IP源防护是一种安全功能,可用于防止主机尝试使用相邻主机的IP地址时引起的流量攻击。启用IP源防护后,交换机仅将客户端IP流量传输到DHCP监听绑定数据库中包含的IP地址。如果主机发送的数据包与数据库中的条目匹配,交换机将转发该数据包。如果数据包与数据库中的条目不匹配,则会丢弃该数据包。
在实时场景中,使用IP源防护的一种方式是帮助防止中间人攻击,即不受信任的第三方试图伪装成正版用户。根据IP源防护绑定数据库中配置的地址,仅允许来自具有该IP地址的客户端的流量丢弃其余数据包。
注意:应启用DHCP监听,IP源防护才能正常工作。要获取有关如何启用DHCP监听的更多详细信息,请参阅ESW2-350G交换机上的DHCP属性配置文章。还需要配置绑定数据库以指定允许哪些IP地址。有关此项的更多详细信息,请参阅ESW2-350G交换机上的DHCP监听绑定数据库的配置。
本文介绍如何在ESW2-350G交换机上配置IP源防护。
· ESW2-350G
· ESW2-350G-DC
•1.3.0.62
步骤1.登录到Web配置实用程序,然后选择Security > IP Source Guard > Properties。“IP源防护属性”页打开:
步骤2.选中Enable复选框以全局启用IP源防护。
步骤3.单击“应用”以应用设置。
如果在不受信任的端口或LAG上启用IP源防护,则DHCP监听数据库允许传输的DHCP数据包。如果IP地址启用了过滤器,则允许数据包传输,如下所示:
· IPv4流量 — 允许与源IP地址与特定端口关联的IPv4流量。
·非IPv4流量 — 允许所有非IPv4流量。
步骤1.登录到Web配置实用程序,然后选择Security > IP Source Guard > Interface Settings。“接口设置”页面打开:
接口设置表包含以下参数。
·接口 — 显示应用IP源防护的接口。
· IP Source Guard — 显示是否启用IP Source Guard。IP源防护可在单个接口上启用。
· DHCP监听受信任接口 — 显示它是否是DHCP受信任接口。受信任接口只能从网络内接收流量。 IP源防护通常在不受信任的DHCP接口上配置。不可信接口是配置为能够从网络外部接收消息的接口。
步骤2.向下滚动页面,点击与要编辑的接口对应的单选按钮,然后点击页面底部的编辑。系统将显示“编辑接口设置”窗口。
步骤3.(可选)要选择接口,请单击“接口”字段中的任一单选按钮。如果要对特定端口应用带宽设置,请单击Port;如果要对包含几个或所有单个端口的捆绑应用带宽设置,请单击LAG。然后,从它旁边的下拉列表中选择一个特定值。
步骤4.在IP Source Guard字段中选中Enabled,以在当前接口上启用IP Source Guard。
步骤5.单击“应用”。
步骤1.登录到Web配置实用程序,然后选择Security > IP Source Guard > Interface Settings。“接口设置”页面打开:
步骤2.点击所需界面的单选按钮,然后向下滚动页面。
步骤3.单击“复制设置”。“复制设置”页打开:
步骤4.在提供的字段中输入所选条目需要复制到的接口。您可以按接口名称(GE1)或编号输入接口。您还可以提供一系列接口(例如GE30-GE37、30-40)。
步骤5.单击“应用”。