Konfigurieren von IP Source Guard (Nicht-ELS)
Sie können die Sicherheitsfunktion IP Source Guard Access Port auf Switches der EX-Serie verwenden, um die Auswirkungen von Quell-IP-Adressen-Spoofing und Quell-MAC-Adressen-Spoofing abzumildern. Wenn der IP-Quellwächter feststellt, dass ein Host, der mit einer Zugriffsschnittstelle verbunden ist, ein Paket mit einer ungültigen Quell-IP-Adresse oder Quell-MAC-Adresse im Paket-Header gesendet hat, stellt er sicher, dass der Switch das Paket nicht weiterleitet, d. h., das Paket wird verworfen.
Sie aktivieren die IP-Source-Guard-Funktion in VLANs. Sie können es in einem bestimmten VLAN, in allen VLANs oder in einem VLAN-Bereich aktivieren.
Der IP-Quellschutz gilt nur für Zugriffsschnittstellen und nur für nicht vertrauenswürdige Schnittstellen. Wenn Sie den IP-Quellschutz in einem VLAN aktivieren, das Trunk-Schnittstellen oder eine Schnittstelle enthält, die auf dhcp-trusted festgelegt ist, zeigt die CLI eine Fehlermeldung an, wenn Sie versuchen, die Konfiguration zu bestätigen.
Sie können den IP-Quellschutz zusammen mit der 802.1X-Benutzerauthentifizierung im Single-Supplicant-, Single-Secure-Supplicant- oder Multiple-Supplicant-Modus verwenden.
Verwenden Sie bei der Implementierung der 801.X-Benutzerauthentifizierung im Single-Secure-Supplicant- oder Multiple-Supplicant-Modus die folgenden Konfigurationsrichtlinien:
Wenn die 802.1X-Schnittstelle Teil eines nicht getaggten MAC-basierten VLANs ist und Sie den IP-Quellschutz und DHCP-Snooping in diesem VLAN aktivieren möchten, müssen Sie den IP-Quellschutz und das DHCP-Snooping in allen dynamischen VLANs aktivieren, in denen die Schnittstelle über eine nicht getaggte Mitgliedschaft verfügt.
Wenn die 802.1X-Schnittstelle Teil eines getaggten MAC-basierten VLANs ist und Sie den IP-Quellschutz und DHCP-Snooping in diesem VLAN aktivieren möchten, müssen Sie den IP-Quellschutz und das DHCP-Snooping in allen dynamischen VLANs aktivieren, in denen die Schnittstelle eine Tag-Mitgliedschaft hat.
Konfigurieren von IP Source Guard
Bevor Sie den IP-Quellschutz konfigurieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
DHCP-Snooping wurde explizit für das spezifische VLAN oder bestimmte VLANs aktiviert, für die Sie den IP-Quellschutz konfigurieren. Weitere Informationen finden Sie unter Aktivieren von DHCP-Snooping (Nicht-ELS). Wenn Sie den IP-Quellschutz für bestimmte VLANs und nicht für alle VLANs konfigurieren, müssen Sie DHCP-Snooping auch explizit für diese VLANs aktivieren. Andernfalls gilt der Standardwert "Kein DHCP-Snooping" für dieses VLAN.
So konfigurieren Sie den IP-Quellschutz:
In einem bestimmten VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ip-source-guard
In allen VLANs:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all ip-source-guard
In einem VLAN-Bereich:
Legen Sie den VLAN-Bereich fest:
[edit vlans] user@switch# set vlan-name vlan-range vlan-id-low-vlan-id-high
Verknüpfen Sie eine Schnittstelle mit dem VLAN-Bereich und stellen Sie den Portmodus auf Zugriff ein:
[edit interfaces] user@switch# set interface-name unit 0 family ethernet-switching port-mode access vlan members vlan-name
Aktivieren Sie den IP-Quellschutz im VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ip-source-guard
Um diese Änderungen in die aktive Konfiguration zu übernehmen, geben Sie den commit Befehl an der Benutzeraufforderung ein.
Konfigurieren von IPv6 Source Guard
Bevor Sie den IPv6-Quellschutz konfigurieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
DHCPv6-Snooping wurde explizit für das spezifische VLAN oder bestimmte VLANs aktiviert, in denen Sie den IPv6-Quellschutz konfigurieren. Weitere Informationen finden Sie unter Aktivieren von DHCP-Snooping (Nicht-ELS). Wenn Sie IPv6 Source Guard in bestimmten VLANs und nicht in allen VLANs konfigurieren, müssen Sie DHCPv6-Snooping auch explizit in diesen VLANs aktivieren. Andernfalls gilt der Standardwert "Kein DHCPv6-Snooping" für dieses VLAN.
Legen Sie die maximale Anzahl von IPv6-Quellschutzsitzungen fest:
[edit ethernet-switching-options secure-access-port] user@switch# set ipv6-source-guard-sessions max-number maximum-number
Anmerkung:Nachdem Sie die maximale Anzahl von IPv6-Quellschutzsitzungen festgelegt oder geändert und die Konfiguration bestätigt haben, müssen Sie den Switch neu starten, damit die Konfiguration wirksam wird.
So konfigurieren Sie den IPv6-Quellwächter:
In einem bestimmten VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ipv6-source-guard
In allen VLANs:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all ipv6-source-guard
In einem VLAN-Bereich:
Legen Sie den VLAN-Bereich fest):
[edit vlans] user@switch# set vlan-name vlan-range vlan-id-low-vlan-id-high
Verknüpfen Sie eine Schnittstelle mit einem VLAN-Bereich und stellen Sie den Portmodus auf Zugriff ein:
[edit interfaces] user@switch# set interface-name unit 0 family ethernet-switching port-mode access vlan members vlan-name
IPv6-Quellschutz im VLAN aktivieren:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ipv6-source-guard
Um diese Änderungen in die aktive Konfiguration zu übernehmen, geben Sie den commit Befehl an der Benutzeraufforderung ein.
Deaktivieren von IP Source Guard
Sie können den IP-Quellschutz für ein bestimmtes VLAN deaktivieren, nachdem Sie die Funktion für alle VLANs oder für alle VLANs aktiviert haben.
So deaktivieren Sie den IP-Quellschutz in einem bestimmten VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name no-ip-source-guard
So deaktivieren Sie den IP-Quellschutz in allen VLANs:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all no-ipv6-source-guard
Ersetzen no-ip-source-guard Sie durch no-ipv6-source-guard , um den IPv6-Quellschutz zu deaktivieren.