Отправить запрос

    Отправить запрос

    Внимание! Если у вас вопрос в техническую поддержку, то вам нужно завести заявку в разделе технической поддержки

    Настройка IP Source Guard на коммутаторах QSW-2850/3470/4610

    IP Source Guard это механизм коммутатора, который ограничивает прохождение трафика через интерфейс коммутатора, если он не входит в таблицу привязок DHCP Snoping или не указан статически.

    Для понимания, если у Вас настроен IP Source Guard то ПК не сможет взаимодействовать с сетью пока он не получит адрес по DHCP или его IP+MAC адрес не будет включен в статическую таблицу.

    Настраивается IP Source Guard следующим образом

    1) Нам необходимо настроить DHCP Snoping

    Для этого в режиме конфигурации необходимо включить DHCP Snoping и указать доверенный интерфейс для DHCP Snooping trust

    QSW-2850-28T-AC#config 
    QSW-2850-28T-AC(config)#ip dhcp snooping enable
    QSW-2850-28T-AC(config)#ip dhcp snooping vlan 10
    QSW-2850-28T-AC(config)#ip dhcp snooping binding enable
    QSW-2850-28T-AC(config)#vlan 1-4094 
    QSW-2850-28T-AC(config)#Interface Ethernet1/0/1
    QSW-2850-28T-AC(config-if-ethernet1/0/1)# switchport access vlan 10
    Set the port Ethernet1/0/1 access vlan 10 successfully
    QSW-2850-28T-AC(config)#Interface Ethernet1/0/24
    QSW-2850-28T-AC(config-if-ethernet1/0/24)# switchport mode trunk
    Set the port Ethernet1/0/24 mode Trunk successfully
    QSW-2850-28T-AC(config-if-ethernet1/0/24)# ip dhcp snooping trust
    
    После чего необходимо проверить работу DHCP Snooping, заполняется ли табличка соответствия. Сделать это можно введя команду.

    show  ip dhcp snooping binding all 
    
    1.png
    Если все работает, то можно приступать непосредственно к настройке IP Source Guard. Иначе трафик проходящий через коммутатор в выбранных портах будет заблокирован.

    QSW-2850-28T-AC#config 
    QSW-2850-28T-AC(config)#Interface Ethernet1/0/1
    QSW-2850-28T-AC(config-if-ethernet1/0/1)#ip dhcp snooping binding user-control
    IP Source Guard может применяться как на access порты к абонентам, так и на trunk.
    Но при использовании на Trunk порту может возникнуть ситуация, при которой, на части Vlan будет требоваться использовать IP Soure Guard, а на части нет.
    Для этого в команде на порту необходимо перечислить все Vlan на которых IP Source Guard должен работать

    QSW-2850-28T-AC(config-if-ethernet1/0/26)#switchport mode  trunk 
    Set the port Ethernet1/0/26 mode Trunk successfully
    QSW-2850-28T-AC(config-if-ethernet1/0/26)#ip dhcp snooping binding user-control vlan 10,15

    Так же, в случае когда за контролируемым портом есть хост статическим IP, бывает необходимо задать его вручную. Делается это следующей командой.

    QSW-2850-28T-AC(config)#ip dhcp snooping binding user 54-ab-3a-f7-0d-cf address 10.10.254.7 vlan 10 interface Ethernet1/0/1

    То есть

     ip dhcp snooping binding user (MAC Устройства ) address  (IP адрес хоста) vlan Номер Vlan interface  (Указание интерфейса за которым находится хост) 



    Смотрите так же
    Для данной линейки коммутаторов, если у вас появилась необходимость организовать динамически назначаемый Voice Vlan, вам необходимо Разрешить получение LLDP информации. Создать Voice vlan перевести порт в режим работы Trunk Проверить что на порту разрешено LLDP Указать Voice Vlan на пор...
    Vlan-translation VLAN-translation - это функция, которая позволяет преобразовать тэг VLAN пакета в новый в соответствии с требованиями. Это позволяет обмениваться данными в разных VLAN. VLAN-translation может быть использован на обоих направлениях трафика. Ниж...
    Виртуальное тестирование кабеля(VCT) на коммутаторах QSW-2850/3470/4610 Virtual Cable Tester. Функция коммутатора, благодаря которой можно провести виртуальный тест медного кабеля.  Для ввода команды, переходим в привилегированный режим. (enable ) Далее вводим команду:  ...

    К списку