Exemplo: Proteção contra spoofing de endereços e ataques do DoS de Camada 2
Você pode configurar a espionagem DHCP, a inspeção dinâmica de ARP (DAI) e a limitação de MAC nas interfaces de acesso de um switch para proteger o switch e a LAN Ethernet contra spoofing de endereços e ataques de negação de serviço (DoS) de Camada 2. Para obter as configurações básicas para esses recursos, você pode usar a configuração padrão do switch para segurança de porta, configurar o limite MAC e habilitar a espionagem DHCP e DAI em uma VLAN. Você pode configurar esses recursos quando o servidor DHCP está conectado a um switch que é diferente daquele ao qual os clientes DHCP (dispositivos de rede) estão conectados.
Este exemplo descreve como configurar recursos de segurança de porta em um switch cujos hosts obtêm endereços IP e tempos de locação de um servidor DHCP conectado a um segundo switch:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um switch da Série EX ou switch QFX3500 — Switch 1 neste exemplo.
Outro switch da Série EX ou switch QFX3500 — Switch 2 neste exemplo. Você não configura a segurança de porta neste segundo switch.
Junos OS Versão 9.0 ou posterior para switches da Série EX ou Junos OS Versão 12.1 ou posterior para a Série QFX.
Um servidor DHCP conectado ao Switch 2. Você usa o servidor para fornecer endereços IP a dispositivos de rede conectados ao Switch 1.
Pelo menos dois dispositivos de rede (hosts) que você conecta a interfaces de acesso no Switch 1. Esses dispositivos são clientes DHCP.
Antes de configurar a espionagem dhcp, DAI e MAC limitando recursos de segurança de porta, certifique-se de ter:
Conectou o servidor DHCP ao Switch 2.
Configurou uma VLAN no Switch 1. Veja a tarefa para sua plataforma:
Visão geral e topologia
As LANs Ethernet são vulneráveis a ataques de spoofing e DoS em dispositivos de rede. Para proteger os dispositivos contra esses ataques, você pode configurar:
Espionagem DHCP para validar mensagens de servidor DHCP
DAI para proteger contra spoofing de ARP
LIMITAÇÃO MAC para restringir o número de endereços MAC que o switch adiciona ao seu cache de endereço MAC
Este exemplo mostra como configurar esses recursos de segurança de porta no Switch 1. O Switch 1 está conectado a outro switch (Switch 2), que não está configurado com recursos de segurança de porta. O switch 2 está conectado a um servidor DHCP (ver Figura 1.) Os dispositivos de rede (hosts) conectados ao Switch 1 enviam solicitações de endereços IP (esses dispositivos de rede são clientes DHCP). Essas solicitações são transmitidas do Switch 1 para o Switch 2 e depois para o servidor DHCP conectado ao Switch 2. As respostas às solicitações são transmitidas ao longo do caminho inverso do seguido pelas solicitações.
A configuração para este exemplo inclui a VLAN employee-vlan
em ambos os switches.
A Figura 1 mostra a topologia da rede, por exemplo.
Topologia

Os componentes da topologia para este exemplo são mostrados na Tabela 1.
Configurações de propriedades | |
---|---|
Hardware do switch |
Um switch da Série EX ou um switch QFX3500 (Switch 1) e outro switch da Série EX ou switch de QFX3500 (Switch 2) |
Nome e ID da VLAN |
|
Sub-redes VLAN |
|
Interface de tronco em ambos os switches |
ge-0/0/11 |
Interfaces de acesso no Switch 1 |
ge-0/0/1, ge-0/0/2 e ge-0/0/3 |
Interface de acesso no Switch 2 |
ge-0/0/1 |
Interface para servidor DHCP |
ge-0/0/1 no Switch 2 |
O Switch 1 está configurado inicialmente com a configuração padrão de segurança da porta. Na configuração padrão do switch:
O acesso seguro de porta é ativado no switch.
O switch não descarta nenhum pacote, que é a configuração padrão.
A espionagem DHCP e o DAI são desativados em todas as VLANs.
