Configurazione del database di binding IP Source Guard sugli switch impilabili della serie Sx500

Opzioni per il download

  • PDF     (431.2 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (399.1 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (293.8 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:11 dicembre 2018
ID documento:SMB3097

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Configurazione del database di binding IP Source Guard sugli switch impilabili della serie Sx500

Obiettivo

IP Source Guard è una funzione di sicurezza che può essere utilizzata per prevenire gli attacchi al traffico causati quando un host tenta di utilizzare l'indirizzo IP di un host adiacente. Quando IP Source Guard è abilitato, lo switch trasmette il traffico IP dei client solo agli indirizzi IP contenuti nel database DHCP Snooping Binding. Se il pacchetto inviato da un host corrisponde a una voce del database, lo switch inoltra il pacchetto. Se il pacchetto non corrisponde a una voce del database, viene scartato.

In uno scenario in tempo reale, uno dei modi in cui viene utilizzato IP Source Guard è quello di contribuire a prevenire attacchi man-in-the-middle in cui una terza parte non attendibile tenta di mascherarsi come utente autentico. In base agli indirizzi configurati nel database di binding di IP Source Guard, viene consentito solo il traffico proveniente dal client con tale indirizzo IP e gli altri pacchetti vengono scartati.

Nota: lo snooping DHCP deve essere abilitato affinché IP Source Guard funzioni. Per ulteriori informazioni su come abilitare lo snooping DHCP, consultare l'articolo DHCP Snooping Binding Database Configuration sugli switch impilabili serie Sx500. È inoltre necessario configurare il database di binding per specificare gli indirizzi IP consentiti. 

Questo articolo spiega come configurare il binding database per IP source guard sugli switch serie Sx500 impilabili.

Dispositivi interessati

· Switch Stack Serie Sx500

Versione del software

· v1.2.7.76

Configurazione del database di binding di IP Source Guard

Database di associazione

Passaggio 1. Accedere all'utility di configurazione Web e scegliere Sicurezza > IP Source Guard > Binding Database. Viene visualizzata la pagina Database di associazione:

Passaggio 2. Fare clic sulla voce appropriata tra le seguenti opzioni nel campo Inserisci inattivo per scegliere la frequenza con cui le voci inattive devono essere rese attive dal parametro. Il database di binding snooping DHCP utilizza TCAM (Ternary Content Addressable Memory) per la gestione del database.

· Frequenza di ripetizione: fornisce la frequenza di controllo delle risorse TCAM. Il valore predefinito è 60.

· Mai - Non tentare mai di attivare gli indirizzi inattivi.

Passaggio 3. Fare clic su Apply per aggiornare il file di configurazione in esecuzione.

Aggiungi voce di database di binding

Passaggio 1. Accedere all'utility di configurazione Web e scegliere Configurazione IP > DHCP > DHCP Snooping Binding Database che apre la pagina DHCP Snooping Binding Database.

Passaggio 2. Fare clic su Add per immettere le voci nella pagina Add DHCP Snooping Entry (Aggiungi voce snooping DHCP).

Passaggio 3. Selezionare l'ID VLAN dall'elenco a discesa in cui è previsto il pacchetto nel campo VLAN ID.

Passaggio 4. Inserire l'indirizzo MAC da associare nel campo Indirizzo MAC.

Passaggio 5. Inserire l'indirizzo IP da associare nel campo Indirizzo IP.

Passaggio 6. Scegliere l'interfaccia dall'elenco a discesa Interfaccia per visualizzare le porte o i LAG su cui è previsto il pacchetto.

Passaggio 7. Fare clic sul tipo per indicare se la voce è Dinamica o Statica nel campo Tipo.

· Dinamico: l'ingresso ha una durata di leasing limitata.

· Statico: la voce è configurata in modo statico.

Passo 8: inserire la durata del leasing nel campo Durata leasing. Se la voce è dinamica, immettere la durata del periodo di tempo in cui la voce rimarrà attiva. Se il lease non è disponibile, fare clic su Infinito.

Nel campo Motivo viene visualizzato il motivo per cui l'interfaccia non è attiva. I motivi possono essere i seguenti:

· Nessun problema: l'interfaccia è attiva.

· No Snoop VLAN: lo snooping DHCP non è abilitato sulla VLAN.

· Porta attendibile: la porta è attendibile.

· Problema di risorse: le risorse TCAM vengono utilizzate.

Passaggio 9. Per visualizzare un subset delle voci, immettere i criteri di ricerca appropriati nella tabella del database di associazione e fare clic su Vai. Le caselle di controllo dei filtri vengono utilizzate per filtrare una determinata voce dalla tabella del database di binding DHCP. 

Passaggio 10. (Facoltativo) Per rimuovere i valori immessi e immettere nuovi valori, fare clic su Cancella dinamico.

Passaggio 11. Fare clic su Apply (Applica) per aggiornare il file di configurazione in esecuzione.

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci