Konfigurieren von IP Source Guard (ELS)
Für diese Aufgabe wird Junos OS mit Unterstützung für den Konfigurationsstil Enhanced Layer 2 Software (ELS) verwendet. Wenn auf Ihrem Switching-Gerät Software ausgeführt wird, die ELS nicht unterstützt, finden Sie weitere Informationen unter Konfigurieren von IP Source Guard (Nicht-ELS). Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.
Auf EX9200-Switches wird der IP-Quellschutz in einem MC-LAG-Szenario nicht unterstützt.
Sie können die Sicherheitsfunktion des Zugriffsports des IP-Quellschutzes verwenden, um die Auswirkungen von Quell-IP-Adressen-Spoofing und Quell-MAC-Adressen-Spoofing zu mindern. Wenn der IP-Quellschutz feststellt, dass ein Host, der mit einer Zugriffsschnittstelle verbunden ist, ein Paket mit einer ungültigen Quell-IP-Adresse oder Quell-MAC-Adresse im Paket-Header gesendet hat, stellt der IP-Quellschutz sicher, dass der Switch das Paket nicht weiterleitet – das heißt, das Paket wird verworfen.
Sie konfigurieren die IP-Quellschutzfunktion in einem bestimmten VLAN. Wenn Sie den IP-Quellschutz in einem VLAN konfigurieren, aktiviert der Switch automatisch DHCP-Snooping in diesem VLAN.
IPv6 Source Guard wird auf Switches mit Unterstützung für DHCPv6-Snooping unterstützt. Auf diesen Switches wird durch die Konfiguration von IP Source Guard oder IPv6 Source Guard in einem VLAN automatisch DHCP-Snooping und DHCPv6-Snooping in diesem VLAN aktiviert.
Bevor Sie den IP-Quellwächter oder IPv6-Quellwächter in einem VLAN konfigurieren können, müssen Sie das VLAN konfigurieren. Weitere Informationen finden Sie in der Dokumentation, in der das Einrichten von grundlegendem Bridging und einem VLAN für Ihren Switch beschrieben wird.
IP-Quellschutz und IPv6-Quellschutz können nur auf nicht vertrauenswürdige Schnittstellen angewendet werden. Zugriffsschnittstellen sind standardmäßig nicht vertrauenswürdig.
IP-Quellwächter und IPv6-Quellwächter können zusammen mit der 802.1X-Benutzerauthentifizierung im Single-Supplicant-, Single-Secure-Supplicant- oder Multiple-Supplicant-Modus verwendet werden.
So konfigurieren Sie den IP-Quellschutz in einem bestimmten VLAN mithilfe der CLI:
[edit vlans vlan-name forwarding-options dhcp-security] user@switch# set ip-source-guard
So konfigurieren Sie den IPv6-Quellschutz in einem bestimmten VLAN mithilfe der CLI:
[edit vlans vlan-name forwarding-options dhcp-security] user@switch# set ipv6-source-guard