IP Source Guard: Schutz vor IP Spoofing am Access-Port

IP Spoofing am Access-Port ist ein häufig unterschätztes Risiko: Ein Endgerät kann sich einfach eine fremde IP-Adresse geben (z. B. die eines Servers oder Gateways) und damit Policies umgehen, Logging verfälschen oder Konflikte auslösen. IP Source Guard ist die Cisco-Gegenmaßnahme auf Layer 2: Der Switch erlaubt IP-Traffic auf einem Port nur dann, wenn die IP/MAC/VLAN/Port-Kombination zu einer vertrauenswürdigen Bindung passt – in der Regel aus der DHCP Snooping Binding Table. In Kombination mit DHCP Snooping und Dynamic ARP Inspection entsteht so ein wirksames Access-Security-Bundle.

Was IP Source Guard macht (und was nicht)

IP Source Guard filtert eingehenden Verkehr am Switchport anhand einer erlaubten IP↔MAC↔Port-Bindung. Wenn ein Host eine andere IP benutzt als vorgesehen, wird der Traffic gedroppt. Das schützt gegen IP-Spoofing und reduziert „fremde IP“-Effekte im VLAN.

• Erlaubt nur IP-Adressen, die zur Port-Bindung passen
• Verhindert IP-Spoofing und reduziert IP-Konflikte
• Arbeitet typischerweise mit DHCP Snooping Bindings
• Ersetzt keine Firewall-Policies, sondern ergänzt Edge-Security

Zusammenspiel im Access-Security-Bundle

• DHCP Snooping: stoppt Rogue DHCP, baut Bindings auf
• DAI: verhindert ARP Spoofing mit Hilfe der Bindings
• IP Source Guard: verhindert IP Spoofing mit Hilfe der Bindings

Voraussetzungen: Ohne Bindings kein sauberer Betrieb

IP Source Guard ist am einfachsten in DHCP-basierten Client-VLANs. Dann entstehen Bindings automatisch. Bei statischen IPs brauchst du eine Strategie (statisches Binding oder alternative VLANs), sonst droppst du legitimen Traffic.

• DHCP Snooping aktiv und korrekt konfiguriert
• Bindings vorhanden: MAC–IP–VLAN–Port
• Trusted Uplinks gesetzt (sonst keine Bindings)
• Plan für statische IPs (statische Bindings oder separate VLANs)

Bindings prüfen (vor dem Rollout)

show ip dhcp snooping
show ip dhcp snooping binding

Schritt 1: DHCP Snooping als Basis aktivieren

Aktiviere DHCP Snooping global und für die relevanten VLANs. Setze Uplinks Richtung Distribution/DHCP-Server als trusted und begrenze DHCP-Flooding auf Edge-Ports.

enable
configure terminal
ip dhcp snooping
ip dhcp snooping vlan 10,20
ip dhcp snooping database flash:dhcp_snoop.db
end

Uplink trusted setzen (Beispiel)

configure terminal
interface gigabitEthernet 1/0/48
 description UPLINK-TO-DIST
 ip dhcp snooping trust
end

Rate-Limit auf Edge-Ports (Beispiel)

configure terminal
interface range gigabitEthernet 1/0/1 - 24
 ip dhcp snooping limit rate 15
end

Schritt 2: IP Source Guard am Access-Port aktivieren

IP Source Guard wird pro Interface aktiviert. Beginne mit einem Pilot-Port bzw. einem Pilot-VLAN und prüfe danach, ob Traffic sauber läuft und Bindings korrekt greifen.

Beispiel: Client-Port (DHCP) mit IP Source Guard

configure terminal
interface gigabitEthernet 1/0/10
 description CLIENT-IPSG
 switchport mode access
 switchport access vlan 10
 ip verify source
 spanning-tree portfast
 spanning-tree bpduguard enable
end

Option: Zusätzlich DHCP Snooping Rate-Limit und Port Security kombinieren

IP Source Guard stoppt IP-Spoofing, Port Security begrenzt MACs. Zusammen erhöhen sie die Hürde für Rogue-Geräte.

configure terminal
interface gigabitEthernet 1/0/10
 switchport port-security
 switchport port-security maximum 1
 switchport port-security violation restrict
 ip dhcp snooping limit rate 15
end

Statische IPs: Wie du legitimen Traffic nicht aus Versehen blockierst

Wenn ein Gerät statisch konfiguriert ist, existiert keine DHCP Snooping Binding. Dann kann IP Source Guard den IP-Traffic droppen. Saubere Optionen sind: statische Bindings pro Port (wenn unterstützt) oder separate VLANs, die nicht mit IP Source Guard enforced werden.

