Configuración de IP Source Guard en el Switch ESW2-550X

Objetivo

IP Source Guard es una función de seguridad que se puede utilizar para prevenir ataques de tráfico causados cuando un host intenta utilizar la dirección IP de un host vecino. Cuando se habilita IP Source Guard, el switch sólo transmite el tráfico IP del cliente a las direcciones IP contenidas en la base de datos DHCP Snooping Binding. Si el paquete que envía un host coincide con una entrada en la base de datos, el switch reenvía el paquete. Si el paquete no coincide con una entrada en la base de datos, se descarta.

En un escenario en tiempo real, IP Source Guard se utiliza para ayudar a prevenir ataques de intrusos donde un tercero no confiable intenta disfrazarse de usuario genuino. Según las direcciones configuradas en la base de datos de enlace de la protección de origen IP, sólo se permite el tráfico del cliente con esa dirección IP mientras que el resto de los paquetes se descartan.

Nota: Para que IP Source Guard funcione, debe estar habilitado DHCP Snooping. Para obtener más detalles sobre cómo habilitar la indagación DHCP, consulte el artículo Configuración de propiedades DHCP en el switch ESW2-550X. También es necesario configurar la base de datos de enlace para especificar qué direcciones IP se permiten. Puede encontrar más detalles sobre esto en el artículo Configuración de la base de datos de enlace de indagación DHCP en el switch ESW2-550X.

Este artículo explica cómo configurar IP Source Guard en los conmutadores gestionados apilables ESW2-550X.

Dispositivos aplicables

· ESW2-550X
· ESW2-550X-DC

Versión del software

· v1.2.9.44

Habilitar globalmente la configuración de IP Source Guard

Paso 1. Inicie sesión en la utilidad de configuración web y elija Security > IP Source Guard > Properties. Se abre la página Propiedades de IP Source Guard:

Paso 2. Marque la casilla de verificación Enable para habilitar IP Source Guard globalmente.

Paso 3. Haga clic en Aplicar para aplicar la configuración.

Editar configuración de interfaz para IP Source Guard

Si la IP Source Guard está habilitada en un puerto no confiable o LAG, los paquetes DHCP transmitidos son permitidos por la base de datos de indagación DHCP. Si la dirección IP se habilita con un filtro, la transmisión de paquetes se permite de la siguiente manera:

Tráfico · IPv4: se permite el tráfico IPv4 asociado a la dirección IP de origen con el puerto específico.

Tráfico · no IPv4: se permite todo el tráfico que no sea IPv4.

Paso 1. Inicie sesión en la utilidad de configuración web y elija Security > IP Source Guard > Interface Settings. Se abre la página Configuración de interfaz:

La Tabla de Configuración de la Interfaz consta de los siguientes parámetros.

Interfaz ·: Muestra la Interfaz a la que se aplica IP Source Guard.

· IP Source Guard: muestra si IP Source Guard está habilitado o no. IP Source Guard se puede habilitar en interfaces individuales.

· DHCP Snooping Trusted Interface — Muestra si es una interfaz de confianza DHCP o no. Las interfaces de confianza sólo pueden recibir tráfico desde dentro de la red.  IP Source Guard se configura generalmente en interfaces DHCP que no son de confianza. Una interfaz no confiable es una interfaz configurada de manera que puede recibir mensajes desde fuera de la red.

Paso 2. Desplácese por la página y haga clic en el botón de opción correspondiente a la interfaz que desea editar. Haga clic en Editar en la parte inferior de la página. Aparece la ventana Edit Interface Settings.

Paso 3. (Opcional) Para elegir una interfaz, haga clic en cualquiera de los botones de radio del campo Interfaz.

Unidad/ranura y puerto ·: la unidad identifica si el switch está activo o si es miembro de la pila. La unidad 1 está activa y la unidad 2 es miembro. Si no conoce los términos utilizados, consulte Cisco Business: Glosario de nuevos términos. La ranura identifica si el switch es ESW2-550 o ESW2-550X. El slot 1 es ESW2-550 y el slot 2 es ESW2-550X. Elija la opción deseada en la lista desplegable Unidad/Ranura y elija el puerto deseado en la lista desplegable Puerto.

· LAG: elija el LAG deseado en la lista desplegable LAG. Se utiliza un grupo de agregación de enlaces (LAG) para vincular varios puertos entre sí. Los LAG multiplican el ancho de banda, aumentan la flexibilidad de los puertos y proporcionan redundancia de link entre dos dispositivos para optimizar el uso de los puertos.

Paso 4. Marque la casilla de verificación Enabled en el campo IP Source Guard para habilitar IP Source Guard en la interfaz actual.

Paso 5. Haga clic en Apply (Aplicar). 

Copiar configuración de interfaz para IP Source Guard

Paso 1. Inicie sesión en la utilidad de configuración web y elija Security > IP Source Guard > Interface Settings. Se abre la página Configuración de interfaz:

Paso 2. Haga clic en el botón de opción de la interfaz deseada y desplácese por la página.

Paso 3. Haga clic en Copiar configuración. Se abre la página Copiar configuración:

Paso 4. Introduzca la interfaz a la que debe copiarse la entrada seleccionada en el campo proporcionado. Puede introducir interfaces por su nombre (GE1) o número. También puede proporcionar un rango de interfaces como GE30-GE37 o 30-40.

Paso 5. Haga clic en Apply (Aplicar).