Search icon Choose location
 
Search icon

Come bloccare dispositivi sconosciuti per accedere allo switch utilizzando IP Source Guard

User Application Requirement
Updated 03-17-2021 11:39:48 AM FAQ view icon76207
This Article Applies to: 

Introduzione:

IP Source Guard consente di filtrare i pacchetti IP in base alle voci di IP-MAC Binding. È possibile elaborare solo i pacchetti abbinati alle regole di IP-MAC Binding, che possono migliorare l'utility della larghezza di banda e la sicurezza della rete. In alcune situazioni, i clienti potrebbero voler limitare i dispositivi sconosciuti a unirsi alla rete esistente. Possiamo utilizzare IP Source Guard e IP-MAC Binding per raggiungere questo requisito.

Scenario applicativo:


   

Come mostrato nella figura sopra, supponiamo che l'host A sia un PC legale che può accedere allo switch. E quando un dispositivo sconosciuto vuole unirsi alla rete, verrà bloccato. Questo articolo spiegherà come raggiungere questo requisito utilizzando IP Source Guard e IP-MAC Binding, prendendo T3700G-28TQ come esempio.

 

Step di configurazione:

1. Designare un IP statico per i dispositivi o ottenere automaticamente l'IP dal server DHCP.

2. Binding IP-MAC

3. Abilita IP Source Guard

 

Ecco i passi di configurazione dettagliati:

Passo 1: è possibile designare un indirizzo IP statico per i dispositivi o consentire loro di ottenere automaticamente l'indirizzo IP dal server DHCP anteriore. Ma in questa situazione, ti consigliamo di designare manualmente un indirizzo IP statico per i tuoi dispositivi.

Passo2: Binding IP-MAC

Per abilitare IP Source Guard, dovremmo prima creare voci di binding IP-MAC. La funzione Binding IP-MAC consente di associare insieme l'indirizzo IP, l'indirizzo MAC, l'ID VLAN e la porta dell'host collegata. Esistono tre metodi per creare voci di Binding IP-MAC: Binding manuale, scansione ARP e snooping DHCP.

Nota:

1. In questo scenario applicativo, non è possibile utilizzare lo snooping DHCP, poiché lo snooping DHCP ha una priorità più elevata rispetto a IP Source Guard. Vale a dire, quando applichiamo DHCP Snooping e IP Source Guard contemporaneamente, tutti i dispositivi, anche quelli non attendibili, possono ancora ottenere l'indirizzo IP dal server DHCP anteriore e quindi inoltrare i pacchetti normalmente.

2. Se si desidera ancora utilizzare lo snooping DHCP e IP Source Guard contemporaneamente, è necessario limitare l'allocazione IP nel server DHCP anteriore per assicurarsi che solo i dispositivi legali possano ottenere l'indirizzo IP.

Possiamo utilizzare il Manual Binding e la scansione ARP singolarmente o simultaneamente.

Qui riportiamo i due metodi:

1. Manual Binding

Vai a Network Security-->IP-MAC Binding -->Manual Binding

 

Come mostrato nella figura, inseriamo il nome host, l'indirizzo IP, l'indirizzo MAC, l'ID VLAN e scegliamo il tipo di protezione come IP Source Guard e selezioniamo la porta a cui l'host A si connette e poi facciamo clic su Bind per salvare.

2. Scansione ARP

Connetti tutti i tuoi dispositivi allo switch e poi vai su Network Security-->IP-MAC Binding --> ARP Scanning

  

Indica l'intervallo di indirizzi IP e VLAN da scansionare, qui prendiamo 192.168.1.1 ~ 192.168.1.254 e VLAN 1 come esempio, dovresti riempire lo spazio vuoto secondo il tuo scenario reale.

Dopo la scansione, tutti i dispositivi nell'intervallo verranno visualizzati nella tabella, scegliere le voci che si desidera associare e selezionare il tipo di protezione come IP Source Guard, poi fare clic su Applica per salvare.

