Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

了解交换机上端口安全的 IP 源保护

以太网 LAN 交换机容易受到涉及来源 IP 地址或源 MAC 地址欺骗(伪造)的攻击。您可以使用 IP 源保护访问端口安全功能来减轻这些攻击的影响。

IP 地址欺骗

接入接口上的主机可欺骗源 IP 地址和源 MAC 地址,方法是将交换机中包含无效地址的数据包泛洪。此类攻击与 TCP SYN 泛洪攻击等其他技术相结合,可能导致拒绝服务 (DoS) 攻击。通过源 IP 地址或源 MAC 地址欺骗,系统管理员无法识别攻击源。攻击者可以在同一子网或不同子网上欺骗地址。

IP 源保护的工作原理

IP 源保护检查从连接到交换机上不可信访问接口的主机发送的每个数据包。IP 地址、MAC 地址、VLAN 和与主机关联的接口将根据 DHCP 侦听数据库中存储的条目进行检查。如果数据包标头与 DHCP 侦听数据库中的有效条目不符,交换机将不会转发数据包,也就是说,数据包将被丢弃。

注意:

  • 如果您的交换机使用支持增强型第 2 层软件 (ELS) 配置样式的 EX 系列 Junos OS,则当您在 VLAN 上启用 IP 源保护时,将自动启用 DHCP 侦听。请参阅 配置 IP 源保护 (ELS)

  • 如果您的交换机在不支持增强型第 2 层软件 (ELS) 配置样式的情况下对 EX 系列使用 Junos OS,并且您在 VLAN 上启用 IP 源保护,还必须明确启用对该 VLAN 的 DHCP 侦听。否则,无 DHCP 侦听的默认值适用于 VLAN。请参阅 配置 IP 源保护(非 ELS)

IP 源保护检查从这些 VLAN 上不受信任的访问接口发送的数据包。默认情况下,接入接口不受信任,中继接口可信。IP 源保护不会检查连接到可信接口的设备发送到交换机的数据包,以便 DHCP 服务器可连接到该接口以提供动态 IP 地址。

注意:

在 EX9200 交换机上,您可以设置一个中继接口 untrusted ,使其支持 IP 源保护。

IPv6 源保护

支持 DHCPv6 侦听的交换机上提供 IPv6 源保护。要确定交换机是否支持 DHCPv6 侦听,请参阅 功能探索器

DHCP 侦听表

IP 源保护从 DHCP 侦听表(也称为 DHCP 绑定表)获取有关 IP 地址到 MAC 地址绑定(IP-MAC 绑定)的信息。DHCP 侦听表通过动态 DHCP 侦听或特定静态 IP 地址配置到 MAC 地址绑定填充。有关 DHCP 侦听表的详细信息,请参阅 了解 DHCP 侦听 (ELS)

要显示 DHCP 侦听表,请发出显示在交换机 CLI 中的操作模式命令。

对于 DHCP 侦听:

对于 DHCPv6 侦听:

具有 IP 源保护的其他 Junos OS 功能的典型用途

您可以使用各种其他端口安全功能配置 IP 源保护,包括:

  • VLAN 标记(用于语音 VLAN)

  • GRES(平滑路由引擎切换

  • 虚拟机箱 配置

  • 链路聚合组 (LAG)

  • 单请求方、单安全请求方或多请求模式中的 802.1X 用户身份验证。

    注意:

    在单安全请求方或多请求模式下实施 801.X 用户身份验证时,请使用以下配置准则:

    • 如果 802.1X 接口是基于 MAC 的未标记 VLAN 的一部分,并且您想要在该 VLAN 上启用 IP 源保护和 DHCP 侦听,则必须在接口具有未标记成员资格的所有动态 VLAN 上启用 IP 源保护和 DHCP 侦听。这也适用于 IPv6 源保护和 DHCPv6 侦听。

    • 如果 802.1X 接口是基于 MAC 的标记 VLAN 的一部分,并且您想要在该 VLAN 上启用 IP 源保护和 DHCP 侦听,则必须在接口已标记成员资格的所有动态 VLAN 上启用 IP 源保护和 DHCP 侦听。这也适用于 IPv6 源保护和 DHCPv6 侦听。

相关文档