Design-Optionen für statische Geräte

• Statische IPs in eigene VLANs (Server/Printer) und dort andere Kontrollen nutzen
• Statische Bindings pro Port (wenn Plattform/IOS das unterstützt)
• Wenn möglich: statische Geräte auf DHCP umstellen (Reservierungen)

Verifikation: Prüfen, ob IP Source Guard wirklich greift

Du willst zwei Dinge sehen: Erstens, dass die DHCP Snooping Bindings vorhanden sind. Zweitens, dass der Port IP Source Guard aktiv hat und keine Drops wegen fehlender Bindings produziert.

Bindings und Portstatus prüfen

show ip dhcp snooping binding
show running-config interface gigabitEthernet 1/0/10
show interfaces gigabitEthernet 1/0/10

Access-Security-Events in Logs prüfen

show logging | include DHCP_SNOOPING|IP|VERIFY|SOURCE|DROP

Troubleshooting: Wenn nach Aktivierung „nichts mehr geht“

Wenn IP Source Guard Traffic blockiert, ist die Ursache fast immer fehlende oder falsche Bindings. Arbeite von Snooping → Trusted Uplink → Bindings → Port-Konfiguration.

• DHCP Snooping nicht aktiv oder VLAN nicht freigeschaltet
• Uplink nicht trusted: DHCP-Antworten kommen nicht durch, keine Bindings
• Endpoint nutzt statische IP: Binding fehlt
• DHCP-Probleme: Client bekommt keine Lease, daher keine Binding

Diagnose-Spickzettel

show ip dhcp snooping
show ip dhcp snooping binding
show interfaces trunk
show interfaces gigabitEthernet 1/0/48
show logging | include DHCP|SNOOP|VERIFY|SOURCE|DROP

Praxis-Blueprint: Access-Security-Bundle (Snooping + DAI + IPSG)

Der größte Nutzen entsteht, wenn du die drei Mechanismen gemeinsam nutzt. DHCP Snooping baut Bindings, DAI verhindert ARP Spoofing und IP Source Guard verhindert IP Spoofing – jeweils am Access-Port.

Beispiel: VLAN 10 absichern

configure terminal
ip dhcp snooping
ip dhcp snooping vlan 10
ip dhcp snooping database flash:dhcp_snoop.db
ip arp inspection vlan 10
interface gigabitEthernet 1/0/48

description UPLINK-TRUNK

ip dhcp snooping trust

ip arp inspection trust

exit
interface range gigabitEthernet 1/0/1 - 24

description EDGE-PORTS

ip dhcp snooping limit rate 15

ip arp inspection limit rate 15

exit
interface gigabitEthernet 1/0/10

description CLIENT-SECURED

switchport mode access

switchport access vlan 10

ip verify source

spanning-tree portfast

spanning-tree bpduguard enable

end

Best Practices: IP Source Guard sicher und betrieblich sinnvoll einsetzen

IP Source Guard ist sehr effektiv in DHCP-basierten Client-Netzen. Der Schlüssel ist ein sauberer DHCP Snooping Unterbau und eine klare Strategie für statische Endgeräte.

• Nur in VLANs einsetzen, in denen DHCP Snooping Bindings zuverlässig entstehen
• Trusted nur auf Uplinks/Infra-Ports setzen
• Statische IPs vermeiden oder sauber separat behandeln
• Rollout stufenweise (Pilot → Fläche) und Logs eng überwachen
• Mit DAI kombinieren, um ARP- und IP-Spoofing gemeinsam zu verhindern

copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.