Como bloquear o acesso de dispositivos desconhecidos ao switch usando o IP Source Guard.
125822 Introdução:
O IP Source Guard filtra pacotes IP com base nas entradas de vinculação IP-MAC. Somente os pacotes que correspondem às regras de vinculação IP-MAC podem ser processados, o que pode aumentar a utilização da largura de banda e a segurança da rede. Em algumas situações, os clientes podem querer limitar a entrada de dispositivos desconhecidos na rede existente. Podemos usar o IP Source Guard e a vinculação IP-MAC para atender a esse requisito.
Cenário de aplicação:
Como mostrado na imagem acima, assumimos que o host A é um PC legítimo com acesso ao switch. Quando um dispositivo desconhecido tenta se conectar à rede, o acesso é bloqueado. Este artigo explica como atender a esse requisito usando IP Source Guard e IP-MAC Binding, tomando o switch T3700G-28TQ como exemplo.
Etapas de configuração:
1. Atribua um endereço IP estático aos seus dispositivos ou obtenha um endereço IP automaticamente do servidor DHCP.
2. Vinculação IP-MAC
3. Ative a proteção de origem IP
Seguem abaixo os passos detalhados para a configuração:
Passo 1: você pode atribuir um endereço IP estático aos seus dispositivos ou permitir que eles obtenham um endereço IP automaticamente do servidor DHCP. No entanto, nesta situação, recomendamos que você atribua um endereço IP estático aos seus dispositivos manualmente.
Etapa 2: Vinculação IP-MAC
Para habilitar o IP Source Guard, primeiro precisamos criar entradas de vinculação IP-MAC. A função de vinculação IP-MAC permite associar o endereço IP, o endereço MAC, o ID da VLAN e a porta conectada do host. Existem três métodos para criar entradas de vinculação IP-MAC: vinculação manual , varredura ARP e DHCP Snooping.
Observação:
1. Neste cenário de aplicação, não podemos usar o DHCP Snooping, pois ele tem prioridade maior que o IP Source Guard. Ou seja, ao aplicarmos o DHCP Snooping e o IP Source Guard simultaneamente, todos os dispositivos, mesmo os não confiáveis, ainda poderão obter um endereço IP do servidor DHCP primário e encaminhar pacotes normalmente.
2. Se ainda assim desejar usar o DHCP Snooping e o IP Source Guard simultaneamente, você precisa limitar a alocação de IPs no servidor DHCP principal para garantir que apenas os dispositivos autorizados possam obter um endereço IP.
Podemos usar vinculação manual e varredura ARP individualmente ou simultaneamente. Aqui, descrevemos os dois métodos separadamente.
- Encadernação manual
Acesse Segurança de Rede --> Vinculação IP-MAC --> Vinculação Manual
Conforme mostrado na imagem, inserimos o Nome do Host , Endereço IP , Endereço MAC , ID da VLAN e escolhemos o Tipo de Proteção como Proteção de Origem IP, selecionamos a porta à qual o host A está conectado e, em seguida, clicamos em Vincular para salvar.
2 ) Varredura ARP
Conecte todos os seus dispositivos ao switch e, em seguida, acesse Segurança de Rede --> Vinculação IP-MAC --> Verificação ARP.
Indique o intervalo de endereços IP e VLAN a serem verificados. Aqui, usaremos 192.168.1.1~192.168.1.254 e a VLAN 1 como exemplo. Preencha os campos em branco de acordo com o seu cenário real.
Após a verificação, todos os dispositivos dentro do alcance serão exibidos na tabela. Selecione as entradas que deseja vincular, escolha " Proteção de Origem IP" como Tipo de Proteção e clique em Aplicar para salvar.
Etapa 3: Habilitar a proteção de origem IP
Acesse Segurança de Rede --> Proteção de Origem IP
Selecione as portas às quais deseja aplicar o IP Source Guard e escolha o Tipo de Segurança como SIP ou SIP+MAC.
Observação :
1. O IP Source Guard não pode ser ativado para membros do LAG.
2. Se você escolher SIP, somente os pacotes cujo endereço IP de origem e número da porta correspondam às regras de vinculação IP-MAC poderão ser processados; se você escolher SIP+MAC, somente os pacotes cujo endereço IP de origem , número da porta e endereço MAC de origem correspondam às regras de vinculação IP-MAC poderão ser processados.
Teste: podemos usar o comando Ping para testar a conexão em dispositivos desconhecidos, como mostrado na imagem abaixo.
Antes de habilitarmos o IP Source Guard:
Após habilitarmos o IP Source Guard:
Esta FAQ é útil?
Seu feedback ajuda a melhorar este site.