Configuração do IP Source Guard no Switch ESW2-550X

Objetivo

O IP Source Guard é um recurso de segurança que pode ser usado para evitar ataques de tráfego causados quando um host tenta usar o endereço IP de um host vizinho. Quando o IP Source Guard está ativado, o switch transmite somente o tráfego IP do cliente para endereços IP contidos no banco de dados de vínculo de rastreamento de DHCP. Se o pacote enviado por um host corresponder a uma entrada no banco de dados, o switch encaminhará o pacote. Se o pacote não corresponder a uma entrada no banco de dados, ele será descartado.

Em um cenário em tempo real, o IP Source Guard é usado para ajudar a evitar ataques de intermediários em que um terceiro não confiável tenta se mascarar como um usuário genuíno. Com base nos endereços configurados no banco de dados de vinculação do protetor de origem de IP, somente o tráfego do cliente com esse endereço IP é permitido para o restante dos pacotes ser descartado.

Observação: o rastreamento de DHCP deve ser ativado para que o IP Source Guard funcione. Para obter mais detalhes sobre como habilitar o DHCP Snooping, consulte o artigo DHCP Properties Configuration on ESW2-550X Switch. Também é necessário configurar o banco de dados de associação para especificar quais endereços IP são permitidos. Mais detalhes sobre isso podem ser encontrados no artigo Configuration of DHCP Snooping Binding Database on ESW2-550X Switch.

Este artigo explica como configurar o IP Source Guard nos switches gerenciados empilháveis ESW2-550X.

Dispositivos aplicáveis

ESW2-550X
ESW2-550X-DC

Versão de software

v1.2.9.44

Ativar globalmente as configurações do IP Source Guard

Etapa 1. Faça login no utilitário de configuração da Web e escolha Security > IP Source Guard > Properties. A página Propriedades do Protetor de Origem IP é aberta:

Etapa 2. Marque a caixa de seleção Habilitar para habilitar o IP Source Guard globalmente.

Etapa 3. Clique em Apply para aplicar as configurações.

Editar configurações de interface do IP Source Guard

Se o IP Source Guard estiver habilitado em uma porta não confiável ou LAG, os pacotes DHCP transmitidos serão permitidos pelo DHCP Snooping Database. Se o endereço IP estiver habilitado com um filtro, a transmissão de pacotes será permitida da seguinte forma:

Tráfego IPv4 — O tráfego IPv4 associado ao endereço IP origem com a porta específica é permitido.

Tráfego não IPv4 — Todo o tráfego não IPv4 é permitido.

Etapa 1. Faça login no utilitário de configuração da Web e escolha Security > IP Source Guard > Interface Settings. A página Configurações da interface é aberta:

A Tabela de configurações de interface consiste nos seguintes parâmetros.

Interface — Mostra a Interface à qual o IP Source Guard é aplicado.

Proteção de origem de IP — Mostra se o IP Source Guard está habilitado ou não. O IP Source Guard pode ser ativado em interfaces individuais.

DHCP Snooping Trusted Interface — Mostra se é uma interface confiável DHCP ou não. As interfaces confiáveis podem receber tráfego somente de dentro da rede.  O IP Source Guard geralmente é configurado em interfaces DHCP que não são confiáveis. Uma interface não confiável é uma interface configurada de modo que possa receber mensagens de fora da rede.

Etapa 2. Role a página para baixo e clique no botão de opção que corresponde à interface a ser editada. Clique em Editar na parte inferior da página. A janela Editar configurações de interface é exibida.

Etapa 3. (Opcional) Para escolher uma interface, clique em um dos botões de opção no campo Interface.

Unidade/Slot e Porta — A unidade identifica se o switch está ativo ou se é um membro na pilha. A unidade 1 está ativa e a unidade 2 é membro. Se você não está familiarizado com os termos usados, confira o Cisco Business: Glossário de Novos Termos. O slot identifica se o switch é ESW2-550 ou ESW2-550X. O slot 1 é ESW2-550 e o slot 2 é ESW2-550X. Escolha a opção desejada na lista suspensa Unidade/Slot e escolha a porta desejada na lista suspensa Porta.

LAG — Escolha o LAG desejado na lista suspensa LAG. Um LAG (Link Aggregate Group) é usado para vincular várias portas. Os LAGs multiplicam a largura de banda, aumentam a flexibilidade da porta e fornecem redundância de link entre dois dispositivos para otimizar o uso da porta.

Etapa 4. Marque a caixa de seleção Habilitado no campo IP Source Guard para habilitar o IP Source Guard na interface atual.

Etapa 5. Clique em Apply. 

Copiar configurações de interface para o IP Source Guard

Etapa 1. Faça login no utilitário de configuração da Web e escolha Security > IP Source Guard > Interface Settings. A página Configurações da interface é aberta:

Etapa 2. Clique no botão de opção da interface desejada e role a página para baixo.

Etapa 3. Clique em Copiar configurações. A página Copiar configurações é aberta:

Etapa 4. Digite a interface para a qual a entrada escolhida precisa ser copiada no campo fornecido. Você pode inserir interfaces pelo nome (GE1) ou número. Você também pode fornecer um intervalo de interfaces como GE30-GE37 ou 30-40.

Etapa 5. Clique em Apply.