Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置 IP 源保护(非 ELS)

您可以使用 EX 系列交换机上的 IP 源保护访问端口安全功能来减轻源 IP 地址欺骗和源 MAC 地址欺骗的影响。如果 IP 源保护确定连接到接入接口的主机发送的数据包在数据包标头中具有无效的源 IP 地址或源 MAC 地址,则会确保交换机不会转发数据包,即数据包将被丢弃。

您可以在 VLAN 上启用 IP 源保护功能。您可以在特定 VLAN、所有 VLAN 或 VLAN 范围内启用它。

注意:

IP 源保护仅适用于接入接口,并且仅适用于不受信任的接口。如果在包含中继接口或设置为 dhcp 受信任的接口的 VLAN 上启用 IP 源保护,则 CLI 会在您尝试提交配置时显示错误。

注意:

您可以在单个请求方、单一安全请求方或多请求方模式下将 IP 源保护与 802.1X 用户身份验证结合使用。

在单一安全请求方或多请求方模式下实施 801.X 用户身份验证时,请使用以下配置准则:

  • 如果 802.1X 接口是未标记的基于 MAC 的 VLAN 的一部分,并且您希望在该 VLAN 上启用 IP 源保护和 DHCP 侦听,则必须在该接口具有未标记成员资格的所有动态 VLAN 上启用 IP 源保护和 DHCP 侦听。

  • 如果 802.1X 接口是基于 MAC 的标记 VLAN 的一部分,并且您希望在该 VLAN 上启用 IP 源保护和 DHCP 侦听,则必须在该接口已标记成员资格的所有动态 VLAN 上启用 IP 源保护和 DHCP 侦听。

配置 IP 源保护

在配置 IP 源保护之前,请确保您已:

在将在其上配置 IP 源保护的特定 VLAN 或特定 VLAN 上显式启用了 DHCP 侦听。请参阅 启用 DHCP 侦听(非 ELS)。如果在特定 VLAN 而不是所有 VLAN 上配置 IP 源保护,则还必须在这些 VLAN 上显式启用 DHCP 侦听。否则,默认值“无 DHCP 侦听”将应用于该 VLAN。

要配置 IP 源保护:

  • 在特定 VLAN 上:

  • 在所有 VLAN 上:

  • 在 VLAN 范围内:

    1. 设置 VLAN 范围:

    2. 将接口与 VLAN 范围关联,并将端口模式设置为 访问

    3. 在 VLAN 上启用 IP 源保护:

要将这些更改提交到活动配置,请在用户提示符处键入 commit 命令。

配置 IPv6 源保护

在配置 IPv6 源保护之前,请确保您已:

  • 在要配置 IPv6 源保护的特定 VLAN 或特定 VLAN 上显式启用 DHCPv6 侦听。请参阅 启用 DHCP 侦听(非 ELS)。如果在特定 VLAN 而不是所有 VLAN 上配置 IPv6 源保护,则还必须在这些 VLAN 上显式启用 DHCPv6 侦听。否则,默认值“无 DHCPv6 侦听”将应用于该 VLAN。

  • 设置 IPv6 源保护会话的最大数量:

    注意:

    设置或更改 IPv6 源保护会话的最大数量并提交配置后,必须重新启动交换机才能使配置生效。

要配置 IPv6 源保护:

  • 在特定 VLAN 上:

  • 在所有 VLAN 上:

  • 在 VLAN 范围内:

    1. 设置 VLAN 范围):

    2. 将接口与 VLAN 范围关联,并将端口模式设置为 访问

    3. 在 VLAN 上启用 IPv6 源保护:

要将这些更改提交到活动配置,请在用户提示符处键入 commit 命令。

禁用 IP 源保护

为所有 VLAN 或所有 VLAN 启用该功能后,您可以禁用特定 VLAN 的 IP 源保护。

  • 要禁用特定 VLAN 上的 IP 源保护,请执行以下操作:

  • 要在所有 VLAN 上禁用 IP 源保护,请执行以下操作:

注意:

替换为no-ip-source-guardno-ipv6-source-guard以禁用 IPv6 源保护。