IP Source Guard Configuration op ESW2-350G-switches

Downloadopties

  • PDF     (684.7 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (652.3 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (243.8 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:24 juni 2017
Document-id:SMB4092

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

IP Source Guard Configuration op ESW2-350G-switches

Doel

IP Source Guard is een veiligheidsfunctie die kan worden gebruikt om verkeersaanvallen te voorkomen die worden veroorzaakt wanneer een host het IP-adres van een aangrenzende host probeert te gebruiken. Wanneer IP Source Guard is ingeschakeld, geeft de switch alleen het client-IP-verkeer naar IP-adressen door in de DHCP Snooping Binding-database. Als het pakket dat een host ontvangt, overeenkomt met een ingang in de database, geeft de switch het pakket door. Als het pakje niet overeenkomt met een ingang in de database, komt deze te vervallen.

In een real-time scenario is een manier waarop IP Source Guard wordt gebruikt om man-in-het-midden aanvallen te voorkomen waarbij een onvertrouwde derde partij als echte gebruiker probeert te maskeren. Gebaseerd op de adressen die in de IP bron Guard bindende databank worden gevormd, wordt slechts het verkeer van de client met dat IP adres toegestaan de rest van de pakketten gelaten.

Opmerking: DHCP-decodering dient ingeschakeld te worden zodat IP-bronbewaking kan functioneren. Raadpleeg de configuratie van artikel DHCP-eigenschappen op ESW2-350G-switches voor meer informatie over het inschakelen van DHCP-functies. Het is ook nodig om de bindende databank aan te passen om aan te geven welke IP-adressen zijn toegestaan. Meer informatie hierover is te vinden in het artikel Configuration of DHCP Snooping Binding Database op ESW2-350G-switches.

Dit artikel legt uit hoe u IP Source Guard op de ESW2-350G-switches kunt configureren.

Toepasselijke apparaten

・ ESW2-350G
・ ESW2-350G-DC

Softwareversie

•1.3.0.62

Instellingen IP-bronbewaking mondiaal inschakelen

Stap 1. Meld u aan bij het web configuratieprogramma en kies Security > IP Source Guard > Properties. De pagina Eigenschappen IP Source Guard wordt geopend:

Stap 2. Controleer het aanvinkvakje Enable om IP-bronbewaking mondiaal in te schakelen.

Stap 3. Klik op Toepassen om de instellingen toe te passen.

Interface-instellingen bewerken voor IP-bronbewaking

Als de IP Source Guard op een onvertrouwde poort of LAG is ingeschakeld, worden de DHCP-pakketten die worden verzonden toegestaan door de DHCP-oplossingsdatabase. Als het IP-adres met een filter is ingeschakeld, is pakkettransport als volgt toegestaan:

・ IPv4-verkeer — Het IPv4-verkeer dat gekoppeld is aan het IP-bronadres met de specifieke poort is toegestaan.

・ Niet-IPv4 verkeer — al het niet-IPv4 verkeer is toegestaan.

Stap 1. Meld u aan bij het web configuratieprogramma en kies Security > IP Source Guard > Interface Settings. De pagina Interface-instellingen wordt geopend:

De tabel met interface-instellingen bestaat uit de volgende parameters.

・ Interface — Toont de interface waarop de IP-bronbewaking wordt toegepast.

・ IP Source Guard — laat zien of IP Source Guard is ingeschakeld of niet. IP Source Guard kan op individuele interfaces worden ingeschakeld.

・ DHCP Snooping Trusted Interface - toont of het een DHCP-vertrouwde interface is. Trusted interfaces kunnen alleen verkeer binnen het netwerk ontvangen.  IP Source Guard wordt gewoonlijk op DHCP-interfaces geconfigureerd die niet worden vertrouwd. Een onvertrouwde interface is een interface die zodanig is geconfigureerd dat hij berichten van buiten het netwerk kan ontvangen.

Stap 2. Scrolt beneden de pagina en klik op de radioknop die overeenkomt met de te bewerken interface en klik op Bewerken onder in de pagina. Het venster Interface-instellingen bewerken verschijnt.

Stap 3. (Optioneel) Klik om een interface te kiezen op een van de radioknoppen in het interfaceveld. Klik op Port als u bandbreedteinstellingen op een bepaalde poort wilt toepassen of klik op LAG als u bandbreedteinstellingen op een bundel van een paar of alle afzonderlijke poorten wilt toepassen. Kies vervolgens een bepaalde waarde in de vervolgkeuzelijst naast deze.

Stap 4. Controleer ingeschakeld in het veld IP-bronbewaking om IP-bronbewaking op de huidige interface in te schakelen.

Stap 5. Klik op Toepassen

Interface-instellingen voor IP-bronbewaking kopiëren

Stap 1. Meld u aan bij het web configuratieprogramma en kies Security > IP Source Guard > Interface Settings. De pagina Interface-instellingen wordt geopend:

Stap 2. Klik op de radioknop voor de gewenste interface en schroef de pagina omlaag.

Stap 3. Klik op Instellingen kopiëren. De pagina Instellingen kopiëren wordt geopend:

Stap 4. Voer de interface in waarop de gekozen ingang in het daarvoor bestemde veld moet worden gekopieerd. U kunt interfaces invoeren onder hun naam (GE1) of hun nummer. U kunt ook een bereik van interfaces geven (bijvoorbeeld GE30-GE37, 30-40).

Stap 5. Klik op Toepassen

Verwante artikelen

Configuratie van ARP-inspectie-eigenschappen op ESW2-350G-switches

Configuratie van TCP-congestievermijding op ESW2-350G-switches

DHCP-optie Binding Database Configuration op ESW2-350G switches

RADIUS-instellingen (Remote Authorized User Service) op ESW2-350G-switches

Was dit document nuttig?

FeedbackFeedback

Contact Cisco