Série Connect - Configuração IP Source Guard Switch Gerenciável

Este tutorial tem como objetivo auxiliar o usuário na configuração do IP Source Guard, recurso de segurança em switches que impede um dispositivo de enviar tráfego com endereço IP não autorizado para a porta à qual está conectado. Apenas os endereços IP previamente configurados serão permitidos, e a configuração pode ser expandida para outras portas e dispositivos conforme a necessidade da rede.

Componentes

Equipamentos: Switch ET5-0602-M; CLP XP325.

Software: MasterTool IEC XE v3.71.

Seções do Tutorial

1. ARQUITETURA

2. DESENVOLVIMENTO

   2.1. Acessando página web do dispositivo

   2.2.  Configuração de IP 

   2.3.  Ativando o recurso IP Sorce Guard

   2.4.  Descobrindo o endereço MAC do CLP

   2.5.  Configurando a Tabela Estática do Recurso IP Source Guard

   2.6. Save Configuration 

   2.7.  Possível consulta de diagnósticos

1. ARQUITETURA 

Para este tutorial, com o switch devidamente energizado, conectou-se uma extremidade de um cabo Ethernet à porta 3 do switch e a outra extremidade ao CLP. Em seguida, utilizando outro cabo Ethernet, conectou-se o notebook a uma porta disponível do switch.

2. DESENVOLVIMENTO 

2.1. Acessando página web do dispositivo

Altere o IP da sua máquina para 192.168.1.xxx, de modo que ela fique na mesma faixa de rede do switch e permita o primeiro acesso. Em seguida, abra um navegador e digite o IP padrão do switch (192.168.1.254) para acessar a página de configuração.

Login: admin

Password: admin

2.2. Configuração de IP

Conforme demonstrado na imagem abaixo, acesse Configuration > System > IP e no endereço IPv4, configure um novo endereço. Após, altere o IP de seu computador para a mesma faixa de rede recentemente adicionada ao switch e recarregue a página com o novo IP atribuído a ele para acessá-lo novamente:

clique em Save.

2.3. Ativando o recurso IP Sorce Guard

Para ativar este recurso, no menu lateral, clique em Configuration > Security > Network > IP Source Guard > Configuration.

Em IP Source Guard Configuration, configure o Mode como Enable para habilitá-lo. Em Port Mode Configuration, você poderá escolher a porta onde deseja ativar essa configuração. Neste teste, utilizamos a porta 3, a qual o Mode também deve ser alterado para Enable, conforme imagem:

Clique em Save.

2.4. Descobrindo o MAC do CLP

Com o CLP conectado ao seu PC pelo cabo ethernet, abra o MasterTool e clique em Easy Connection, conforme destacado na imagem abaixo:

Em seguida, abrirá a página que irá escanear os IPs da rede. Ao localizar o IP do CLP que está utilizando, clique sobre o nome dele. Conforme destacado abaixo, será possível encontrar o endereço MAC do dispositivo:

2.5.  Configurando a Tabela Estática do Recurso IP Source Guard

Voltando a página de configuração do switch, no menu lateral, clique em Configuration > Security > Network > IP Source Guard > Static Table. Em Static IP Souce Guard Table é aonde iremos configurar os endereços de IPs e MACs autorizados a utilizar a porta em especifico:

1. Clique em Add New Entry
2. No campo Port, digite a porta que será configurada. Neste caso, porta 3, a qual está habilitada para utilizar o recurso IP Source Guard, conforme a sessão 2.3 deste tutorial.
3. No campo VLAN ID, indique a VLAN à qual o a rede de IP pertence. Como não configuramos outras VLANs, utilize a VLAN 1, que é a VLAN de gerenciamento dos switches. Caso tenha configurado outra VLAN em seu projeto, adicione a correspondente.
4. Informe o IP do dispositivo que será autorizado a utilizar a porta.
5. Informe o MAC address do dispositivo correspondente.
6. Clique em Save

2.6. Save Configuration 

1. Além de salvar as configurações realizadas pelo usuário no botão Save, faz-se necessário realizar o comando Save Configuration, para que de fato as configurações sejam realizadas.

2. Acesse Maintenance >Configuration >Save startup-config e clique em Save Configuration

   

2.7.  Possível consulta de diagnóstico

Para validar se a porta configurada está recebendo apenas o dispositivo cadastrado anteriormente, conecte o CLP à porta 3 do switch e seu computador a outra porta disponível. Em seguida, abra o Prompt de Comando da sua máquina, digite o comando PING seguido do IP do dispositivo, neste teste, 192.168.15.25:

Pressione Enter no teclado para executá-lo.

Note que os pacotes foram enviados e recebidos, garantindo a comunicação.

Ao conectar outro dispositivo à porta 3, com endereço diferente do cadastrado (192.168.15.254, por exemplo) e tentar executar o comando PING, conforme realizado anteriormente, observe que, mesmo estando na mesma rede, não é possível estabelecer comunicação:

Ao conectar o mesmo dispositivo (não cadastrado para o IP Source Guard, usado como exemplo o dispositivo de IP 192.168.15.254) em outra porta disponível do switch, diferente da porta 3, a comunicação é estabelecida:

Com isso, confirmamos que través da configuração do IP Source Guard, assegura-se que a comunicação na porta 3 seja permitida exclusivamente ao CLP.

OBS.:

• Este IP está na mesma rede dos demais dispositivos, o que permite a comunicação normalmente pelas outras portas do switch.
• A exceção é a porta 3, onde o IP Source Guard foi configurado para permitir apenas o dispositivo previamente cadastrado (no caso, o CLP).
• Todas as portas pertencem à mesma VLAN (VLAN 1 – padrão utilizada para o gerenciamento dos switches), o que também explica a possibilidade de comunicação entre as demais portas.
• Sem o IP Source Guard, qualquer dispositivo configurado na mesma rede e conectado a uma porta pertencente à mesma VLAN poderia se comunicar normalmente. No entanto, como a porta 3 possui essa proteção ativada, apenas o CLP é aceito nela.