Cisco 300 Serie Administratorhandbuch Seite 354

Konfigurieren der Sicherheitsfunktionen
SCHRITT 1
SCHRITT 2
Administratorhandbuch für Managed Switches der Serie 300 von Cisco Small Business
• IP Source Guard kann nur in folgenden Fällen an einer Schnittstelle aktiv
sein:
- DHCP-Snooping ist in mindestens einem der VLANs des Ports aktiviert.
- Die Schnittstelle ist für DHCP nicht vertrauenswürdig. Alle Pakete an
vertrauenswürdigen Ports werden weitergeleitet.
• Wenn ein Port für DHCP vertrauenswürdig ist, können Sie die Filterung
statischer IP-Adressen konfigurieren, obwohl IP Source Guard in diesem
Fall nicht aktiv ist. Dazu aktivieren Sie IP Source Guard an dem Port.
• Wenn der Status des Ports von für DHCP nicht vertrauenswürdig zu für
DHCP vertrauenswürdig wechselt, bleiben die Einträge für die Filterung
statischer IP-Adressen als inaktive Einträge in der Bindungsdatenbank.
• Portsicherheit kan nicht aktiviert werden, wenn Quell-IP-Filterung und MAC-
Adressfilterung an einem Port konfiguriert sind.
• IP Source Guard verwendet TCAM-Ressourcen und erfordert eine einzige
TCAM-Regel pro IP Source Guard-Adresseintrag. Wenn die Anzahl der IP
Source Guard-Einträge die Anzahl der verfügbaren TCAM-Regeln
überschreitet, sind die überzähligen Adressen inaktiv.
Filterung
Wenn IP Source Guard für einen Port aktiviert ist, gilt Folgendes:
• Aufgrund von DHCP-Snooping zulässige DHCP-Pakete werden zugelassen.
• Wenn die Filterung von Quell-IP-Adressen aktiviert ist, gilt Folgendes:
- IPv4-Verkehr: Nur Verkehr mit einer dem Port zugeordneten Quell-IP-
Adresse ist zulässig.
- Nicht-IPv4-Verkehr: Zulässig (einschließlich ARP-Paketen).
Konfigurieren des IP Source Guard-Workflows
So konfigurieren Sie IP Source Guard:
Aktivieren Sie DHCP-Snooping auf der Seite IP-Konfiguration > DHCP >
Eigenschaften oder Sicherheit > DHCP-Snooping > Eigenschaften.
Definieren Sie auf der Seite IP-Konfiguration > DHCP >
Schnittstelleneinstellungen die VLANs, in denen DHCP-Snooping aktiviert ist.
17
345