Todas as interfaces de acesso são não confiáveis e as interfaces de tronco são confiáveis; estas são as configurações padrão.
Nas tarefas de configuração para este exemplo, você configura uma VLAN em ambos os switches.
Além de configurar a VLAN, você habilita a espionagem DHCP no Switch 1. Neste exemplo, você também habilita o DAI e um limite MAC do 5
Switch 1.
Como a interface que conecta o Switch 2 ao Switch 1 é uma interface de tronco, você não precisa configurar essa interface para ser confiável. Como observado acima, as interfaces de tronco são automaticamente confiáveis, de modo que as mensagens DHCP vindas do servidor DHCP para o Switch 2 e depois para o Switch 1 são confiáveis.
Configurando uma VLAN, interfaces e recursos de segurança de porta no Switch 1
Procedimento
Configuração rápida da CLI
Para configurar rapidamente uma VLAN, interfaces e recursos de segurança de porta, copie os seguintes comandos e cole-os na janela de terminal do switch:
[edit] set vlans employee-vlan vlan-id 20 set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members 20 set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members 20 set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members 20 set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members 20 set ethernet-switching-options secure-access-port interface ge-0/0/1 mac-limit 5 action drop set ethernet-switching-options secure-access-port vlan employee-vlan arp-inspection set ethernet-switching-options secure-access-port vlan employee-vlan examine-dhcp clear ethernet-switching table interface ge-0/0/1
Procedimento passo a passo
Para configurar o limite de MAC, uma VLAN e interfaces no Switch 1 e habilitar DAI e DHCP na VLAN:
Configure a VLAN
employee-vlan
com o VLAN ID20
:[edit vlans] user@switch1# set employee-vlan vlan-id 20
Configure uma interface no Switch 1 como uma interface de tronco:
[edit interfaces] user@switch1# set ge-0/0/11 unit 0 family ethernet-switching port-mode trunk
Associe o VLAN com interfaces ge-0/0/1, ge-0/0/2, ge-0/0/3 e ge-0/0/11:
[edit interfaces] user@switch1# set ge-0/0/1 unit 0 family ethernet-switching vlan members 20 user@switch1# set ge-0/0/2 unit 0 family ethernet-switching vlan members 20 user@switch1# set ge-0/0/3 unit 0 family ethernet-switching vlan members 20 user@switch1# set ge-0/0/11 unit 0 family ethernet-switching vlan members 20
Habilite a espionagem do DHCP na VLAN:
[edit ethernet-switching-options secure-access-port] user@switch1# set vlan employee-vlan examine-dhcp
Habilite o DAI na VLAN:
[edit ethernet-switching-options secure-access-port] user@switch1# set vlan employee-vlan arp-inspection
Configure um limite MAC de
5
ge-0/0/1 e use a ação padrão,drop
(pacotes com novos endereços são descartados se o limite for excedido):[edit ethernet-switching-options secure-access-port] user@switch1# set interface ge-0/0/1 mac-limit 5 drop
Libere as entradas existentes da tabela de endereços MAC da interface ge-0/0/1:
user@switch1# clear ethernet-switching table interface ge-0/0/1
Resultados
Exibir os resultados da configuração:
[edit] user@switch1# show ethernet-switching-options { secure-access-port { interface ge-0/0/1.0{ mac-limit 5 action drop; } vlan employee-vlan { arp-inspection; examine-dhcp; } } } interfaces { ge-0/0/1 { unit 0 { family ethernet-switching { vlan { members 20; } } } } ge-0/0/2 { unit 0 { family ethernet-switching { vlan { members 20; } } } } ge-0/0/3 { unit 0 { family ethernet-switching { vlan { port-mode trunk; members 20; } } } } ge-0/0/11 { unit 0 { family ethernet-switching { port-mode trunk; vlan { members 20; } } } } } vlans { employee-vlan { vlan-id 20; } }
Configurando uma VLAN e interfaces no Switch 2
Para configurar a VLAN e as interfaces no Switch 2:
Procedimento
Configuração rápida da CLI
Para configurar rapidamente a VLAN e as interfaces no Switch 2, copie os seguintes comandos e cole-os na janela de terminal do switch:
[edit] set vlans employee-vlan vlan-id 20 set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members 20 set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members 20
Procedimento passo a passo
Para configurar a VLAN e as interfaces no Switch 2:
Configure a VLAN
employee-vlan
com o VLAN ID20
:[edit vlans] user@switch1# set employee-vlan vlan-id 20
Configure uma interface no Switch 2 como uma interface de tronco:
[edit interfaces] user@switch2# set ge-0/0/11 unit 0 ethernet-switching port-mode trunk
Associe o VLAN com interfaces ge-0/0/1 e ge-0/0/11:
[edit interfaces] user@switch2# set ge-0/0/1 unit 0 family ethernet-switching vlan members 20 user@switch2# set ge-0/0/11 unit 0 family ethernet-switching vlan members 20
Resultados
Exibir os resultados da configuração:
[edit] user@switch2# show interfaces { ge-0/0/1 { unit 0 { family ethernet-switching { vlan { members 20; } } } } ge-0/0/11 { unit 0 { family ethernet-switching { port-mode trunk; vlan { members 20; } } } } } vlans { employee-vlan { vlan-id 20; } }
Verificação
Para confirmar que a configuração está funcionando corretamente.
