Sicherheit
IP Source Guard
IP Source Guard
Administratorhandbuch für Managed Switches der Serien 200, 300 und 500 von Cisco Small Business (Interne Version)
IP Source Guard ist eine Sicherheitsfunktion, mit der Sie Datenverkehrsangriffe
verhindern können, die entstehen, wenn ein Host die IP-Adresse seines Nachbarn
zu verwenden versucht.
Wenn IP Source Guard aktiviert ist, überträgt das Gerät IP-Datenverkehr von
Clients nur an IP-Adressen, die in der DHCP-Snooping-Bindungsdatenbank
enthalten sind. Dazu gehören durch DHCP-Snooping hinzugefügte Adressen
sowie manuell hinzugefügte Einträge.
Wenn das Paket einem Eintrag in der Datenbank entspricht, wird es vom Gerät
weitergeleitet. Anderenfalls wird es gelöscht.
Interaktionen mit anderen Funktionen
Die folgenden Punkte sind für IP Source Guard relevant:
•
DHCP-Snooping muss global aktiviert sein, damit IP Source Guard für eine
Schnittstelle aktiviert werden kann.
•
IP Source Guard kann nur in folgenden Fällen an einer Schnittstelle aktiv
sein:
-
DHCP-Snooping ist in mindestens einem der VLANs des Ports aktiviert.
-
Die Schnittstelle ist für DHCP nicht vertrauenswürdig. Alle Pakete an
vertrauenswürdigen Ports werden weitergeleitet.
•
Wenn ein Port für DHCP vertrauenswürdig ist, können Sie die Filterung
statischer IP-Adressen konfigurieren, obwohl IP Source Guard in diesem
Fall nicht aktiv ist. Dazu aktivieren Sie IP Source Guard an dem Port.
•
Wenn der Status des Ports von „Für DHCP nicht vertrauenswürdig" zu „Für
DHCP vertrauenswürdig" wechselt, bleiben die Einträge für die Filterung
statischer IP-Adressen als inaktive Einträge in der Bindungsdatenbank.
•
Portsicherheit kann nicht aktiviert werden, wenn Quell-IP-Filterung und
MAC-Adressfilterung an einem Port konfiguriert sind.
•
IP Source Guard verwendet TCAM-Ressourcen und erfordert eine einzige
TCAM-Regel pro IP Source Guard-Adresseintrag. Wenn die Anzahl der IP
Source Guard-Einträge die Anzahl der verfügbaren TCAM-Regeln
überschreitet, sind die überzähligen Adressen inaktiv.
21
462