Configuración de protección de origen IP (no ELS)
Puede usar la función de seguridad del puerto de acceso de protección ip de origen en conmutadores de la serie EX para mitigar los efectos de la suplantación de dirección IP de origen y la suplantación de dirección MAC de origen. Si la protección de origen IP determina que un host conectado a una interfaz de acceso ha enviado un paquete con una dirección IP de origen no válida o una dirección MAC de origen en el encabezado del paquete, se asegura de que el conmutador no reenvíe el paquete, es decir, se descarta el paquete.
Habilite la función de protección de origen IP en las VLAN. Puede habilitarlo en una VLAN específica, en todas las VLAN o en un rango de VLAN.
La protección de origen IP se aplica solo a interfaces de acceso y solo a interfaces que no son de confianza. Si habilita la protección de origen IP en una VLAN que incluye interfaces de troncalización o una interfaz establecida en dhcp-trusted, la CLI muestra un error cuando intenta confirmar la configuración.
Puede usar la protección de origen IP junto con la autenticación de usuario 802.1X en modo de suplicante único, suplicante único seguro o suplicante múltiple.
Al implementar la autenticación de usuario 801.X en modo de suplicante único seguro o de suplicante múltiple, utilice las siguientes pautas de configuración:
Si la interfaz 802.1X forma parte de una VLAN basada en MAC sin etiquetar y desea habilitar la protección de origen IP y la vigilancia de DHCP en esa VLAN, debe habilitar la protección de origen IP y el esnooping DHCP en todas las VLAN dinámicas en las que la interfaz tiene una pertenencia sin etiqueta.
Si la interfaz 802.1X forma parte de una VLAN basada en MAC etiquetada y desea habilitar la protección de origen IP y la vigilancia de DHCP en esa VLAN, debe habilitar la protección de origen IP y la vigilancia de DHCP en todas las VLAN dinámicas en las que la interfaz tiene pertenencia etiquetada.
Configuración de protección de origen IP
Antes de configurar la protección de origen IP, asegúrese de que dispone de lo siguiente:
Habilitó explícitamente la vigilancia de DHCP en la VLAN específica o VLAN específicas en las que configurará la protección de origen IP. Consulte Habilitación de la optimización de DHCP (no ELS). Si configura la protección de origen IP en VLAN específicas en lugar de en todas las VLAN, también debe habilitar la protección de origen de DHCP explícitamente en esas VLAN. De lo contrario, el valor predeterminado de ninguna aplicación DHCP se aplica a esa VLAN.
Para configurar la protección de origen IP:
En una VLAN específica:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ip-source-guard
En todas las VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all ip-source-guard
En un rango de VLAN:
Establezca el rango de VLAN:
[edit vlans] user@switch# set vlan-name vlan-range vlan-id-low-vlan-id-high
Asocie una interfaz con el rango de VLAN y establezca el modo de puerto para acceder:
[edit interfaces] user@switch# set interface-name unit 0 family ethernet-switching port-mode access vlan members vlan-name
Habilite la protección de origen IP en la VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ip-source-guard
Para confirmar estos cambios en la configuración activa, escriba el commit comando en el símbolo del usuario.
Configuración de la guardia de origen de IPv6
Antes de configurar la protección de origen de IPv6, asegúrese de que dispone de lo siguiente:
Habilite explícitamente el monitoreo de DHCPv6 en la VLAN o VLAN específicas en las que configurará la protección de origen IPv6. Consulte Habilitación de la optimización de DHCP (no ELS). Si configura la protección de origen IPv6 en VLAN específicas en lugar de en todas las VLAN, también debe habilitar la expansión de DHCPv6 en esas VLAN. De lo contrario, el valor predeterminado de ninguna solución DHCPv6 se aplica a esa VLAN.
Establezca la cantidad máxima de sesiones de guardia de origen IPv6:
[edit ethernet-switching-options secure-access-port] user@switch# set ipv6-source-guard-sessions max-number maximum-number
Nota:Después de configurar o cambiar la cantidad máxima de sesiones de protección de origen IPv6 y confirmar la configuración, debe reiniciar el conmutador para que la configuración tenga efecto.
Para configurar la protección de origen de IPv6:
En una VLAN específica:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ipv6-source-guard
En todas las VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all ipv6-source-guard
En un rango de VLAN:
Establezca el rango de VLAN):
[edit vlans] user@switch# set vlan-name vlan-range vlan-id-low-vlan-id-high
Asocie una interfaz con un rango de VLAN y establezca el modo de puerto para acceder:
[edit interfaces] user@switch# set interface-name unit 0 family ethernet-switching port-mode access vlan members vlan-name
Habilite la protección de origen IPv6 en la VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ipv6-source-guard
Para confirmar estos cambios en la configuración activa, escriba el commit comando en el símbolo del usuario.
Deshabilitar protección de origen IP
Puede deshabilitar la protección de origen IP para una VLAN específica después de habilitar la función para todas las VLAN o para todas las VLAN.
Para deshabilitar la protección de origen IP en una VLAN específica:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name no-ip-source-guard
Para deshabilitar la protección de origen IP en todas las VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all no-ipv6-source-guard
Reemplace con no-ip-source-guard no-ipv6-source-guard para deshabilitar la protección de origen IPv6.