Configuración de IP Source Guard (no ELS)
Puede usar la función de seguridad del puerto de acceso de protección de origen IP en los conmutadores de la serie EX para mitigar los efectos de la suplantación de direcciones IP de origen y la suplantación de direcciones MAC de origen. Si la protección de origen IP determina que un host conectado a una interfaz de acceso ha enviado un paquete con una dirección IP o dirección MAC de origen no válidas en el encabezado del paquete, se asegura de que el conmutador no reenvíe el paquete, es decir, que el paquete se descarte.
La función de protección de origen IP se habilita en las VLAN. Puede habilitarlo en una VLAN específica, en todas las VLAN o en un rango de VLAN.
La protección de origen IP solo se aplica a las interfaces de acceso y solo a las interfaces que no son de confianza. Si habilita la protección de origen IP en una VLAN que incluye interfaces troncales o una interfaz establecida en dhcp-trusted, la CLI muestra un error cuando intenta confirmar la configuración.
Puede utilizar la protección de origen IP junto con la autenticación de usuario 802.1X en modo de suplicante único, suplicante seguro único o suplicante múltiple.
Al implementar la autenticación de usuario 801.X en modo suplicante seguro único o suplicante múltiple, use las siguientes instrucciones de configuración:
Si la interfaz 802.1X forma parte de una VLAN basada en MAC sin etiquetar y desea habilitar la protección de origen IP y el espionaje DHCP en esa VLAN, debe habilitar la protección de origen IP y la supervisión DHCP en todas las VLAN dinámicas en las que la interfaz tenga pertenencia sin etiquetar.
Si la interfaz 802.1X forma parte de una VLAN basada en MAC etiquetada y desea habilitar la protección de origen IP y el espionaje DHCP en esa VLAN, debe habilitar la protección de origen IP y la supervisión DHCP en todas las VLAN dinámicas en las que la interfaz haya etiquetado la pertenencia.
Configuración de IP Source Guard
Antes de configurar la protección de origen IP, asegúrese de que dispone de:
Se habilitó explícitamente el espionaje DHCP en la VLAN específica o VLAN específica en la que configurará IP source guard. Consulte Habilitación de la supervisión de DHCP (no ELS). Si configura la protección de origen IP en VLAN específicas en lugar de en todas, también debe habilitar el espionaje DHCP explícitamente en esas VLAN. De lo contrario, el valor predeterminado de No snooping DHCP se aplica a esa VLAN.
Para configurar la protección de origen IP:
En una VLAN específica:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ip-source-guard
En todas las VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all ip-source-guard
En un rango de VLAN:
Establezca el rango de VLAN:
[edit vlans] user@switch# set vlan-name vlan-range vlan-id-low-vlan-id-high
Asocie una interfaz con el rango de VLAN y establezca el modo de puerto para acceder:
[edit interfaces] user@switch# set interface-name unit 0 family ethernet-switching port-mode access vlan members vlan-name
Habilite la protección de origen IP en la VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ip-source-guard
Para confirmar estos cambios en la configuración activa, escriba el commit comando en el símbolo del usuario.
Configuración de IPv6 Source Guard
Antes de configurar la protección de origen IPv6, asegúrese de que dispone de:
Se habilitó explícitamente el espionaje DHCPv6 en la VLAN específica o VLAN específica en la que configurará la protección de origen IPv6. Consulte Habilitación de la supervisión de DHCP (no ELS). Si configura la protección de origen IPv6 en VLAN específicas en lugar de en todas las VLAN, también debe habilitar el espionaje DHCPv6 explícitamente en esas VLAN. De lo contrario, el valor predeterminado de no espionaje DHCPv6 se aplica a esa VLAN.
Establezca el número máximo de sesiones de protección de origen IPv6:
[edit ethernet-switching-options secure-access-port] user@switch# set ipv6-source-guard-sessions max-number maximum-number
Nota:Después de establecer o cambiar el número máximo de sesiones de protección de origen IPv6 y confirmar la configuración, debe reiniciar el conmutador para que la configuración surta efecto.
Para configurar la protección de origen IPv6:
En una VLAN específica:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ipv6-source-guard
En todas las VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all ipv6-source-guard
En un rango de VLAN:
Establezca el rango de VLAN):
[edit vlans] user@switch# set vlan-name vlan-range vlan-id-low-vlan-id-high
Asocie una interfaz con un rango VLAN y establezca el modo de puerto para acceder:
[edit interfaces] user@switch# set interface-name unit 0 family ethernet-switching port-mode access vlan members vlan-name
Habilite la protección de origen IPv6 en la VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ipv6-source-guard
Para confirmar estos cambios en la configuración activa, escriba el commit comando en el símbolo del usuario.
Deshabilitar IP Source Guard
Puede deshabilitar la protección de origen IP para una VLAN específica después de haber habilitado la función para todas las VLAN o para todas las VLAN.
Para deshabilitar la protección de origen IP en una VLAN específica:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name no-ip-source-guard
Para deshabilitar la protección de origen IP en todas las VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all no-ipv6-source-guard
Reemplazar no-ip-source-guard por no-ipv6-source-guard para deshabilitar la protección de origen IPv6.