IP Source Guard(ELS) 구성
이 작업에서는 ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하는 Junos OS를 사용합니다. 스위칭 디바이스가 ELS를 지원하지 않는 소프트웨어를 실행하는 경우 IP Source Guard(비 ELS) 구성을 참조하십시오. ELS에 대한 자세한 내용은 Enhanced Layer 2 Software CLI 사용을 참조하십시오.
EX9200 스위치의 경우 MC-LAG 시나리오에서 IP 소스 가드가 지원되지 않습니다.
IP 소스 가드 액세스 포트 보안 기능을 사용하여 소스 IP 주소 스푸핑 및 소스 MAC 주소 스푸핑의 영향을 완화할 수 있습니다. IP 소스 가드가 액세스 인터페이스에 연결된 호스트가 패킷 헤더에 잘못된 소스 IP 주소 또는 소스 MAC 주소가 포함된 패킷을 전송했다고 판단하면 IP 소스 가드는 스위치가 패킷을 전달하지 않도록, 즉 패킷이 삭제되도록 합니다.
특정 VLAN에서 IP 소스 가드 기능을 구성합니다. VLAN에서 IP 소스 가드를 구성하면 스위치가 해당 VLAN에서 DHCP 스누핑을 자동으로 사용하도록 설정합니다.
IPv6 소스 가드는 DHCPv6 스누핑을 지원하는 스위치에서 지원됩니다. 이러한 스위치에서 VLAN에 IP 소스 가드 또는 IPv6 소스 가드를 구성하면 해당 VLAN에서 DHCP 스누핑 및 DHCPv6 스누핑이 자동으로 활성화됩니다.
VLAN에서 IP 소스 가드 또는 IPv6 소스 가드를 구성하려면 먼저 VLAN을 구성해야 합니다. 스위치에 대한 기본 브리징 및 VLAN 설정을 설명하는 문서를 참조하십시오.
IP 소스 가드 및 IPv6 소스 가드는 신뢰할 수 없는 인터페이스에만 적용할 수 있습니다. 액세스 인터페이스는 기본적으로 신뢰할 수 없습니다.
IP 소스 가드 및 IPv6 소스 가드는 단일 신청자, 단일 보안 신청자 또는 다중 신청자 모드에서 802.1X 사용자 인증과 함께 사용할 수 있습니다.
CLI를 사용하여 특정 VLAN에서 IP source guard를 구성하려면 다음을 수행합니다.
[edit vlans vlan-name forwarding-options dhcp-security] user@switch# set ip-source-guard
CLI를 사용하여 특정 VLAN에서 IPv6 source guard를 구성하려면 다음을 수행합니다.
[edit vlans vlan-name forwarding-options dhcp-security] user@switch# set ipv6-source-guard