Port Security IP source-guard Junos

Home » Blog » Configuration Template » Juniper » Port Security IP source-guard Junos

Port Security IP source-guard Junos

07.02 2024 | by massimiliano

IP Source Guard è una tecnica per controllare il source IP e MAC addresses in un pacchetto che entra attraverso […]



IP Source Guard è una tecnica per controllare il source IP e MAC addresses in un pacchetto che entra attraverso una porta di tipo untrusted access e le informazioni del DHCP snopping database.

Se IP Source Guarda determina che il pacchetto contiene un indirizzo invalido (sia esso IP oppure MAC), lo switch non trasmette il pacchetto ma lo scarta.

E’ possibile abilitare il IP Source Guard per una o più vlans.

Di default le porte in access sono definite untrusted, mentre le porte in trunk sono considerate trusted (EX series switch).

Esempio di configurazione:

set ethernet-switching-options secure-access-port interface ge-0/0/6.0 dhcp-trusted

set ethernet-switching-options secure-access-port vlan default examine-dhcp

set ethernet-switching-options secure-access-port vlan default ip-source-guard  # in questo caso l’ip-source-guard è abilitato per la vlan di default

In caso uno switch non dovesse supportare DHCP, è necessario definire una static entry per il DHCP snooping database:

set ethernet-switching-options secure-access-port interface ge-0/0/6.0 static-ip 192.168.1.4 vlan default mac 00:26:88:02:74:89;

set ethernet-switching-options secure-access-port vlan default examine-dhcp;

set ethernet-switching-options secure-access-port vlan default ip-source-guard

Verifica:

show dhcp snooping binding

show ip-source-guard

Torna in alto