AM - аналог функционала IP MAC Source Guard. AM используется для борьбы с IP-спуфингом и позволяет фильтровать IP-трафик, сравнивая Source IP либо Source MAC IP с записями в пуле разрешенных адресов. Рассмотрим настройку функционала на коммутаторах SNR.
При использовании AM проверяются пакеты с Ethertype IP (0x0800) и ARP (0x0806). |
В первую очередь AM необходимо включить в глобальном режиме:
am enable |
После - в режиме конфигурирования необходимого порта:
am port |
По умолчанию, после включения функционала в режиме порта, функционал отбрасывает IP/ARP пакеты со всех адресов. |
Далее, также в режиме конфигурации порта, создается пул разрешенных Source IP-адресов, либо Source MAC IP адресов:
am ip-pool <ip-address> <num> am mac-ip-pool <mac-address> <ipaddress> |
Информацию по текущим настройкам AM можно получить с помощью команды 'show am':
SNR-SWITCH#show am AM is enabled Interface Ethernet1/0/1 am port am ip-pool 192.168.0.1 1 Interface Ethernet1/0/2 am port am mac-ip-pool aa-bb-cc-dd-ee-ff 192.168.0.2 |
Функционал также настраивается через SNMP, с помощью ветки .1.3.6.1.4.1.40418.7.100.10.4. MIB-файл для коммутаторов SNR доступен по ссылке.
Включаем/выключаем AM глобально:
snmpset -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.1.0 i <state> |
Включаем/выключаем AM в режиме порта:
snmpset -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.2.1.2.ifindex.0.0.0.0 i <state> |
Настраиваем разрешенный пул Source IP-адресов на порте:
snmpset -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.2.1.2.ifindex.ip i 1 \ .1.3.6.1.4.1.40418.7.100.10.4.2.1.3.ifindex.ip i 1 \ .1.3.6.1.4.1.40418.7.100.10.4.2.1.6.ifindex.ip i <num> \ .1.3.6.1.4.1.40418.7.100.10.4.2.1.7.ifindex.ip i <status> |
Настраиваем разрешенную связку Source MAC IP на порте:
snmpset -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.2.1.2.ifindex.ip i 1 \ .1.3.6.1.4.1.40418.7.100.10.4.2.1.3.ifindex.ip i 2 \ .1.3.6.1.4.1.40418.7.100.10.4.2.1.5.ifindex.ip s <source_mac> .1.3.6.1.4.1.40418.7.100.10.4.2.1.7.ifindex.ip i <status> |
Все OID также доступны для чтения. Например, режим работы Source IP либо Source MAC/IP можно посмотреть с помощью OID:
snmpwalk -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.2.1.3 |
Разрешенные Source IP-адреса:
snmpwalk -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.2.1.4 |
Разрешенные Source MAC-адреса:
snmpwalk -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.2.1.5 |
Количество последующих разрешенных Source IP-адресов, включая указанный:
snmpwalk -v2c -c private ip_addr .1.3.6.1.4.1.40418.7.100.10.4.2.1.6 |