Manualshelf

User Guide

ManualsBrandsCisco ManualsSwitchesCisco SF500-24MP 24-port 10 100 Max PoE+ Stackable Managed Switch
431432433434435436437438439440
Protezione
Guardia origine IP
Guida all'amministrazione degli switch gestiti stackable Cisco Small Business serie 500 430
22
Guardia origine IP
La guardia origine IP è una funzione di protezione utilizzabile per bloccare eventuali attacchi al traffico che
si possono verificare quando un host prova a utilizzare l'indirizzo IP di un host contiguo.
Se l'opzione Guardia origine IP è attivata, il dispositivo trasmette soltanto il traffico IP client agli indirizzi IP
presenti nel database di binding per snooping DHCP. Ciò include sia gli indirizzi aggiunti dallo snooping
DHCP sia le voci aggiunte manualmente.
Se il pacchetto trova corrispondenza in una voce del database, viene inoltrato dal dispositivo. In caso
contrario, viene eliminato.
Interazioni con altre funzioni
I seguenti punti trattati sono rilevanti per la guardia origine IP:
Lo snooping DHCP deve essere attivato a livello globale per consentire l'avvio della guardia origine IP
su un'interfaccia.
È possibile attivare la guardia origine IP su un'interfaccia solo se:
- lo snooping DHCP viene attivato su almeno una delle VLAN della porta;
- l'interfaccia non è attendibile per DHCP. Tutti i pacchetti sulle porte attendibili vengono inoltrati.
Se una porta è attendibile per DHCP, è possibile configurare il filtro degli indirizzi IP statici abilitando
sulla porta la guardia origine IP, anche se quest'ultima non è attiva in tale condizione.
Se lo stato della porta cambia da Non attendibile per DHCP ad Attendibile per DHCP, le voci filtro
dell'indirizzo IP statico rimangono nel database di binding, ma non sono più attive.
La sicurezza della porta non può essere attivata se il filtro dell'IP di origine e dell'indirizzo MAC viene
configurato su una porta.
La guardia origine IP sfrutta le risorse TCAM e richiede una regola TCAM singola per la voce relativa
all'indirizzo di guardia origine IP. Se il numero delle voci guardia origine IP supera il numero delle
regole TCAM disponibili, gli indirizzi supplementari sono inattivi.
Filtro
Se l'opzione Guardia origine IP è attivata su una porta:
i pacchetti DHCP concessi dallo snooping DHCP vengono consentiti.
Se il filtro di indirizzo IP di origine viene attivato:
- Traffico IPv4: è consentito solo il traffico con indirizzo IP di origine associato alla porta.
- Traffico non IPv4: consentito (inclusi i pacchetti ARP).