Отправить запрос

    Отправить запрос

    Внимание! Если у вас вопрос в техническую поддержку, то вам нужно завести заявку в разделе технической поддержки

    Настройка IP Source Guard на коммутаторах QSW-4600/6200/6510

    IP Source Guard это механизм коммутатора, который ограничивает прохождение трафика через интерфейс коммутатора, если он не входит в таблицу привязок DHCP Snoping или не указан статически.

    Для понимания, если у Вас настроен IP Source Guard  то ПК не сможет взаимодействовать с сетью пока он не получит адрес по DHCP или его IP+MAC адрес не будет включен в статическую таблицу.

    Настраивается IP Source Guard следующим образом

     1) Нам необходимо настроить DHCP Snoping

    Для этого в режиме конфигурации необходимо включить DHCP Snoping и указать доверенный интерфейс для DHCP Snooping trust
     QTECH#conf
     Enter configuration commands, one per line. End with CNTL/Z.
     QTECH(config)#ip dhcp snooping
     QTECH(config)#interface gigabitEthernet 0/2
     QTECH(config-if-GigabitEthernet 0/2)#ip dhcp snooping trust
    

    После чего необходимо проверить работу DHCP Snooping, заполняется ли табличка соответствия. Сделать это можно введя команду.
    QTECH#show ip dhcp snooping binding
    DHCP Snoping binding.png

    Если все работает, то можно приступать непосредственно к настройке IP Source Guard. Иначе трафик проходящий через коммутатор в выбранных портах будет заблокирован.

    IP Source Guard, настраивается на порту коммутатора. Имеет два режима работы.

    1) Контролирует только IP адрес
    QTECH(config-if-GigabitEthernet 0/1)# ip verify source
    2) Контролирует что бы соответствовал не только IP но и MAC из таблицы DHCP Snooping
    QTECH(config-if-GigabitEthernet 0/1)# ip verify source port-security
    

    IP Source Guard может применяться как на access порты к абонентам, так и на trunk.

    Но при использовании на Trunk порту может возникнуть ситуация, при которой, на части Vlan будет требоваться контролировать IP+MAC источника, а на части нет.
    Для этой ситуации есть возможность сделать исключение из контролируемых VLAN. Делается это следующей командой.

    ! Пример для исключения Vlan3
    QTECH(config-if-GigabitEthernet 0/1)#ip verify source exclude-vlan 3
    Так же, в случае когда за контролируемым портом есть хост статическим IP, бывает необходимо задать его вручную. Делается это следующей командой.
    QTECH(config)#ip source binding 0026.c79f.6e4c vlan 1 10.10.254.99 interface GigabitEthernet 0/1
    То есть
     ip source binding (MAC Устройства в виде H.H.H) vlan (Номер Vlan) (IP адрес хоста) interface (Указание интерфейса за которым находится хост) 


    Смотрите так же
    Для данной линейки коммутаторов, если у вас появилась необходимость организовать динамически назначаемый Voice Vlan, вам необходимо Разрешить получение LLDP информации. Создать Voice vlan перевести порт в режим работы Trunk Проверить что на порту разрешено LLDP Указать Voice Vlan на пор...
    Vlan-translation VLAN-translation - это функция, которая позволяет преобразовать тэг VLAN пакета в новый в соответствии с требованиями. Это позволяет обмениваться данными в разных VLAN. VLAN-translation может быть использован на обоих направлениях трафика. Ниж...
    Виртуальное тестирование кабеля(VCT) на коммутаторах QSW-2850/3470/4610 Virtual Cable Tester. Функция коммутатора, благодаря которой можно провести виртуальный тест медного кабеля.  Для ввода команды, переходим в привилегированный режим. (enable ) Далее вводим команду:  ...

    К списку