Filterung - Cisco SG300-10 Administratorhandbuch

Sicherheit
IP Source Guard
Interaktionen mit anderen Funktionen
Die folgenden Punkte sind für IP Source Guard relevant:
• DHCP-Snooping muss global aktiviert sein, damit IP Source Guard für eine Schnittstelle aktiviert
werden kann.
• IP Source Guard kann nur in folgenden Fällen an einer Schnittstelle aktiv sein:
- DHCP-Snooping ist in mindestens einem der VLANs des Ports aktiviert.
- Die Schnittstelle ist für DHCP nicht vertrauenswürdig. Alle Pakete an vertrauenswürdigen Ports
werden weitergeleitet.
• Wenn ein Port für DHCP vertrauenswürdig ist, können Sie die Filterung statischer IP-Adressen
konfigurieren, obwohl IP Source Guard in diesem Fall nicht aktiv ist. Dazu aktivieren Sie IP Source
Guard an dem Port.
• Wenn der Status des Ports von „Für DHCP nicht vertrauenswürdig" zu „Für DHCP vertrauenswürdig"
wechselt, bleiben die Einträge für die Filterung statischer IP-Adressen als inaktive Einträge in der
Bindungsdatenbank.
• Portsicherheit kann nicht aktiviert werden, wenn Quell-IP-Filterung und MAC-Adressfilterung an
einem Port konfiguriert sind.
• IP Source Guard verwendet TCAM-Ressourcen und erfordert eine einzige TCAM-Regel pro IP
Source Guard-Adresseintrag. Wenn die Anzahl der IP Source Guard-Einträge die Anzahl der
verfügbaren TCAM-Regeln überschreitet, sind die überzähligen Adressen inaktiv.

Filterung

Wenn IP Source Guard für einen Port aktiviert ist, gilt Folgendes:
• Aufgrund von DHCP-Snooping zulässige DHCP-Pakete werden zugelassen.
• Wenn die Filterung von Quell-IP-Adressen aktiviert ist, gilt Folgendes:
- IPv4-Verkehr: Nur Verkehr mit einer dem Port zugeordneten Quell-IP-Adresse ist zulässig.
- Nicht-IPv4-Verkehr: Zulässig (einschließlich ARP-Paketen).
Administratorhandbuch für Managed Switches der Serie 300 von Cisco Small Business
19
367