Come bloccare dispositivi sconosciuti per accedere allo switch utilizzando IP Source Guard

User Application Requirement
Updated 03-17-2021 11:39:48 AM FAQ view icon77975
This Article Applies to: 

Introduzione:

IP Source Guard consente di filtrare i pacchetti IP in base alle voci di IP-MAC Binding. È possibile elaborare solo i pacchetti abbinati alle regole di IP-MAC Binding, che possono migliorare l'utility della larghezza di banda e la sicurezza della rete. In alcune situazioni, i clienti potrebbero voler limitare i dispositivi sconosciuti a unirsi alla rete esistente. Possiamo utilizzare IP Source Guard e IP-MAC Binding per raggiungere questo requisito.

Scenario applicativo:


   

Come mostrato nella figura sopra, supponiamo che l'host A sia un PC legale che può accedere allo switch. E quando un dispositivo sconosciuto vuole unirsi alla rete, verrà bloccato. Questo articolo spiegherà come raggiungere questo requisito utilizzando IP Source Guard e IP-MAC Binding, prendendo T3700G-28TQ come esempio.

 

Step di configurazione:

1. Designare un IP statico per i dispositivi o ottenere automaticamente l'IP dal server DHCP.

2. Binding IP-MAC

3. Abilita IP Source Guard

 

Ecco i passi di configurazione dettagliati:

Passo 1: è possibile designare un indirizzo IP statico per i dispositivi o consentire loro di ottenere automaticamente l'indirizzo IP dal server DHCP anteriore. Ma in questa situazione, ti consigliamo di designare manualmente un indirizzo IP statico per i tuoi dispositivi.

Passo2: Binding IP-MAC

Per abilitare IP Source Guard, dovremmo prima creare voci di binding IP-MAC. La funzione Binding IP-MAC consente di associare insieme l'indirizzo IP, l'indirizzo MAC, l'ID VLAN e la porta dell'host collegata. Esistono tre metodi per creare voci di Binding IP-MAC: Binding manuale, scansione ARP e snooping DHCP.

Nota:

1. In questo scenario applicativo, non è possibile utilizzare lo snooping DHCP, poiché lo snooping DHCP ha una priorità più elevata rispetto a IP Source Guard. Vale a dire, quando applichiamo DHCP Snooping e IP Source Guard contemporaneamente, tutti i dispositivi, anche quelli non attendibili, possono ancora ottenere l'indirizzo IP dal server DHCP anteriore e quindi inoltrare i pacchetti normalmente.

2. Se si desidera ancora utilizzare lo snooping DHCP e IP Source Guard contemporaneamente, è necessario limitare l'allocazione IP nel server DHCP anteriore per assicurarsi che solo i dispositivi legali possano ottenere l'indirizzo IP.

Possiamo utilizzare il Manual Binding e la scansione ARP singolarmente o simultaneamente.

Qui riportiamo i due metodi:

1. Manual Binding

Vai a Network Security-->IP-MAC Binding -->Manual Binding

 

Come mostrato nella figura, inseriamo il nome host, l'indirizzo IP, l'indirizzo MAC, l'ID VLAN e scegliamo il tipo di protezione come IP Source Guard e selezioniamo la porta a cui l'host A si connette e poi facciamo clic su Bind per salvare.

2. Scansione ARP

Connetti tutti i tuoi dispositivi allo switch e poi vai su Network Security-->IP-MAC Binding --> ARP Scanning

  

Indica l'intervallo di indirizzi IP e VLAN da scansionare, qui prendiamo 192.168.1.1 ~ 192.168.1.254 e VLAN 1 come esempio, dovresti riempire lo spazio vuoto secondo il tuo scenario reale.

Dopo la scansione, tutti i dispositivi nell'intervallo verranno visualizzati nella tabella, scegliere le voci che si desidera associare e selezionare il tipo di protezione come IP Source Guard, poi fare clic su Applica per salvare.

 

Passo 3: abilitare IP Source Guard

Vai su Network Security--> IP Source Guard

Seleziona le porte a cui desideri applicare IP Source Guard e scegli il Tipo di sicurezza come SIP o SIP + MAC.

Nota:

1. IP Source Guard non può essere abilitato per i membri LAG.

2. Se si sceglie SIP, possono essere elaborati solo i pacchetti con l'indirizzo IP di origine e il numero di porta corrispondenti alle regole di associazione IP-MAC; Se si sceglie SIP + MAC, è possibile elaborare solo i pacchetti con l'indirizzo IP di origine, il numero di porta e l'indirizzo MAC di origine corrispondenti alle regole di associazione IP-MAC.

Test: possiamo usare il comando Ping per testare la connessione nei dispositivi sconosciuti come mostrato nella figura sotto.

Prima di abilitare IP Source Guard:

Dopo aver abilitato IP Source Guard:

 

 

Questa faq è utile?

Your feedback helps improve this site.