Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfiguration von IP Source Guard (nicht-ELS)

Sie können die IP Source Guard-Zugriffs-Port-Sicherheitsfunktion auf Switches der EX-Serie verwenden, um die Auswirkungen von Quell-IP-Adressen-Spoofing und Spoofing von Quell-MAC-Adressen zu minimieren. Wenn IP Source Guard feststellt, dass ein mit einer Zugriffsschnittstelle verbundener Host ein Paket mit einer ungültigen Quell-IP-Adresse oder Quell-MAC-Adresse im Paket-Header gesendet hat, stellt er sicher, dass der Switch das Paket nicht weiterleitet, d. h. das Paket wird verworfen.

Sie aktivieren die IP Source Guard-Funktion auf VLANs. Sie können es auf einem bestimmten VLAN, auf allen VLANs oder in einem VLAN-Bereich aktivieren.

Hinweis:

IP Source Guard gilt nur für Zugriffsschnittstellen und nur für nicht vertrauenswürdige Schnittstellen. Wenn Sie den IP-Quellschutz in einem VLAN aktivieren, das Trunkschnittstellen oder eine auf DHCP-vertrauenswürdige Schnittstelle festgelegt ist, zeigt die CLI einen Fehler an, wenn Sie versuchen, die Konfiguration zu bestätigen.

Hinweis:

Sie können IP Source Guard zusammen mit 802.1X-Benutzerauthentifizierung im Single Supplicant-, Single-Secure Supplicant- oder Multiple Supplicant-Modus verwenden.

Verwenden Sie bei der Implementierung der 801.X-Benutzerauthentifizierung im Single-Secure Supplicant- oder Multiple Supplicant-Modus die folgenden Konfigurationsrichtlinien:

  • Wenn die 802.1X-Schnittstelle Teil eines nicht getaggten MAC-basierten VLANs ist und Sie IP-Quellschutz und DHCP-Snooping in diesem VLAN aktivieren möchten, müssen Sie IP Source Guard und DHCP-Snooping auf allen dynamischen VLANs aktivieren, in denen die Schnittstelle die Mitgliedschaft enttagiert hat.

  • Wenn die 802.1X-Schnittstelle Teil eines getaggten MAC-basierten VLANs ist und Sie IP-Quellschutz und DHCP-Snooping auf diesem VLAN aktivieren möchten, müssen Sie IP-Quellschutz und DHCP-Snooping auf allen dynamischen VLANs aktivieren, in denen die Schnittstelle die Mitgliedschaft getaggt hat.

Konfiguration von IP Source Guard

Bevor Sie IP Source Guard konfigurieren, stellen Sie sicher, dass Sie folgendes haben:

Explizit aktiviertes DHCP-Snooping auf dem spezifischen VLAN oder bestimmten VLANs, auf denen Sie ip Source Guard konfigurieren. Siehe Aktivieren von DHCP-Snooping (nicht-ELS). Wenn Sie den IP-Quellschutz für bestimmte VLANs und nicht für alle VLANs konfigurieren, müssen Sie auch DHCP-Snooping explizit für diese VLANs aktivieren. Andernfalls gilt der Standardwert kein DHCP-Snooping für dieses VLAN.

So konfigurieren Sie den IP-Source-Guard:

  • Auf einem bestimmten VLAN:

  • Auf allen VLANs:

  • Auf einem VLAN-Bereich:

    1. Festlegen des VLAN-Bereichs:

    2. Verknüpfen Sie eine Schnittstelle mit dem VLAN-Bereich und legen Sie den Portmodus auf Zugriff fest:

    3. Aktivieren Sie den IP-Quellschutz im VLAN:

Geben Sie den commit Befehl an der Benutzereingabeaufforderung ein, um diese Änderungen an der aktiven Konfiguration zu übernehmen.

Konfiguration von IPv6 Source Guard

Bevor Sie IPv6 Source Guard konfigurieren, stellen Sie sicher, dass Sie folgendes haben:

  • Explizit aktiviertes DHCPv6-Snooping auf dem spezifischen VLAN oder bestimmten VLANs, auf denen Sie IPv6 Source Guard konfigurieren. Siehe Aktivieren von DHCP-Snooping (nicht-ELS). Wenn Sie den IPv6-Quellschutz für bestimmte VLANs und nicht für alle VLANs konfigurieren, müssen Sie auch DHCPv6-Snooping auf diesen VLANs explativ aktivieren. Andernfalls gilt der Standardwert kein DHCPv6-Snooping für dieses VLAN.

  • Festlegen der maximalen Anzahl von IPv6-Source Guard-Sitzungen:

    Hinweis:

    Nach dem Festlegen oder Ändern der maximalen Anzahl von IPv6-Source Guard-Sitzungen und dem Festlegen der Konfiguration müssen Sie den Switch neu starten, damit die Konfiguration wirksam wird.

So konfigurieren Sie den IPv6 Source Guard:

  • Auf einem bestimmten VLAN:

  • Auf allen VLANs:

  • Auf einem VLAN-Bereich:

    1. VLAN-Bereich festlegen):

    2. Verknüpfen Sie eine Schnittstelle mit einem VLAN-Bereich und legen Sie den Portmodus auf Zugriff fest:

    3. Aktivieren Sie den IPv6-Quellschutz im VLAN:

Geben Sie den commit Befehl an der Benutzereingabeaufforderung ein, um diese Änderungen an der aktiven Konfiguration zu übernehmen.

Deaktivieren von IP Source Guard

Sie können den IP-Quellschutz für ein bestimmtes VLAN deaktivieren, nachdem Sie die Funktion für alle VLANs oder für alle VLANs aktiviert haben.

  • So deaktivieren Sie den IP-Quellschutz für ein bestimmtes VLAN:

  • So deaktivieren Sie den IP-Quellschutz auf allen VLANs:

Hinweis:

Ersetzen durch no-ip-source-guard no-ipv6-source-guard , um IPv6 Source Guard zu deaktivieren.