Sicherheit
IP Source Guard
Interaktionen mit anderen Funktionen
Die folgenden Punkte sind für IP Source Guard relevant:
•
DHCP-Snooping muss global aktiviert sein, damit IP Source Guard für eine Schnittstelle aktiviert
werden kann.
•
IP Source Guard kann nur in folgenden Fällen an einer Schnittstelle aktiv sein:
-
DHCP-Snooping ist in mindestens einem der VLANs des Ports aktiviert.
-
Die Schnittstelle ist für DHCP nicht vertrauenswürdig. Alle Pakete an vertrauenswürdigen Ports
werden weitergeleitet.
•
Wenn ein Port für DHCP vertrauenswürdig ist, können Sie die Filterung statischer IP-Adressen
konfigurieren, obwohl IP Source Guard in diesem Fall nicht aktiv ist. Dazu aktivieren Sie IP Source
Guard an dem Port.
•
Wenn der Status des Ports von „Für DHCP nicht vertrauenswürdig" zu „Für DHCP vertrauenswürdig"
wechselt, bleiben die Einträge für die Filterung statischer IP-Adressen als inaktive Einträge in der
Bindungsdatenbank.
•
Portsicherheit kann nicht aktiviert werden, wenn Quell-IP-Filterung und MAC-Adressfilterung an
einem Port konfiguriert sind.
•
IP Source Guard verwendet TCAM-Ressourcen und erfordert eine einzige TCAM-Regel pro IP
Source Guard-Adresseintrag. Wenn die Anzahl der IP Source Guard-Einträge die Anzahl der
verfügbaren TCAM-Regeln überschreitet, sind die überzähligen Adressen inaktiv.
Filterung
Wenn IP Source Guard für einen Port aktiviert ist, gilt Folgendes:
•
Aufgrund von DHCP-Snooping zulässige DHCP-Pakete werden zugelassen.
•
Wenn die Filterung von Quell-IP-Adressen aktiviert ist, gilt Folgendes:
-
IPv4-Verkehr: Nur Verkehr mit einer dem Port zugeordneten Quell-IP-Adresse ist zulässig.
-
Nicht-IPv4-Verkehr: Zulässig (einschließlich ARP-Paketen).
Administratorhandbuch für Managed Switches der Serie 300 von Cisco Small Business
19
367