Sicherheit
IP Source Guard
•
Wenn ein Port für DHCP vertrauenswürdig ist, können Sie die Filterung statischer IP-Adressen
konfigurieren, obwohl IP Source Guard in diesem Fall nicht aktiv ist. Dazu aktivieren Sie IP Source
Guard an dem Port.
•
Wenn der Status des Ports von „Für DHCP nicht vertrauenswürdig" zu „Für DHCP vertrauenswürdig"
wechselt, bleiben die Einträge für die Filterung statischer IP-Adressen als inaktive Einträge in der
Bindungsdatenbank.
•
Portsicherheit kann nicht aktiviert werden, wenn Quell-IP-Filterung und MAC-Adressfilterung an
einem Port konfiguriert sind.
•
IP Source Guard verwendet TCAM-Ressourcen und erfordert eine einzige TCAM-Regel pro IP
Source Guard-Adresseintrag. Wenn die Anzahl der IP Source Guard-Einträge die Anzahl der
verfügbaren TCAM-Regeln überschreitet, sind die überzähligen Adressen inaktiv.
Filterung
Wenn IP Source Guard für einen Port aktiviert ist, gilt Folgendes:
•
Aufgrund von DHCP-Snooping zulässige DHCP-Pakete werden zugelassen.
•
Wenn die Filterung von Quell-IP-Adressen aktiviert ist, gilt Folgendes:
-
IPv4-Verkehr: Nur Verkehr mit einer dem Port zugeordneten Quell-IP-Adresse ist zulässig.
-
Nicht-IPv4-Verkehr: Zulässig (einschließlich ARP-Paketen).
Konfigurieren des IP Source Guard-Workflows
So konfigurieren Sie IP Source Guard:
SCHRITT 1
SCHRITT 2
SCHRITT 3
SCHRITT 4
SCHRITT 5
SCHRITT 6
Administratorhandbuch für Stackable Managed Switches der Serie 500 von Cisco Small Business
Aktivieren Sie DHCP-Snooping auf der Seite „IP-Konfiguration > DHCP >
Eigenschaften" oder auf der Seite „Sicherheit > DHCP-Snooping > Eigenschaften".
Definieren Sie auf der Seite „IP-Konfiguration > DHCP >
Schnittstelleneinstellungen" die VLANs, in denen DHCP-Snooping aktiviert ist.
Konfigurieren Sie auf der Seite „IP-Konfiguration > DHCP > DHCP-Snooping-
Schnittstelle" Schnittstellen als vertrauenswürdig oder nicht vertrauenswürdig.
Aktivieren Sie IP Source Guard auf der Seite „Sicherheit > IP Source Guard >
Eigenschaften".
Aktivieren Sie auf der Seite „Sicherheit > IP Source Guard >
Schnittstelleneinstellungen" IP Source Guard nach Bedarf für die nicht
vertrauenswürdigen Schnittstellen.
Auf der Seite „Sicherheit > IP Source Guard > Bindungsdatenbank" können Sie
Einträge in der Bindungsdatenbank anzeigen.
22
443