Port Security - IP Virtual

Unanswered Question
Jun 15th, 2012

Em uma rede LAN onde é usado um cluster de Gateway onde existem 3 IPs, 2 Físicos e 1 Virtual, será que é possível usando Port Security restringir que nenhum outro host assuma o IP do VIP ?

Por exemplo:

Gateway-A = 10.1.1.2

Gateway-B = 10.1.1.3

Endereço VIP = 10.1.1.1

O endereço Virtual 10.1.1.1 flutua entre os 2 Gateways e permanece no Gateway Ativo (A ou B).

I have this problem too.
0 votes
  • 1
  • 2
  • 3
  • 4
  • 5
Average Rating: 0 (0 ratings)
roddelga Wed, 06/27/2012 - 11:51

Olá Hugo,

Com port-security, você pode definir  estaticamente definir qual mac é permitido na porta e também dizer para o  switch aprender o primeiro mac aprendido na porta e somente permitir o  trafego deste, mas sempre baseado em MAC.

Agora o que você precisa é uma feature chamada Dynamic ARP Inspection

Com  o DAI, o switch vai verificar as mensagens ARP e então filtrar se  necessario. O proposito do DAI é previnir ataques tipo  "ARP poisoning".

O  DAI vai examinar cada ARP request ou ARP reply (somente nas portas  definidas como não confiáveis) para decidir se a informação esta correta  ou não, e se não estiver ele vai filtrar a mensagem.

O DAI pode operar em conjunto com DHCP server.  A opção static trata a ACL com um deny implicito e vai dropar os pacotes que não fizerem match na ACL. DHCP bindings não é usado nesse caso.

1) Habiltar o DAI globalmente - define todas as portas como não confiáveis (untrusted)

ip arp inspection vlan xxx

2) Definir as interfaces confiáveis, que não precisa fazer inspection (trusted). No seu caso as portas do Gateway.

(interface xx) ip arp instection trust

3) Globalmente referencie a uma ACL ARP que define estaticamente o IP/MAC para ser verificado pelo DAI.

ip arp inspection filter "arp-acl-name" vlan "xx" [static]

Link de referencia:

http://www.cisco.com/en/US/partner/docs/switches/lan/catalyst4500/12.2/31sga/configuration/guide/dynarp.html

Atc,

Rodrigo

Cisco.Moderador Mon, 07/09/2012 - 09:00

Olá Hugo,

Encorajamos você a classificar e/ou marcar a questão como respondida se acha que o ajudou com o problema.

Att,

A moderação

Actions

Login or Register to take actions

This Discussion

Posted June 15, 2012 at 8:14 AM
Stats:
Replies:2 Avg. Rating:
Views:545 Votes:0
Shares:0
Tags: ip, security, virtual
+

Related Content