Configuration de la base de données de liaison de protection de source IP sur les commutateurs empilables de la gamme Sx500

Options de téléchargement

PDF (431.4 KB)
Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
ePub (402.6 KB)
Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
Mobi (Kindle) (296.7 KB)
Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils

Mis à jour:11 décembre 2018

ID du document:SMB3097

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Configuration de la base de données de liaison de protection de source IP sur les commutateurs empilables de la gamme Sx500

Objectif

La protection de la source IP est une fonction de sécurité qui peut être utilisée pour empêcher les attaques de trafic lorsqu’un hôte tente d’utiliser l’adresse IP d’un hôte voisin. Lorsque la protection de la source IP est activée, le commutateur transmet uniquement le trafic IP du client aux adresses IP contenues dans la base de données de liaison de surveillance DHCP. Si le paquet envoyé par un hôte correspond à une entrée de la base de données, le commutateur transfère le paquet. Si le paquet ne correspond pas à une entrée de la base de données, il est abandonné.

Dans un scénario en temps réel, l'une des manières d'utiliser la protection de la source IP consiste à empêcher les attaques de l'homme du milieu lorsqu'un tiers non fiable tente de se faire passer pour un utilisateur authentique. En fonction des adresses configurées dans la base de données de liaison de la protection de source IP, seul le trafic provenant du client avec cette adresse IP est autorisé et les autres paquets sont abandonnés.

Remarque : la surveillance DHCP doit être activée pour que la protection de la source IP fonctionne. Pour plus de détails sur l'activation de la surveillance DHCP, reportez-vous à l'article Configuration de la base de données de liaison de surveillance DHCP sur les commutateurs empilables de la gamme Sx500. Il est également nécessaire de configurer la base de données de liaison pour spécifier les adresses IP autorisées.

Cet article explique comment configurer la base de données de liaison pour la protection de source IP sur les commutateurs empilables de la gamme Sx500.

Périphériques pertinents

Commutateurs Empilables · Sx500

Version du logiciel

•v 1.2.7.76

Configuration de la base de données de liaison de protection de source IP

Base de données de liaison

Étape 1. Connectez-vous à l'utilitaire de configuration Web, puis choisissez Security > IP Source Guard > Binding Database. La page Base de données de liaison s'ouvre :

Étape 2. Cliquez sur l'entrée appropriée dans les options suivantes du champ Insérer inactif pour choisir la fréquence à laquelle les entrées inactives doivent être activées par le commutateur. La base de données de liaison de surveillance DHCP utilise la mémoire TCAM (Ternary Content Addressable Memory) pour gérer la base de données.

· Retry Frequency : indique la fréquence à laquelle les ressources TCAM sont vérifiées. La valeur par défaut est 60.

· Jamais : n'essayez jamais d'activer les adresses inactives.

Étape 3. Cliquez sur Apply pour mettre à jour le fichier de configuration en cours.

Ajouter une entrée de base de données de liaison

Étape 1. Connectez-vous à l'utilitaire de configuration Web, puis choisissez IP Configuration > DHCP > DHCP Snooping Binding Database qui ouvre la page DHCP Snooping Binding Database.

Étape 2. Cliquez sur Add pour entrer les entrées de la page Add DHCP Snooping Entry.

Étape 3. Choisissez l'ID de VLAN dans la liste déroulante sur laquelle le paquet est attendu dans le champ ID de VLAN.

Étape 4. Saisissez l'adresse MAC à faire correspondre dans le champ MAC Address (Adresse MAC).

Étape 5. Saisissez l'adresse IP à faire correspondre dans le champ IP Address (Adresse IP).

Étape 6. Choisissez l’interface dans la liste déroulante Interface pour indiquer s’il faut afficher les ports ou les LAG sur lesquels le paquet est attendu.

Étape 7. Cliquez sur le type pour indiquer si l'entrée est dynamique ou statique dans le champ Type.

· dynamique : l'entrée a une durée de bail limitée.

· Static : l'entrée est configurée de manière statique.

Étape 8. Saisissez la durée du bail dans le champ Durée du bail. Si l'entrée est dynamique, saisissez la durée pendant laquelle l'entrée reste active. S'il n'y a pas de temps de location, cliquez sur Infinite.

La raison pour laquelle l'interface n'est pas active s'affiche dans le champ Motif. Les raisons peuvent être les suivantes :

· Aucun problème : l'interface est active.

· No Snoop VLAN : la surveillance DHCP n'est pas activée sur le VLAN.

· Port approuvé : le port est approuvé.

· Resource Problem : les ressources TCAM sont consommées.

Étape 9. Pour afficher un sous-ensemble des entrées, saisissez les critères de recherche appropriés dans la table Base de données de liaison, puis cliquez sur Go. Les cases à cocher Filter sont utilisées pour filtrer une entrée particulière de la table de base de données de liaison DHCP.

Étape 10. (Facultatif) Pour supprimer les valeurs entrées et entrer de nouvelles valeurs, cliquez sur Effacer dynamique.

Étape 11. Cliquez sur Apply pour mettre à jour le fichier de configuration en cours.

Ce document vous est-il utile?

Commentaires

Contacter Cisco

Ouvrir un dossier d’assistance
(Un contrat de service de Cisco est requis)