Configuration d’IP Source Guard (non-ELS)
Vous pouvez utiliser la fonction de sécurité du port d’accès IP Source Guard sur les commutateurs EX Series pour atténuer les effets de l’usurpation d’adresse IP source et d’usurpation d’adresse MAC source. Si IP Source Guard détermine qu’un hôte connecté à une interface d’accès a envoyé un paquet avec une adresse IP source ou une adresse MAC source non valide dans l’en-tête du paquet, il s’assure que le commutateur ne transfère pas le paquet, c’est-à-dire que le paquet est rejeté.
Vous activez la fonctionnalité IP Source Guard sur les VLAN. Vous pouvez l’activer sur un VLAN spécifique, sur tous les VLAN ou sur une plage de VLAN.
IP Source Guard s’applique uniquement aux interfaces d’accès et uniquement aux interfaces non approuvées. Si vous activez IP Source Guard sur un VLAN qui inclut des interfaces trunk ou une interface définie sur dhcp-trusted, l’interface de ligne de commande affiche une erreur lorsque vous essayez de valider la configuration.
Vous pouvez utiliser IP Source Guard avec l’authentification utilisateur 802.1X en mode demandeur unique, demandeur sécurisé unique ou suppliant multiple.
Lors de l’implémentation de l’authentification utilisateur 801.X en mode de demande sécurisée unique ou multiple, suivez les instructions de configuration suivantes :
Si l’interface 802.1X fait partie d’un VLAN MAC non balisé et que vous souhaitez activer IP Source Guard et la surveillance DHCP sur ce VLAN, vous devez activer IP Source Guard et DHCP snooping sur tous les VLAN dynamiques auxquels l’interface appartient sans balise.
Si l’interface 802.1X fait partie d’un VLAN MAC balisé et que vous souhaitez activer IP Source Guard et la surveillance DHCP sur ce VLAN, vous devez activer IP Source Guard et la surveillance DHCP sur tous les VLAN dynamiques dans lesquels l’interface a marqué l’appartenance.
Configuration d’IP Source Guard
Avant de configurer IP Source Guard, assurez-vous que vous disposez des éléments suivants :
Activation explicite de la surveillance DHCP sur le ou les VLAN spécifiques sur lesquels vous allez configurer IP Source Guard. Reportez-vous à la section Activation de la surveillance DHCP (non-ELS). Si vous configurez IP Source Guard sur des VLAN spécifiques plutôt que sur tous les VLAN, vous devez également activer explicitement la surveillance DHCP sur ces VLAN. Dans le cas contraire, la valeur par défaut « Aucune surveillance DHCP » s’applique à ce VLAN.
Pour configurer IP Source Guard :
Sur un VLAN spécifique :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ip-source-guard
Sur tous les VLAN :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all ip-source-guard
Sur une plage VLAN :
Définissez la plage VLAN :
[edit vlans] user@switch# set vlan-name vlan-range vlan-id-low-vlan-id-high
Associez une interface à la plage VLAN et définissez le mode de port pour accéder aux éléments suivants :
[edit interfaces] user@switch# set interface-name unit 0 family ethernet-switching port-mode access vlan members vlan-name
Activer IP Source Guard sur le VLAN :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ip-source-guard
Pour valider ces modifications dans la configuration active, tapez la commit commande à l’invite de l’utilisateur.
Configuration d’IPv6 Source Guard
Avant de configurer la protection de source IPv6, assurez-vous que vous disposez des éléments suivants :
Activation explicite de l’écoute DHCPv6 sur le ou les VLAN spécifiques sur lesquels vous allez configurer la protection de source IPv6. Reportez-vous à la section Activation de la surveillance DHCP (non-ELS). Si vous configurez la protection de source IPv6 sur des VLAN spécifiques plutôt que sur tous les VLAN, vous devez également activer explicitement la surveillance DHCPv6 sur ces VLAN. Dans le cas contraire, la valeur par défaut « pas de surveillance DHCPv6 » s’applique à ce VLAN.
Définissez le nombre maximal de sessions de protection de source IPv6 :
[edit ethernet-switching-options secure-access-port] user@switch# set ipv6-source-guard-sessions max-number maximum-number
Note:Après avoir défini ou modifié le nombre maximal de sessions IPv6 Source Guard et validé la configuration, vous devez redémarrer le commutateur pour que la configuration soit effective.
Pour configurer la protection de source IPv6 :
Sur un VLAN spécifique :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ipv6-source-guard
Sur tous les VLAN :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all ipv6-source-guard
Sur une plage VLAN :
Définissez la plage VLAN) :
[edit vlans] user@switch# set vlan-name vlan-range vlan-id-low-vlan-id-high
Associez une interface à une plage VLAN et définissez le mode de port pour accéder aux éléments suivants :
[edit interfaces] user@switch# set interface-name unit 0 family ethernet-switching port-mode access vlan members vlan-name
Activez la protection de source IPv6 sur le VLAN :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ipv6-source-guard
Pour valider ces modifications dans la configuration active, tapez la commit commande à l’invite de l’utilisateur.
Désactivation d’IP Source Guard
Vous pouvez désactiver IP Source Guard pour un VLAN spécifique après avoir activé la fonctionnalité pour tous les VLAN, ou pour tous les VLAN.
Pour désactiver IP Source Guard sur un VLAN spécifique :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name no-ip-source-guard
Pour désactiver IP Source Guard sur tous les VLAN :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all no-ipv6-source-guard
Remplacez no-ip-source-guard par no-ipv6-source-guard pour désactiver la protection de source IPv6.