Configuração do IP Source Guard (ELS)
Essa tarefa usa o Junos OS com suporte para o estilo de configuração de Software de Camada 2 (ELS) aprimorado. Se o seu dispositivo de comutação executar um software que não oferece suporte ao ELS, consulte Configurando a Proteção de Origem IP (não ELS). Para obter detalhes do ELS, consulte o uso da CLI aprimorada de software de Camada 2.
Nos switches EX9200, o proteção de origem IP não é suportado em um cenário MC-LAG.
Você pode usar o recurso de segurança da porta de acesso de proteção de origem IP para mitigar os efeitos da falsificação de endereços IP de origem e da spoofing de endereço MAC de origem. Se o proteção de origem IP determinar que um host conectado a uma interface de acesso enviou um pacote com um endereço IP de origem inválido ou endereço MAC de origem no cabeçalho do pacote, então o proteção de origem IP garante que o switch não encaminhe o pacote — ou seja, o pacote é descartado.
Você configura o recurso de proteção de origem IP em um VLAN específico. Quando você configura o proteção de origem IP em um VLAN, o switch habilita automaticamente o DHCP a bisbilhotar esse VLAN.
A proteção de origem IPv6 é suportada em switches com suporte para espionagem DHCPv6. Nesses switches, configurar o proteção de origem IP ou o proteção de origem IPv6 em um VLAN automaticamente permite bisbilhotar DHCP e o DHCPv6 bisbilhotar esse VLAN.
Antes de configurar o proteção de origem IP ou o proteção de origem IPv6 em um VLAN, você deve configurar o VLAN. Veja a documentação que descreve a configuração de pontes básicas e uma VLAN para o seu switch.
A proteção de origem IP e o proteção de origem IPv6 só podem ser aplicadas a interfaces não confiáveis. As interfaces de acesso não são confiáveis por padrão.
A proteção de origem IP e o proteção de origem IPv6 podem ser usadas junto com a autenticação do usuário 802.1X em um único suplicante, suplicante seguro único ou modo suplicante múltiplo.
Para configurar a proteção de origem IP em um VLAN específico usando a CLI:
[edit vlans vlan-name forwarding-options dhcp-security] user@switch# set ip-source-guard
Para configurar a proteção de origem IPv6 em um VLAN específico usando a CLI:
[edit vlans vlan-name forwarding-options dhcp-security] user@switch# set ipv6-source-guard