Configuration d’IP Source Guard (non ELS)
Vous pouvez utiliser la fonctionnalité de sécurité des ports d’accès IP source Guard sur les commutateurs EX Series pour atténuer les effets de l’usurpation d’adresse IP source et de l’usurpation d’adresse MAC source. Si IP Source Guard détermine qu’un hôte connecté à une interface d’accès a envoyé un paquet avec une adresse IP source ou une adresse MAC source non valide dans l’en-tête de paquet, il s’assure que le commutateur ne transfère pas le paquet, c’est-à-dire qu’il est jeté.
Vous activez la fonction IP source Guard sur les VLAN. Vous pouvez l’activer sur un VLAN spécifique, sur tous les VLAN ou sur une plage de VLAN.
IP source Guard s’applique uniquement aux interfaces d’accès et aux interfaces non fiables. Si vous activez IP source guard sur un VLAN comprenant des interfaces trunk ou une interface définie sur dhcp-trusted, l’interface de ligne de commande affiche une erreur lorsque vous tentez de valider la configuration.
Vous pouvez utiliser IP source Guard avec l’authentification utilisateur 802.1X en mode unique de demande d’accès, de demandeur sécurisé unique ou de demandeur multiple.
Lors de l’implémentation de l’authentification utilisateur 801.X en mode de demande d’accès unique sécurisé ou en mode plusieurs demandeurs, suivez les directives de configuration suivantes :
Si l’interface 802.1X fait partie d’un VLAN non marqué basé sur MAC et que vous souhaitez activer IP source Guard et la surveillance DHCP sur ce VLAN, vous devez activer IP source Guard et DHCP surveillance sur tous les VLAN dynamiques dans lesquels l’interface dispose d’un appartenance sans faille.
Si l’interface 802.1X fait partie d’un VLAN MAC balisé et que vous souhaitez activer IP source Guard et la surveillance DHCP sur ce VLAN, vous devez activer IP source Guard et DHCP surveillance sur tous les VLAN dynamiques dans lesquels l’interface a balisé l’appartenance.
Configuration de IP Source Guard
Avant de configurer IP source Guard, assurez-vous de disposer des éléments suivants :
Surveillance DHCP explicitement activée sur le VLAN spécifique ou les VLAN spécifiques sur lesquels vous allez configurer IP source Guard. Voir Activation de la surveillance DHCP (non ELS). Si vous configurez IP source guard sur des VLAN spécifiques plutôt que sur tous les VLAN, vous devez également activer la surveillance DHCP explicitement sur ces VLAN. Sinon, la valeur par défaut d’aucune surveillance DHCP s’applique à ce VLAN.
Pour configurer IP source Guard :
Sur un VLAN spécifique :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ip-source-guard
Sur tous les VLAN :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all ip-source-guard
Sur une gamme VLAN :
Définissez la plage de VLAN :
[edit vlans] user@switch# set vlan-name vlan-range vlan-id-low-vlan-id-high
Associez une interface à la gamme VLAN et définissez le mode de port pour accéder à :
[edit interfaces] user@switch# set interface-name unit 0 family ethernet-switching port-mode access vlan members vlan-name
Activez IP source Guard sur le VLAN :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ip-source-guard
Pour valider ces modifications dans la configuration active, saisissez la commit commande à l’invite de l’utilisateur.
Configuration d’IPv6 Source Guard
Avant de configurer IPv6 source Guard, assurez-vous de disposer des éléments suivants :
Surveillance DHCPv6 explicitement activée sur le VLAN spécifique ou les VLAN spécifiques sur lesquels vous allez configurer IPv6 source Guard. Voir Activation de la surveillance DHCP (non ELS). Si vous configurez IPv6 source Guard sur des VLAN spécifiques plutôt que sur tous les VLAN, vous devez également activer la surveillance DHCPv6 sur ces VLAN. Sinon, la valeur par défaut d’aucune surveillance DHCPv6 s’applique à ce VLAN.
Définissez le nombre maximum de sessions de garde source IPv6 :
[edit ethernet-switching-options secure-access-port] user@switch# set ipv6-source-guard-sessions max-number maximum-number
Note:Après avoir paramétré ou changé le nombre maximum de sessions de garde source IPv6 et engagé la configuration, vous devez redémarrer le commutateur pour que la configuration prenne effet.
Pour configurer IPv6 source Guard :
Sur un VLAN spécifique :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ipv6-source-guard
Sur tous les VLAN :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all ipv6-source-guard
Sur une gamme VLAN :
Définir la plage de VLAN) :
[edit vlans] user@switch# set vlan-name vlan-range vlan-id-low-vlan-id-high
Associez une interface à une plage de VLAN et définissez le mode de port pour accéder à :
[edit interfaces] user@switch# set interface-name unit 0 family ethernet-switching port-mode access vlan members vlan-name
Activez IPv6 source Guard sur le VLAN :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ipv6-source-guard
Pour valider ces modifications dans la configuration active, saisissez la commit commande à l’invite de l’utilisateur.
Désactiver IP Source Guard
Vous pouvez désactiver IP source guard pour un VLAN spécifique une fois que vous avez activé la fonctionnalité pour tous les VLAN, ou pour tous les VLAN.
Pour désactiver IP source guard sur un VLAN spécifique :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name no-ip-source-guard
Pour désactiver IP source guard sur tous les VLAN :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all no-ipv6-source-guard
Remplacez par no-ip-source-guard no-ipv6-source-guard pour désactiver IPv6 source Guard.