Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuration d’IP Source Guard (non-ELS)

Vous pouvez utiliser la fonction de sécurité du port d’accès IP Source Guard sur les commutateurs EX Series pour atténuer les effets de l’usurpation d’adresse IP source et d’usurpation d’adresse MAC source. Si IP Source Guard détermine qu’un hôte connecté à une interface d’accès a envoyé un paquet avec une adresse IP source ou une adresse MAC source non valide dans l’en-tête du paquet, il s’assure que le commutateur ne transfère pas le paquet, c’est-à-dire que le paquet est rejeté.

Vous activez la fonctionnalité IP Source Guard sur les VLAN. Vous pouvez l’activer sur un VLAN spécifique, sur tous les VLAN ou sur une plage de VLAN.

Note:

IP Source Guard s’applique uniquement aux interfaces d’accès et uniquement aux interfaces non approuvées. Si vous activez IP Source Guard sur un VLAN qui inclut des interfaces trunk ou une interface définie sur dhcp-trusted, l’interface de ligne de commande affiche une erreur lorsque vous essayez de valider la configuration.

Note:

Vous pouvez utiliser IP Source Guard avec l’authentification utilisateur 802.1X en mode demandeur unique, demandeur sécurisé unique ou suppliant multiple.

Lors de l’implémentation de l’authentification utilisateur 801.X en mode de demande sécurisée unique ou multiple, suivez les instructions de configuration suivantes :

  • Si l’interface 802.1X fait partie d’un VLAN MAC non balisé et que vous souhaitez activer IP Source Guard et la surveillance DHCP sur ce VLAN, vous devez activer IP Source Guard et DHCP snooping sur tous les VLAN dynamiques auxquels l’interface appartient sans balise.

  • Si l’interface 802.1X fait partie d’un VLAN MAC balisé et que vous souhaitez activer IP Source Guard et la surveillance DHCP sur ce VLAN, vous devez activer IP Source Guard et la surveillance DHCP sur tous les VLAN dynamiques dans lesquels l’interface a marqué l’appartenance.

Configuration d’IP Source Guard

Avant de configurer IP Source Guard, assurez-vous que vous disposez des éléments suivants :

Activation explicite de la surveillance DHCP sur le ou les VLAN spécifiques sur lesquels vous allez configurer IP Source Guard. Reportez-vous à la section Activation de la surveillance DHCP (non-ELS). Si vous configurez IP Source Guard sur des VLAN spécifiques plutôt que sur tous les VLAN, vous devez également activer explicitement la surveillance DHCP sur ces VLAN. Dans le cas contraire, la valeur par défaut « Aucune surveillance DHCP » s’applique à ce VLAN.

Pour configurer IP Source Guard :

  • Sur un VLAN spécifique :

  • Sur tous les VLAN :

  • Sur une plage VLAN :

    1. Définissez la plage VLAN :

    2. Associez une interface à la plage VLAN et définissez le mode de port pour accéder aux éléments suivants :

    3. Activer IP Source Guard sur le VLAN :

Pour valider ces modifications dans la configuration active, tapez la commit commande à l’invite de l’utilisateur.

Configuration d’IPv6 Source Guard

Avant de configurer la protection de source IPv6, assurez-vous que vous disposez des éléments suivants :

  • Activation explicite de l’écoute DHCPv6 sur le ou les VLAN spécifiques sur lesquels vous allez configurer la protection de source IPv6. Reportez-vous à la section Activation de la surveillance DHCP (non-ELS). Si vous configurez la protection de source IPv6 sur des VLAN spécifiques plutôt que sur tous les VLAN, vous devez également activer explicitement la surveillance DHCPv6 sur ces VLAN. Dans le cas contraire, la valeur par défaut « pas de surveillance DHCPv6 » s’applique à ce VLAN.

  • Définissez le nombre maximal de sessions de protection de source IPv6 :

    Note:

    Après avoir défini ou modifié le nombre maximal de sessions IPv6 Source Guard et validé la configuration, vous devez redémarrer le commutateur pour que la configuration soit effective.

Pour configurer la protection de source IPv6 :

  • Sur un VLAN spécifique :

  • Sur tous les VLAN :

  • Sur une plage VLAN :

    1. Définissez la plage VLAN) :

    2. Associez une interface à une plage VLAN et définissez le mode de port pour accéder aux éléments suivants :

    3. Activez la protection de source IPv6 sur le VLAN :

Pour valider ces modifications dans la configuration active, tapez la commit commande à l’invite de l’utilisateur.

Désactivation d’IP Source Guard

Vous pouvez désactiver IP Source Guard pour un VLAN spécifique après avoir activé la fonctionnalité pour tous les VLAN, ou pour tous les VLAN.

  • Pour désactiver IP Source Guard sur un VLAN spécifique :

  • Pour désactiver IP Source Guard sur tous les VLAN :

Note:

Remplacez no-ip-source-guard par no-ipv6-source-guard pour désactiver la protection de source IPv6.