Sx500系列堆疊式交換器上的IP來源防護組態

目標

IP源防護是一項安全功能，可用於防止主機嘗試使用相鄰主機的IP地址時引起的流量攻擊。啟用IP Source Guard時，交換機僅將客戶端IP流量傳輸到DHCP監聽繫結資料庫中包含的IP地址。如果主機傳送的封包與資料庫中的專案相符，交換器會轉送封包。如果資料包與資料庫中的某個條目不匹配，則丟棄該資料包。

在即時方案中，使用IP源保護的一種方式是幫助防止不受信任的第三方試圖偽裝成真正使用者的「中間人」攻擊。根據IP源保護繫結資料庫中配置的地址，僅允許來自具有該IP地址的客戶端的流量，並且丟棄其餘的資料包。

注意：應啟用DHCP監聽，IP源保護才能正常工作。有關如何啟用DHCP監聽的更多詳細資訊，請參閱SX500系列堆疊式交換機上的DHCP監聽配置一文。還需要配置繫結資料庫以指定允許的IP地址。有關此問題的更多詳細資訊，請參閱在SX500系列堆疊式交換機上配置DHCP監聽繫結資料庫。

本文說明如何在Sx500系列堆疊式交換器上設定IP來源防護。

適用裝置

· Sx500系列堆疊式交換器

軟體版本

· v1.2.7.76

配置IP源防護設定

全域性啟用IP源防護設定

步驟1.登入到Web配置實用程式，然後選擇Security > IP Source Guard > Properties。將開啟IP Source Guard Properties頁：

步驟2.選中Enable覈取方塊以全域性啟用IP源防護。

步驟3.按一下Apply以應用設定。

編輯IP源防護的介面設定

如果在不受信任的埠或LAG上啟用IP源保護，則DHCP監聽資料庫允許傳輸的DHCP資料包。如果使用過濾器啟用IP地址，則允許按如下方式傳輸資料包：

· IPv4流量 — 允許與特定連線埠的來源IP位址關聯的IPv4流量。

·非IPv4流量 — 允許所有非IPv4流量。

步驟1.登入到Web配置實用程式，然後選擇Security > IP Source Guard > Interface Settings。將開啟Interface Settings頁面：

步驟2.從Interface Type下拉選單中選擇介面型別，然後在Filter欄位中點選Go。

介面設定表由以下參陣列成。

·介面 — 顯示應用IP源防護的介面。

· IP Source Guard — 顯示IP Source Guard是否已啟用。 

· DHCP監聽可信介面 — 顯示它是否是DHCP可信介面。受信任的介面只能從網路內接收流量。 IP源防護通常配置在不受信任的DHCP介面上。不可信介面是經過配置使其可以從網路外部接收消息的介面。

步驟3.按一下與要編輯的介面對應的單選按鈕，然後按一下頁面底部的Edit。出現「Edit Interface Settings」視窗。

步驟4.選中IP Source Guard欄位中的Enable，在當前介面上啟用IP Source Guard。

步驟5.按一下Apply。將顯示更改。

複製IP源防護的介面設定

步驟1.登入到Web配置實用程式，然後選擇Security > IP Source Guard > Interface Settings。將開啟Interface Settings頁面：

步驟2.按一下所需介面的單選按鈕，然後按一下Copy Settings。出現「Copy Settings」視窗。

步驟3.輸入所選條目需要複製到的介面或介面範圍，然後按一下Apply。設定已應用。