IP Source Guard is een veiligheidsfunctie die kan worden gebruikt om verkeersaanvallen te voorkomen die worden veroorzaakt wanneer een host het IP-adres van een aangrenzende host probeert te gebruiken. Wanneer IP Source Guard is ingeschakeld, geeft de switch alleen het client-IP-verkeer naar IP-adressen door in de DHCP Snooping Binding-database. Als het pakket dat een host ontvangt, overeenkomt met een ingang in de database, geeft de switch het pakket door. Als het pakje niet overeenkomt met een ingang in de database, komt deze te vervallen.
In een real-time scenario, is één manier waarin IP Bron Guard wordt gebruikt om te helpen om man-in-het-midden aanvallen te voorkomen waar een onvertrouwde derde probeert om als echte gebruiker te maskeren. Gebaseerd op de adressen die in de IP bron Guard bindende databank worden gevormd, is alleen het verkeer van de cliënt met dat IP adres toegestaan en de rest van de pakketten worden ingetrokken.
Opmerking: DHCP-decodering dient ingeschakeld te worden zodat IP-bronbewaking kan functioneren. Raadpleeg het artikel DHCP-configuratie van SX500 Series Stackable Switches voor meer informatie over het inschakelen van DHCP-signalering. Het is ook nodig om de bindende databank aan te passen om aan te geven welke IP-adressen zijn toegestaan. Meer informatie hierover is te vinden in het artikel Configuration of DHCP Snooping Binding Database op SX500 Series Stackable Switches.
Dit artikel legt uit hoe u IP Source Guard op de SX500 Series Stackable Switches kunt configureren.
・ SX500 Series Stackable-switches
・ v1.2.7.76
Stap 1. Meld u aan bij het web configuratieprogramma en kies Security > IP Source Guard > Properties. De pagina Eigenschappen IP Source Guard wordt geopend:
Stap 2. Controleer het aanvinkvakje Enable om IP-bronbewaking mondiaal in te schakelen.
Stap 3. Klik op Toepassen om de instellingen toe te passen.
Als de IP Source Guard op een onvertrouwde poort of LAG is ingeschakeld, worden de DHCP-pakketten die worden verzonden toegestaan door de DHCP-oplossingsdatabase. Als het IP-adres met een filter is ingeschakeld, is pakkettransport als volgt toegestaan:
・ IPv4-verkeer — Het IPv4-verkeer dat gekoppeld is aan het IP-bronadres van de poort is toegestaan.
・ Niet IPv4-verkeer — al het niet-IPv4-verkeer is toegestaan.
Stap 1. Meld u aan bij het web configuratieprogramma en kies Security > IP Source Guard > Interface Settings. De pagina Interface-instellingen wordt geopend:
Stap 2. Kies een interfacetype in de vervolgkeuzelijst Interfacetype en klik op Ga in het veld Filter.
De tabel met interface-instellingen bestaat uit de volgende parameters.
・ Interface — Toont de interface waarop de IP-bronbewaking wordt toegepast.
・ IP Source Guard — laat zien of IP Source Guard is ingeschakeld of niet.
・ DHCP Snooping Trusted Interface - toont of het een DHCP-vertrouwde interface is. Trusted interfaces kunnen alleen verkeer binnen het netwerk ontvangen. IP Source Guard wordt gewoonlijk op DHCP-interfaces geconfigureerd die niet worden vertrouwd. Een onvertrouwde interface is een interface die zodanig is geconfigureerd dat hij berichten van buiten het netwerk kan ontvangen.
Stap 3. Klik op de radioknop die overeenkomt met de te bewerken interface en klik op Bewerken onder in de pagina. Het venster Interface-instellingen bewerken verschijnt.
Stap 4. Controleer het veld IP-bronbewaking in om IP-bronbewaking op de huidige interface in te schakelen.
Stap 5. Klik op Toepassen. De wijzigingen worden weergegeven.
Stap 1. Meld u aan bij het web configuratieprogramma en kies Security > IP Source Guard > Interface Settings. De pagina Interface-instellingen wordt geopend:
Stap 2. Klik op de radioknop voor de gewenste interface en klik op Instellingen kopiëren. Het venster Instellingen kopiëren verschijnt.
Stap 3. Voer de interface(s) of bereik(en) van interfaces in waarop de gekozen ingang moet worden gekopieerd en klik op Toepassen. De instellingen worden toegepast.