了解交换机上端口安全的 IP 源保护
以太网 LAN 交换机容易受到涉及欺骗(伪造)源 IP 地址或源 MAC 地址的攻击。您可以使用 IP 源保护访问端口安全功能来减轻这些攻击的影响。
IP 地址欺骗
接入接口上的主机可以通过向交换机发送包含无效地址的数据包来欺骗源 IP 地址和源 MAC 地址。此类攻击与其他技术(如 TCP SYN 泛滥攻击)相结合,可能会导致拒绝服务 (DoS) 攻击。通过源 IP 地址或源 MAC 地址欺骗,系统管理员无法识别攻击源。攻击者可以欺骗同一子网或不同子网上的地址。
IP 源保护的工作原理
IP 源保护检查从连接到交换机上不受信任接入接口的主机发送的每个数据包。将根据存储在 DHCP 侦听数据库中的条目检查与主机关联的 IP 地址、MAC 地址、VLAN 和接口。如果数据包标头与 DHCP 侦听数据库中的有效条目不匹配,交换机将不会转发数据包,即数据包将被丢弃。
如果交换机使用的 EX 系列版 Junos OS 支持增强型第 2 层软件 (ELS) 配置样式,则在 VLAN 上启用 IP 源保护时,将自动启用 DHCP 侦听。请参阅配置 IP 源保护 (ELS)。
如果您的交换机使用 EX 系列的 Junos OS,但不支持增强型第 2 层软件 (ELS) 配置样式,并且在 VLAN 上启用了 IP 源保护,则还必须在该 VLAN 上显式启用 DHCP 侦听。否则,默认值“无 DHCP 侦听”将应用于 VLAN。请参阅配置 IP 源保护(非 ELS)。
IP 源保护检查从这些 VLAN 上不受信任的接入接口发送的数据包。默认情况下,接入接口不受信任,中继接口受信任。IP 源保护不会检查连接到可信接口的设备发送到交换机的数据包,以便 DHCP 服务器可以连接到该接口以提供动态 IP 地址。
在 EX9200 交换机上,您可以将中继接口 untrusted
设置为支持 IP 源保护。
IPv6 源保护
IPv6 源保护在支持 DHCPv6 侦听的交换机上可用。要确定交换机是否支持 DHCPv6 侦听,请参阅 功能浏览器。
DHCP 侦听表
IP 源保护从 DHCP 侦听表(也称为 DHCP 绑定表)中获取有关 IP 地址到 MAC 地址绑定(IP-MAC 绑定)的信息。DHCP 侦听表通过动态 DHCP 侦听或通过配置特定的静态 IP 地址到 MAC 地址绑定来填充。有关 DHCP 侦听表的详细信息,请参阅了解 DHCP 侦听 (ELS)。
要显示 DHCP 侦听表,请发出交换机 CLI 中显示的操作模式命令。
对于 DHCP 侦听:
(适用于非 ELS 交换机)
show ip-source-guard
(仅限 ELS 交换机)
show dhcp-security binding
对于 DHCPv6 侦听:
(适用于非 ELS 交换机)
show dhcpv6 snooping binding
(仅限 ELS 交换机)
show dhcp-security ipv6 binding
其他带 IP 源保护的 Junos OS 功能的典型用法
您可以使用各种其他端口安全功能配置 IP 源保护,包括:
VLAN 标记(用于语音 VLAN)
GRES(平稳路由引擎切换)
虚拟机箱 配置
链路聚合组 (LAG)
在单请求方、单安全请求方或多请求方模式下进行 802.1X 用户身份验证。
注意:在单一安全请求方或多请求方模式下实施 801.X 用户身份验证时,请使用以下配置准则:
如果 802.1X 接口是未标记的基于 MAC 的 VLAN 的一部分,并且您希望在该 VLAN 上启用 IP 源保护和 DHCP 侦听,则必须在该接口具有未标记成员资格的所有动态 VLAN 上启用 IP 源保护和 DHCP 侦听。这也适用于 IPv6 源保护和 DHCPv6 侦听。
如果 802.1X 接口是基于 MAC 的标记 VLAN 的一部分,并且您希望在该 VLAN 上启用 IP 源保护和 DHCP 侦听,则必须在该接口已标记成员资格的所有动态 VLAN 上启用 IP 源保护和 DHCP 侦听。这也适用于 IPv6 源保护和 DHCPv6 侦听。