在此页面上
配置 IP 源保护(非 ELS)
您可以使用 EX 系列交换机上的 IP 源保护访问端口安全功能来减轻源 IP 地址欺骗和源 MAC 地址欺骗的影响。如果 IP 源保护确定连接到接入接口的主机发送的数据包在数据包标头中具有无效的源 IP 地址或源 MAC 地址,则会确保交换机不会转发数据包,即数据包将被丢弃。
您可以在 VLAN 上启用 IP 源保护功能。您可以在特定 VLAN、所有 VLAN 或 VLAN 范围内启用它。
IP 源保护仅适用于接入接口,并且仅适用于不受信任的接口。如果在包含中继接口或设置为 dhcp 受信任的接口的 VLAN 上启用 IP 源保护,则 CLI 会在您尝试提交配置时显示错误。
您可以在单个请求方、单一安全请求方或多请求方模式下将 IP 源保护与 802.1X 用户身份验证结合使用。
在单一安全请求方或多请求方模式下实施 801.X 用户身份验证时,请使用以下配置准则:
如果 802.1X 接口是未标记的基于 MAC 的 VLAN 的一部分,并且您希望在该 VLAN 上启用 IP 源保护和 DHCP 侦听,则必须在该接口具有未标记成员资格的所有动态 VLAN 上启用 IP 源保护和 DHCP 侦听。
如果 802.1X 接口是基于 MAC 的标记 VLAN 的一部分,并且您希望在该 VLAN 上启用 IP 源保护和 DHCP 侦听,则必须在该接口已标记成员资格的所有动态 VLAN 上启用 IP 源保护和 DHCP 侦听。
配置 IP 源保护
在配置 IP 源保护之前,请确保您已:
在将在其上配置 IP 源保护的特定 VLAN 或特定 VLAN 上显式启用了 DHCP 侦听。请参阅 启用 DHCP 侦听(非 ELS)。如果在特定 VLAN 而不是所有 VLAN 上配置 IP 源保护,则还必须在这些 VLAN 上显式启用 DHCP 侦听。否则,默认值“无 DHCP 侦听”将应用于该 VLAN。
要配置 IP 源保护:
在特定 VLAN 上:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ip-source-guard
在所有 VLAN 上:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all ip-source-guard
在 VLAN 范围内:
设置 VLAN 范围:
[edit vlans] user@switch# set vlan-name vlan-range vlan-id-low-vlan-id-high
将接口与 VLAN 范围关联,并将端口模式设置为 访问:
[edit interfaces] user@switch# set interface-name unit 0 family ethernet-switching port-mode access vlan members vlan-name
在 VLAN 上启用 IP 源保护:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ip-source-guard
要将这些更改提交到活动配置,请在用户提示符处键入 commit
命令。
配置 IPv6 源保护
在配置 IPv6 源保护之前,请确保您已:
在要配置 IPv6 源保护的特定 VLAN 或特定 VLAN 上显式启用 DHCPv6 侦听。请参阅 启用 DHCP 侦听(非 ELS)。如果在特定 VLAN 而不是所有 VLAN 上配置 IPv6 源保护,则还必须在这些 VLAN 上显式启用 DHCPv6 侦听。否则,默认值“无 DHCPv6 侦听”将应用于该 VLAN。
设置 IPv6 源保护会话的最大数量:
[edit ethernet-switching-options secure-access-port] user@switch# set ipv6-source-guard-sessions max-number maximum-number
注意:设置或更改 IPv6 源保护会话的最大数量并提交配置后,必须重新启动交换机才能使配置生效。
要配置 IPv6 源保护:
在特定 VLAN 上:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ipv6-source-guard
在所有 VLAN 上:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all ipv6-source-guard
在 VLAN 范围内:
设置 VLAN 范围):
[edit vlans] user@switch# set vlan-name vlan-range vlan-id-low-vlan-id-high
将接口与 VLAN 范围关联,并将端口模式设置为 访问:
[edit interfaces] user@switch# set interface-name unit 0 family ethernet-switching port-mode access vlan members vlan-name
在 VLAN 上启用 IPv6 源保护:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ipv6-source-guard
要将这些更改提交到活动配置,请在用户提示符处键入 commit
命令。
禁用 IP 源保护
为所有 VLAN 或所有 VLAN 启用该功能后,您可以禁用特定 VLAN 的 IP 源保护。
要禁用特定 VLAN 上的 IP 源保护,请执行以下操作:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name no-ip-source-guard
要在所有 VLAN 上禁用 IP 源保护,请执行以下操作:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all no-ipv6-source-guard
替换为no-ip-source-guard
no-ipv6-source-guard
以禁用 IPv6 源保护。