De acuerdo

Fundamentos de la función IPSG utilizada en switches de Huawei. Segunda parte

28 0 0 0 0

IPSG verifica los paquetes IP en las interfaces de Capa 2 con una tabla de enlace que contiene los enlaces de las direcciones IP de origen, las direcciones MAC de origen, las VLAN y las interfaces entrantes. Solo se reenvían los paquetes que coinciden con la tabla de vinculación y se descartan otros paquetes.

 

Roles de interfaz IPSG

IPSG solo se puede configurar en interfaces físicas de Capa 2 o en VLAN, y verifica solo los paquetes en las interfaces no confiables con IPSG habilitado. Considera que todas las interfaces no son de confianza de forma predeterminada. Las interfaces de confianza se especifican manualmente. Las interfaces IPSG confiables y no confiables también se utilizan como interfaces confiables y no confiables en el DHCP snooping y el ND snooping. Además, las interfaces confiables y no confiables también son válidas para IPSG basadas en una tabla de enlace estática.

 

La Figura 2 muestra las funciones de la interfaz IPSG:

 

l  IF1 e IF2 son interfaces que no son de confianza y tienen la función IPSG habilitada. El switch realiza una verificación IPSG en los paquetes recibidos por IF1 e IF2.

l  IF3 es una interfaz que no es de confianza y no tiene habilitada la función IPSG. El switch no realiza una verificación IPSG en los paquetes recibidos por IF3. Por tanto, IF3 es propenso a sufrir ataques.

l  IF4 es una interfaz confiable, que se configura manualmente. El switch no realiza una verificación IPSG en los paquetes recibidos por IF4; sin embargo, IF4 no es propenso a sufrir ataques. En una red con DHCP snooping configurado, las interfaces conectadas directa o indirectamente a un servidor DHCP válido generalmente se configuran como interfaces confiables.

 

Figura 1 Roles de la interfaz IPSG


switch


Filtrado IPSG

Una entrada de enlace estático o static binding entry contiene cuatro opciones: dirección MAC, dirección IP, VLAN e interfaz de entrada. IPSG comprueba los paquetes recibidos con todas las opciones en una entrada de enlace estático.

 

Una entrada de enlace dinámico o dynamic binding entry contiene las mismas cuatro opciones que una entrada de enlace estático. Puede especificar las opciones que se van a verificar e IPSG filtra los paquetes recibidos por las interfaces de acuerdo con las opciones especificadas. De forma predeterminada, IPSG compara los paquetes con las cuatro opciones. La Tabla 1 describe las comprobaciones que se realizan habitualmente. El uso de otras combinaciones es similar a las de la tabla y no se proporciona aquí.

 

Tabla 1 Filtrado IPSG


Opción

Descripción

Dirección IP origen

El switch valida las direcciones IP de origen de los paquetes y   reenvía los paquetes solo cuando las direcciones IP de origen en los paquetes   coinciden con las entradas vinculantes.

Dirección MAC de origen

El switch valida las direcciones MAC de origen de los paquetes y   reenvía los paquetes solo cuando las direcciones MAC de origen en los   paquetes coinciden con las entradas vinculantes.

Dirección IP de origen + dirección MAC de origen

El switch valida las direcciones IP y MAC de origen de los paquetes y   reenvía los paquetes solo cuando las direcciones IP y MAC de origen en los   paquetes coinciden con las entradas vinculantes.

Dirección IP de origen + dirección MAC de origen + interfaz

El switch valida las direcciones IP de origen, las direcciones MAC de   origen y las interfaces de los paquetes, y reenvía los paquetes solo cuando   las direcciones IP de origen, las direcciones MAC de origen y las interfaces   de los paquetes coinciden con las entradas vinculantes.

Dirección IP de   origen + dirección MAC de origen + interfaz + VLAN

El switch valida las direcciones IP de origen, las direcciones MAC de   origen, las interfaces y las VLAN de los paquetes, y reenvía los paquetes   solo cuando las direcciones IP de origen, las direcciones MAC de origen, las   interfaces y las VLAN de los paquetes coinciden con las entradas de enlace.

 

Saludos.

 

FIN.


También te puede interesar:

Switches de la serie S7700: Los Switches de enrutamiento inteligente de Huawei.

Introducción a las características del switch S5700 de Huawei.

Conoce los escenarios de aplicación de los switches S2700, S5700 y S6700

Compilaciones sobre mejores prácticas para la tecnologia VXLAN en switches CloudEngine de Huawei


Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de router de Huawei

Foro de seguridad de Huawei

 

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente


  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.