- Verificar se a snooping do DHCP está funcionando corretamente no Switch 1
- Verificar se a DAI está funcionando corretamente no Switch 1
- Verificar se a limitação do MAC está funcionando corretamente no Switch 1
Verificar se a snooping do DHCP está funcionando corretamente no Switch 1
Propósito
Verifique se a espionagem de DHCP está funcionando no Switch 1.
Ação
Envie algumas solicitações de DHCP de dispositivos de rede (aqui eles são clientes DHCP) conectados ao switch.
emite o comando show dhcp snooping binding de modo operacional para exibir as informações de espionagem DHCP quando a interface pela qual o Switch 2 envia o servidor DHCP responde aos clientes conectados ao Switch 1 é confiável. O servidor forneceu os endereços IP e leasings:
user@switch1> show dhcp snooping binding DHCP Snooping Information: MAC Address IP Address Lease Type VLAN Interface ----------------- ---------- ----- ---- ---- --------- 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:90 192.0.2.20 932 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:91 192.0.2.21 1230 dynamic employee—vlan ge-0/0/3.0
Significado
A saída mostra, para cada endereço MAC, o endereço IP atribuído e o tempo de locação — ou seja, o tempo, em segundos, permanecendo antes da expiração do leasing.
Verificar se a DAI está funcionando corretamente no Switch 1
Propósito
Verifique se a DAI está funcionando no Switch 1.
Ação
Envie algumas solicitações de ARP de dispositivos de rede conectados ao switch.
Emita o comando show arp inspection statistics do modo operacional para exibir as informações da DAI:
user@switch1> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed ---------- –-------------–- ------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 18 15 3
Significado
A saída mostra o número de pacotes ARP recebidos e inspecionados por interface, com uma lista de quantos pacotes passaram e quantos falharam na inspeção em cada interface. O switch compara as solicitações de ARP e as respostas com as entradas no banco de dados de espionagem DHCP. Se um endereço MAC ou endereço IP no pacote ARP não corresponder a uma entrada válida no banco de dados, o pacote será descartado.
Verificar se a limitação do MAC está funcionando corretamente no Switch 1
Propósito
Verifique se a limitação do MAC está funcionando no Switch 1.
Ação
Emita o comando show ethernet-switching table de modo operacional para exibir os endereços MAC que são aprendidos quando as solicitações de DHCP são enviadas dos hosts no ge-0/0/1:
user@switch1> show ethernet-switching table
Ethernet-switching table: 6 entries, 5 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/1.0 employee-vlan * Flood - ge-0/0/1.0
Significado
A saída mostra que cinco endereços MAC foram aprendidos para interface ge-0/0/1
, o que corresponde ao limite MAC do 5
conjunto na configuração. A última linha da saída mostra que uma sexta solicitação de endereço MAC foi descartada, conforme indicado pelo asterisco (*) na MAC address
coluna.