配置 IP 源保护 (ELS)
注意:
此任务使用支持增强型第 2 层软件 (ELS) 配置样式的 Junos OS。如果交换设备运行的软件不支持 ELS,请参阅 配置 IP 源保护(非 ELS)。有关 ELS 的详细信息,请参阅 使用增强型第 2 层软件 CLI。
注意:
在 EX9200 交换机上,MC-LAG 方案不支持 IP 源保护。
您可以使用 IP 源保护访问端口安全功能来减轻源 IP 地址欺骗和源 MAC 地址欺骗的影响。如果 IP 源保护确定连接到接入接口的主机发送的数据包在数据包标头中具有无效的源 IP 地址或源 MAC 地址,则 IP 源保护可确保交换机不会转发数据包,即数据包将被丢弃。
您可以在特定 VLAN 上配置 IP 源保护功能。在 VLAN 上配置 IP 源保护时,交换机会自动在该 VLAN 上启用 DHCP 侦听。
支持 DHCPv6 侦听的交换机支持 IPv6 源保护。在这些交换机上,在 VLAN 上配置 IP 源保护或 IPv6 源保护会自动在该 VLAN 上启用 DHCP 侦听和 DHCPv6 侦听。
必须先配置 VLAN,然后才能在 VLAN 上配置 IP 源保护或 IPv6 源保护。请参阅描述为交换机设置基本桥接和 VLAN 的文档。
IP 源保护和 IPv6 源保护只能应用于不受信任的接口。默认情况下,接入接口不受信任。
IP 源保护和 IPv6 源保护可在单个请求方、单一安全请求方或多请求方模式下与 802.1X 用户身份验证一起使用。
要使用 CLI 在特定 VLAN 上配置 IP 源保护,请执行以下操作:
[edit vlans vlan-name forwarding-options dhcp-security] user@switch# set ip-source-guard
要使用 CLI 在特定 VLAN 上配置 IPv6 源保护,请执行以下操作:
[edit vlans vlan-name forwarding-options dhcp-security] user@switch# set ipv6-source-guard