 

Passo 3: abilitare IP Source Guard

Vai su Network Security--> IP Source Guard

Seleziona le porte a cui desideri applicare IP Source Guard e scegli il Tipo di sicurezza come SIP o SIP + MAC.

Nota:

1. IP Source Guard non può essere abilitato per i membri LAG.

2. Se si sceglie SIP, possono essere elaborati solo i pacchetti con l'indirizzo IP di origine e il numero di porta corrispondenti alle regole di associazione IP-MAC; Se si sceglie SIP + MAC, è possibile elaborare solo i pacchetti con l'indirizzo IP di origine, il numero di porta e l'indirizzo MAC di origine corrispondenti alle regole di associazione IP-MAC.

Test: possiamo usare il comando Ping per testare la connessione nei dispositivi sconosciuti come mostrato nella figura sotto.

Prima di abilitare IP Source Guard:

Dopo aver abilitato IP Source Guard:

 

 

Questa faq è utile?

Your feedback helps improve this site.

From United States?

Get products, events and services for your region.

Vai Other Option

Questo sito utilizza i cookies per migliorare l'esperienza di navigazione, analizzare le attività online e offrire agli utenti una migliore user experience. Puoi disattivare o rifiutare il loro utilizzo in qualunque momento. Per maggiori informazioni consulta la nostra privacy policy .

Questo sito utilizza i cookies per migliorare l'esperienza di navigazione, analizzare le attività online e offrire agli utenti una migliore user experience. Puoi disattivare o rifiutare il loro utilizzo in qualunque momento. Per maggiori informazioni consulta la nostra privacy policy .

Basic Cookies

Questi cookies sono necessari per il corretto funzionamento del sito e non possono essere disattivati nel tuo sistema.

TP-Link

accepted_local_switcher, tp_privacy_base, tp_privacy_marketing, tp_smb-select-product_scence, tp_smb-select-product_scenceSimple, tp_smb-select-product_userChoice, tp_smb-select-product_userChoiceSimple, tp_smb-select-product_userInfo, tp_smb-select-product_userInfoSimple, tp_top-banner, tp_popup-bottom, tp_popup-center, tp_popup-right-middle, tp_popup-right-bottom, tp_productCategoryType

Livechat

__livechat, __lc2_cid, __lc2_cst, __lc_cid, __lc_cst, CASID

Youtube

id, VISITOR_INFO1_LIVE, LOGIN_INFO, SIDCC, SAPISID, APISID, SSID, SID, YSC, __Secure-1PSID, __Secure-1PAPISID, __Secure-1PSIDCC, __Secure-3PSID, __Secure-3PAPISID, __Secure-3PSIDCC, 1P_JAR, AEC, NID, OTZ

Analytics e Marketing Cookies

I cookies analitici ci permettono di analizzare le tue attività sul nostro sito allo scopo di migliorarne le funzionalità.

I marketing cookies possono essere impostati sul nostro sito dai nostri partner pubblicitari allo scopo di creare un profilo di tuo interesse e proporti contenuti pubblicitari rilevanti su altri siti.

Google Analytics & Google Tag Manager

_gid, _ga_<container-id>, _ga, _gat_gtag_<container-id>

Google Ads & DoubleClick

test_cookie, _gcl_au

Meta Pixel

_fbp

Crazy Egg

cebsp_, _ce.s, _ce.clock_data, _ce.clock_event, cebs

Hotjar

OptanonConsent, _sctr, _cs_s, _hjFirstSeen, _hjAbsoluteSessionInProgress, _hjSessionUser_14, _fbp, ajs_anonymous_id, _hjSessionUser_<hotjar-id>, _uetsid, _schn, _uetvid, NEXT_LOCALE, _hjSession_14, _hjid, _cs_c, _scid, _hjAbsoluteSessionInProgress, _cs_id, _gcl_au, _ga, _gid, _hjIncludedInPageviewSample, _hjSession_<hotjar-id>, _hjIncludedInSessionSample_<hotjar-id>

Linkedin

lidc, AnalyticsSyncHistory, UserMatchHistory, bcookie, li_sugr, ln_or