AM необходимо включить в глобальном режиме:
am enable
После - в режиме конфигурирования необходимого порта:
am port
Важно!
Далее, также в режиме конфигурации порта, создается пул разрешенных Source IP-адресов, либо Source MAC IP адресов:
am ip-pool <ip-address> <num> am mac-ip-pool <mac-address> <ipaddress>
- num - количество последующих IP-адресов, включая указанный.
Информацию по текущим настройкам AM можно получить с помощью команды 'show am':
SNR-SWITCH#show am AM is enabled Interface Ethernet1/0/1 am port am ip-pool 192.168.0.1 1 Interface Ethernet1/0/2 am port am mac-ip-pool aa-bb-cc-dd-ee-ff 192.168.0.2
SNMP
Функционал также настраивается через SNMP, с помощью ветки .1.3.6.1.4.1.40418.7.100.10.4. MIB-файл для коммутаторов SNR доступен по ссылке.
Включаем/выключаем AM глобально:
snmpset -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.1.0 i <state>
- state: '1' - enable, '2' - disable.
Включаем/выключаем AM в режиме порта:
snmpset -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.2.1.2.ifindex.0.0.0.0 i <state>
- state: '1' - enable, '2' - disable;
- ifindex - номер настраиваемого порта;
Настраиваем разрешенный пул Source IP-адресов на порте:
snmpset -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.2.1.2.ifindex.ip i 1 \ .1.3.6.1.4.1.40418.7.100.10.4.2.1.3.ifindex.ip i 1 \ .1.3.6.1.4.1.40418.7.100.10.4.2.1.6.ifindex.ip i <num> \ .1.3.6.1.4.1.40418.7.100.10.4.2.1.7.ifindex.ip i <status>
- ifindex - номер настраиваемого порта;
- ip - настраиваемый разрешенный Source IP-адрес;
- num - количество последующих разрешенных IP-адресов, включая указанный;
- status: '1' - создать правило, '2' - удалить правило.
Настраиваем разрешенную связку Source MAC IP на порте:
snmpset -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.2.1.2.ifindex.ip i 1 \ .1.3.6.1.4.1.40418.7.100.10.4.2.1.3.ifindex.ip i 2 \ .1.3.6.1.4.1.40418.7.100.10.4.2.1.5.ifindex.ip s <source_mac> .1.3.6.1.4.1.40418.7.100.10.4.2.1.7.ifindex.ip i <status>
- ifindex - номер настраиваемого порта;
- ip - настраиваемый разрешенный Source IP-адрес;
- source_mac - Source MAC для данного Source IP-адреса;
- status: '1' - создать правило, '2' - удалить правило.
Все OID также доступны для чтения. Например, режим работы Source IP либо Source MAC/IP можно посмотреть с помощью OID:
snmpwalk -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.2.1.3
- '1' - IP, '2' - MAC IP.
Разрешенные Source IP-адреса:
snmpwalk -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.2.1.4
Разрешенные Source MAC-адреса:
snmpwalk -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.2.1.5
Количество последующих разрешенных Source IP-адресов, включая указанный:
snmpwalk -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.2.1.6