IP Source Guard ist eine Sicherheitsfunktion, mit der Datenverkehrsangriffe verhindert werden können, die entstehen, wenn ein Host versucht, die IP-Adresse eines benachbarten Hosts zu verwenden. Wenn IP Source Guard aktiviert ist, überträgt der Switch nur den Client-IP-Datenverkehr an IP-Adressen, die in der DHCP Snooping Binding-Datenbank enthalten sind. Wenn das Paket, das ein Host sendet, mit einem Eintrag in der Datenbank übereinstimmt, leitet der Switch das Paket weiter. Wenn das Paket nicht mit einem Eintrag in der Datenbank übereinstimmt, wird es verworfen.
In einem Echtzeit-Szenario kann IP Source Guard beispielsweise eingesetzt werden, um Man-in-the-Middle-Angriffe zu verhindern, bei denen ein nicht vertrauenswürdiger Dritter versucht, sich als legitimer Benutzer zu tarnen. Basierend auf den in der IP Source Guard-Bindungsdatenbank konfigurierten Adressen ist nur der Datenverkehr vom Client mit dieser IP-Adresse zulässig, und die restlichen Pakete werden verworfen.
Hinweis: DHCP-Snooping sollte aktiviert sein, damit IP Source Guard funktioniert. Weitere Informationen zur Aktivierung von DHCP Snooping finden Sie im Artikel DHCP Snooping Binding Database Configuration auf Stackable Switches der Serie Sx500. Außerdem muss die Bindungsdatenbank so konfiguriert werden, dass angegeben wird, welche IP-Adressen zulässig sind.
In diesem Artikel wird erläutert, wie Sie Bindungsdatenbank für IP Source Guard auf Stackable Switches der Serie Sx500 konfigurieren.
· Stackable Switches der Serie Sx500
· v1.2.7.76
Schritt 1: Melden Sie sich beim Webkonfigurationsprogramm an, und wählen Sie Security > IP Source Guard > Binding Database aus. Die Seite Bindungsdatenbank wird geöffnet:
Schritt 2: Klicken Sie in den folgenden Optionen im Feld Inaktiv einfügen auf den entsprechenden Eintrag, um festzulegen, wie oft der Switch inaktive Einträge aktivieren soll. Die DHCP Snooping Binding Database verwendet den Ternary Content Addressable Memory (TCAM), um die Datenbank zu verwalten.
· Häufigkeit erneut eingeben - Gibt die Häufigkeit an, mit der die TCAM-Ressourcen überprüft werden. Der Standardwert ist 60.
· Nie - Versuchen Sie nie, die inaktiven Adressen zu aktivieren.
Schritt 3: Klicken Sie auf Apply, um die aktuelle Konfigurationsdatei zu aktualisieren.
Schritt 1: Melden Sie sich beim Webkonfigurationsprogramm an, und wählen Sie IP Configuration > DHCP > DHCP Snooping Binding Database aus, die die Seite DHCP Snooping Binding Database öffnet.
Schritt 2: Klicken Sie auf Hinzufügen, um die Einträge auf der Seite DHCP-Snooping-Eintrag hinzufügen einzugeben.
Schritt 3: Wählen Sie die VLAN-ID aus der Dropdown-Liste aus, in der das Paket im Feld "VLAN ID" erwartet wird.
Schritt 4: Geben Sie im Feld MAC Address (MAC-Adresse) die abzugleichende MAC-Adresse ein.
Schritt 5: Geben Sie die IP-Adresse ein, die im Feld "IP Address" (IP-Adresse) zugeordnet werden soll.
Schritt 6: Wählen Sie in der Dropdown-Liste "Interface" (Schnittstelle) die Schnittstelle aus, um anzuzeigen, ob Ports oder LAGs angezeigt werden sollen, für die das Paket erwartet wird.
Schritt 7: Klicken Sie im Feld Typ auf den Typ, um anzuzeigen, ob der Eintrag dynamisch oder statisch ist.
· Dynamic (Dynamisch): Der Eintrag hat eine begrenzte Leasing-Zeit.
· Statisch - Der Eintrag ist statisch konfiguriert.
Schritt 8: Geben Sie die Leasingzeit in das Feld Leasingzeit ein. Wenn der Eintrag dynamisch ist, geben Sie die Dauer der Zeit ein, die der Eintrag aktiv bleibt. Wenn keine Leasedauer vorhanden ist, klicken Sie auf Unbegrenzt.
Der Grund, warum die Schnittstelle nicht aktiv ist, wird im Feld "Grund" angezeigt. Die Gründe hierfür können wie folgt sein:
· Kein Problem - Schnittstelle ist aktiv.
· Kein Snoop-VLAN - DHCP-Snooping ist im VLAN nicht aktiviert.
· Vertrauenswürdiger Port - Port ist vertrauenswürdig.
· Ressourcenproblem - TCAM-Ressourcen werden genutzt.
Schritt 9: Um eine Teilmenge der Einträge anzuzeigen, geben Sie die entsprechenden Suchkriterien in der Binding Database Table ein, und klicken Sie auf Go. Mit den Filterkästchen wird ein bestimmter Eintrag aus der DHCP-Binding-Datenbanktabelle herausgefiltert.
Schritt 10: (Optional) Um die eingegebenen Werte zu entfernen und neue Werte einzugeben, klicken Sie auf Clear Dynamic (Dynamisch löschen).
Schritt 11: Klicken Sie auf Apply, um die aktuelle Konfigurationsdatei zu aktualisieren.