Konfiguration der IP Source Guard Binding Database auf Stackable Switches der Serie Sx500

Download-Optionen

  • PDF     (431.8 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (398.9 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (293.6 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:11. Dezember 2018
Dokument-ID:SMB3097

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Konfiguration der IP Source Guard Binding Database auf Stackable Switches der Serie Sx500

Ziel

IP Source Guard ist eine Sicherheitsfunktion, mit der Datenverkehrsangriffe verhindert werden können, die entstehen, wenn ein Host versucht, die IP-Adresse eines benachbarten Hosts zu verwenden. Wenn IP Source Guard aktiviert ist, überträgt der Switch nur den Client-IP-Datenverkehr an IP-Adressen, die in der DHCP Snooping Binding-Datenbank enthalten sind. Wenn das Paket, das ein Host sendet, mit einem Eintrag in der Datenbank übereinstimmt, leitet der Switch das Paket weiter. Wenn das Paket nicht mit einem Eintrag in der Datenbank übereinstimmt, wird es verworfen.

In einem Echtzeit-Szenario kann IP Source Guard beispielsweise eingesetzt werden, um Man-in-the-Middle-Angriffe zu verhindern, bei denen ein nicht vertrauenswürdiger Dritter versucht, sich als legitimer Benutzer zu tarnen. Basierend auf den in der IP Source Guard-Bindungsdatenbank konfigurierten Adressen ist nur der Datenverkehr vom Client mit dieser IP-Adresse zulässig, und die restlichen Pakete werden verworfen.

Hinweis: DHCP-Snooping sollte aktiviert sein, damit IP Source Guard funktioniert. Weitere Informationen zur Aktivierung von DHCP Snooping finden Sie im Artikel DHCP Snooping Binding Database Configuration auf Stackable Switches der Serie Sx500. Außerdem muss die Bindungsdatenbank so konfiguriert werden, dass angegeben wird, welche IP-Adressen zulässig sind. 

In diesem Artikel wird erläutert, wie Sie Bindungsdatenbank für IP Source Guard auf Stackable Switches der Serie Sx500 konfigurieren.

Anwendbare Geräte

· Stackable Switches der Serie Sx500

Softwareversion

· v1.2.7.76

Konfiguration der IP Source Guard Binding Database

Bindungsdatenbank

Schritt 1: Melden Sie sich beim Webkonfigurationsprogramm an, und wählen Sie Security > IP Source Guard > Binding Database aus. Die Seite Bindungsdatenbank wird geöffnet:

Schritt 2:  Klicken Sie in den folgenden Optionen im Feld Inaktiv einfügen auf den entsprechenden Eintrag, um festzulegen, wie oft der Switch inaktive Einträge aktivieren soll. Die DHCP Snooping Binding Database verwendet den Ternary Content Addressable Memory (TCAM), um die Datenbank zu verwalten.

· Häufigkeit erneut eingeben - Gibt die Häufigkeit an, mit der die TCAM-Ressourcen überprüft werden. Der Standardwert ist 60.

· Nie - Versuchen Sie nie, die inaktiven Adressen zu aktivieren.

Schritt 3: Klicken Sie auf Apply, um die aktuelle Konfigurationsdatei zu aktualisieren.

Hinzufügen von Bindungsdatenbankeinträgen

Schritt 1: Melden Sie sich beim Webkonfigurationsprogramm an, und wählen Sie IP Configuration > DHCP > DHCP Snooping Binding Database aus, die die Seite DHCP Snooping Binding Database öffnet.

Schritt 2: Klicken Sie auf Hinzufügen, um die Einträge auf der Seite DHCP-Snooping-Eintrag hinzufügen einzugeben.

Schritt 3: Wählen Sie die VLAN-ID aus der Dropdown-Liste aus, in der das Paket im Feld "VLAN ID" erwartet wird.

Schritt 4: Geben Sie im Feld MAC Address (MAC-Adresse) die abzugleichende MAC-Adresse ein.

Schritt 5: Geben Sie die IP-Adresse ein, die im Feld "IP Address" (IP-Adresse) zugeordnet werden soll.

Schritt 6: Wählen Sie in der Dropdown-Liste "Interface" (Schnittstelle) die Schnittstelle aus, um anzuzeigen, ob Ports oder LAGs angezeigt werden sollen, für die das Paket erwartet wird.

Schritt 7: Klicken Sie im Feld Typ auf den Typ, um anzuzeigen, ob der Eintrag dynamisch oder statisch ist.

· Dynamic (Dynamisch): Der Eintrag hat eine begrenzte Leasing-Zeit.

· Statisch - Der Eintrag ist statisch konfiguriert.

Schritt 8: Geben Sie die Leasingzeit in das Feld Leasingzeit ein. Wenn der Eintrag dynamisch ist, geben Sie die Dauer der Zeit ein, die der Eintrag aktiv bleibt. Wenn keine Leasedauer vorhanden ist, klicken Sie auf Unbegrenzt.

Der Grund, warum die Schnittstelle nicht aktiv ist, wird im Feld "Grund" angezeigt. Die Gründe hierfür können wie folgt sein:

· Kein Problem - Schnittstelle ist aktiv.

· Kein Snoop-VLAN - DHCP-Snooping ist im VLAN nicht aktiviert.

· Vertrauenswürdiger Port - Port ist vertrauenswürdig.

· Ressourcenproblem - TCAM-Ressourcen werden genutzt.

Schritt 9: Um eine Teilmenge der Einträge anzuzeigen, geben Sie die entsprechenden Suchkriterien in der Binding Database Table ein, und klicken Sie auf Go. Mit den Filterkästchen wird ein bestimmter Eintrag aus der DHCP-Binding-Datenbanktabelle herausgefiltert. 

Schritt 10: (Optional) Um die eingegebenen Werte zu entfernen und neue Werte einzugeben, klicken Sie auf Clear Dynamic (Dynamisch löschen).

Schritt 11: Klicken Sie auf Apply, um die aktuelle Konfigurationsdatei zu aktualisieren.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren