IP Source Guard 구성(비 ELS)
EX 시리즈 스위치에서 IP 소스 가드 액세스 포트 보안 기능을 사용하여 소스 IP 주소 스푸핑 및 소스 MAC 주소 스푸핑의 영향을 완화할 수 있습니다. IP 소스 가드는 액세스 인터페이스에 연결된 호스트가 패킷 헤더에 잘못된 소스 IP 주소 또는 소스 MAC 주소가 있는 패킷을 전송했다고 판단하면 스위치가 패킷을 전달하지 않도록 합니다. 즉, 패킷이 삭제됩니다.
VLAN에서 IP 소스 가드 기능을 사용하도록 설정합니다. 특정 VLAN, 모든 VLAN 또는 VLAN 범위에서 활성화할 수 있습니다.
IP 소스 가드는 액세스 인터페이스와 신뢰할 수 없는 인터페이스에만 적용됩니다. 트렁크 인터페이스 또는 dhcp-trusted로 설정된 인터페이스를 포함하는 VLAN에서 IP source guard를 활성화하면 구성을 커밋하려고 할 때 CLI에 오류가 표시됩니다.
단일 요청자, 단일 보안 요청자 또는 다중 요청자 모드에서 802.1X 사용자 인증과 함께 IP 소스 가드를 사용할 수 있습니다.
단일 보안 신청자 또는 다중 신청자 모드에서 801.X 사용자 인증을 구현하는 동안 다음 구성 지침을 사용하십시오.
802.1X 인터페이스가 태그가 지정되지 않은 MAC 기반 VLAN의 일부이고 해당 VLAN에서 IP 소스 가드 및 DHCP 스누핑을 활성화하려면 인터페이스에 태그가 지정되지 않은 멤버십이 있는 모든 동적 VLAN에서 IP 소스 가드 및 DHCP 스누핑을 활성화해야 합니다.
802.1X 인터페이스가 태그가 지정된 MAC 기반 VLAN의 일부이고 해당 VLAN에서 IP 소스 가드 및 DHCP 스누핑을 활성화하려면 인터페이스에 태그 멤버십이 있는 모든 동적 VLAN에서 IP 소스 가드 및 DHCP 스누핑을 활성화해야 합니다.
IP Source Guard 구성
IP Source Guard를 구성하기 전에 다음이 있는지 확인합니다.
IP 소스 가드를 구성할 특정 VLAN 또는 특정 VLAN에서 DHCP 스누핑을 명시적으로 활성화했습니다. DHCP 스누핑 활성화(비 ELS)를 참조하십시오. 모든 VLAN이 아닌 특정 VLAN에서 IP 소스 가드를 구성하는 경우 해당 VLAN에서 DHCP 스누핑을 명시적으로 활성화해야 합니다. 그렇지 않으면 DHCP 스누핑 없음의 기본값이 해당 VLAN에 적용됩니다.
IP Source Guard를 구성하려면 다음을 수행합니다.
특정 VLAN에서:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ip-source-guard
모든 VLAN에서 다음을 수행합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all ip-source-guard
VLAN 범위에서:
VLAN 범위를 설정합니다.
[edit vlans] user@switch# set vlan-name vlan-range vlan-id-low-vlan-id-high
인터페이스를 VLAN 범위와 연결하고 포트 모드를 액세스하도록 설정합니다.
[edit interfaces] user@switch# set interface-name unit 0 family ethernet-switching port-mode access vlan members vlan-name
VLAN에서 IP 소스 가드를 활성화합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ip-source-guard
이러한 변경 사항을 활성 구성에 커밋하려면 사용자 프롬프트에서 명령을 입력합니다 commit .
IPv6 Source Guard 구성
IPv6 source guard를 구성하기 전에 다음을 확인하십시오.
IPv6 소스 가드를 구성할 특정 VLAN 또는 특정 VLAN에서 DHCPv6 스누핑을 명시적으로 활성화했습니다. DHCP 스누핑 활성화(비 ELS)를 참조하십시오. 모든 VLAN이 아닌 특정 VLAN에서 IPv6 소스 가드를 구성하는 경우 해당 VLAN에서 DHCPv6 스누핑을 명시적으로 활성화해야 합니다. 그렇지 않으면 DHCPv6 스누핑 없음의 기본값이 해당 VLAN에 적용됩니다.
IPv6 소스 가드 세션의 최대 수를 설정합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set ipv6-source-guard-sessions max-number maximum-number
메모:IPv6 소스 가드 세션의 최대 수를 설정 또는 변경하고 구성을 커밋한 후, 구성을 적용하려면 스위치를 재부팅해야 합니다.
IPv6 source guard를 구성하려면 다음을 수행합니다.
특정 VLAN에서:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ipv6-source-guard
모든 VLAN에서 다음을 수행합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all ipv6-source-guard
VLAN 범위에서:
VLAN 범위 설정):
[edit vlans] user@switch# set vlan-name vlan-range vlan-id-low-vlan-id-high
인터페이스를 VLAN 범위와 연결하고 포트 모드를 액세스하도록 설정합니다.
[edit interfaces] user@switch# set interface-name unit 0 family ethernet-switching port-mode access vlan members vlan-name
VLAN에서 IPv6 소스 가드를 활성화합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ipv6-source-guard
이러한 변경 사항을 활성 구성에 커밋하려면 사용자 프롬프트에서 명령을 입력합니다 commit .
IP Source Guard 사용 안 함
모든 VLAN 또는 모든 VLAN에 대해 이 기능을 활성화한 후 특정 VLAN에 대해 IP 소스 가드를 비활성화할 수 있습니다.
특정 VLAN에서 IP 소스 가드를 비활성화하려면 다음을 수행합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name no-ip-source-guard
모든 VLAN에서 IP 소스 가드를 비활성화하려면 다음을 수행합니다.
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all no-ipv6-source-guard
IPv6 source guard를 사용하지 않도록 설정하려면 을 으로 no-ipv6-source-guard 대체 no-ip-source-guard 합니다.