Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:使用其他 EX 系列交换机功能配置 IP 源保护,以减轻对不受信任接入接口的地址欺骗攻击

以太网 LAN 交换机容易受到涉及欺骗(伪造)源 IP 地址或源 MAC 地址的攻击。这些欺骗性数据包是从连接到交换机上不受信任接入接口的主机发送的。您可以在 EX 系列交换机上启用 IP 源保护端口安全功能,以减轻此类攻击的影响。如果 IP 源保护确定传入数据包中绑定中的源 IP 地址和源 MAC 地址无效,则交换机不会转发数据包。

您可以将 IP 源保护与其他 EX 系列交换机功能结合使用,以减轻对不受信任接入接口的地址欺骗攻击。此示例显示两种配置方案:

要求

此示例使用以下硬件和软件组件:

  • EX 系列交换机

  • 适用于 EX 系列交换机的 Junos OS 9.2 或更高版本

  • DHCP 服务器,用于向交换机上的网络设备提供 IP 地址

  • 提供 802.1X 身份验证的 RADIUS 服务器

在为此示例中相关的方案配置 IP 源保护之前,请确保已:

概述和拓扑

IP 源保护检查从连接到交换机上不受信任接入接口的主机发送的数据包中的 IP 源地址和 MAC 源地址。如果 IP 源保护确定数据包标头包含无效的源 IP 地址或源 MAC 地址,则会确保交换机不会转发数据包,即丢弃数据包。

配置 IP 源保护时,可在一个或多个 VLAN 上启用它。IP 源保护将其检查规则应用于这些 VLAN 上不受信任的接入接口。默认情况下,在 EX 系列交换机上,接入接口不受信任,中继接口受信任。IP 源保护不会检查连接到中继接口或可信接入接口(即配置了 的 dhcp-trusted接口)的设备发送到交换机的数据包。可以将 DHCP 服务器连接到 dhcp-trusted 接口以提供动态 IP 地址。

IP 源保护从 DHCP 侦听数据库中获取有关 IP 地址、MAC 地址或 VLAN 绑定的信息,从而使交换机能够根据该数据库中的条目验证传入的 IP 数据包。

拓扑学

此示例的拓扑包括一个 EX 系列交换机,该交换机同时连接到 DHCP 服务器和 RADIUS 服务器。

注意:

此示例中应用的 802.1X 用户身份验证适用于单一请求模式。

您可以将 IP 源保护与 802.1X 用户身份验证结合使用,以实现单安全请求方或多请求方模式。如果要在单安全请求方或多请求方模式下实施具有 802.1X 身份验证的 IP 源保护,则必须使用以下配置准则:

  • 如果 802.1X 接口是未标记的基于 MAC 的 VLAN 的一部分,并且您希望在该 VLAN 上启用 IP 源保护和 DHCP 侦听,则必须在该接口具有未标记成员资格的所有动态 VLAN 上启用 IP 源保护和 DHCP 侦听。

  • 如果 802.1X 接口是基于 MAC 的标记 VLAN 的一部分,并且您希望在该 VLAN 上启用 IP 源保护和 DHCP 侦听,则必须在该接口已标记成员资格的所有动态 VLAN 上启用 IP 源保护和 DHCP 侦听。

在第一个配置示例中,两个客户端(网络设备)连接到接入交换机。您可以配置 IP 源保护和 802.1X 用户身份验证,并结合两个接入端口安全功能:DHCP 侦听和动态 ARP 检查 (DAI)。此设置旨在保护交换机免受 IP 攻击,例如 ping 死亡 攻击、DHCP 资源不足和 ARP 欺骗。

在第二个配置示例中,交换机配置为 802.1X 用户身份验证。如果客户端身份验证失败,交换机会将客户端重定向到允许此客户端访问一组受限网络功能的访客 VLAN。您可以在访客 VLAN 上配置 IP 源保护,以减轻源 IP 欺骗的影响。

提示:

可以在语句中traceoptions 设置 ip-source-guard标志以进行调试。

使用 802.1X 身份验证、DHCP 侦听和动态 ARP 检查配置 IP 源保护

程序

CLI 快速配置

要使用 802.1X 身份验证和其他接入端口安全功能快速配置 IP 源保护,请复制以下命令并将其粘贴到交换机终端窗口中:

分步过程

要使用 802.1X 身份验证和各种端口安全功能配置 IP 源保护,请执行以下操作:

  1. 将 DHCP 服务器连接到交换机的接口配置为可信接口,并将该接口 DATA 添加到 VLAN:

  2. 将另外两个接入接口(不受信任)与 DATA VLAN 关联:

  3. 在与 DATA VLAN 关联的两个接口上配置 802.1X 用户身份验证和 LLDP-MED:

  4. 在 VLAN 上 DATA 配置三种接入端口安全功能:DHCP 侦听、动态 ARP 检测 (DAI) 和 IP 源保护:

结果

检查配置结果:

在访客 VLAN 上配置 IP 源保护

程序

CLI 快速配置

要在访客 VLAN 上快速配置 IP 源保护,请复制以下命令并将其粘贴到交换机终端窗口中:

分步过程

要在访客 VLAN 上配置 IP 源保护,请执行以下操作:

  1. 将 DHCP 服务器连接到交换机的接口配置为可信接口,并将该接口 GUEST 添加到 VLAN:

  2. 为接入端口模式配置两个接口:

  3. 在 VLAN 上 GUEST 配置 DHCP 侦听和 IP 源保护:

  4. 在 VLAN 上的 GUEST 两个(不受信任的)接口上分别配置静态 IP 地址(可选):

  5. 配置 802.1X 用户身份验证:

结果

检查配置结果:

验证

要确认配置工作正常,请执行以下任务:

验证接口上的 802.1X 用户身份验证是否正常工作

目的

验证接口上的 802.1X 配置是否正常工作。

行动

意义

Supplicant mode 字段显示为每个接口配置的管理方式。该 Guest VLAN member 字段显示当请求方使用访客 VLAN 进行身份验证时,请求方连接到的 VLAN。该 Authenticated VLAN 字段显示请求方连接到的 VLAN。

验证 VLAN 与接口的关联

目的

验证接口状态和 VLAN 成员资格。

行动

意义

VLAN members 字段显示 VLAN 和接口之间的关联。该 State 字段显示接口是打开还是关闭。

对于访客 VLAN 配置,当请求方未通过 802.1X 用户身份验证时,接口将与访客 VLAN 关联。

验证 DHCP 侦听是否在 VLAN 上正常工作

目的

验证 DHCP 侦听已启用且在 VLAN 上正常工作。从连接到交换机的网络设备(DHCP 客户端)发送一些 DHCP 请求。

行动

意义

当 DHCP 服务器连接到交换机 dhcp-trusted的接口设置为 时,输出将显示每个 MAC 地址、分配的 IP 地址和租用时间,即租约到期前剩余的时间(以秒为单位)。静态 IP 地址没有分配租用时间。静态配置的条目永不过期。

验证 IP 源保护是否在 VLAN 上正常工作

目的

验证 IP 源保护已启用且在 VLAN 上工作正常。

行动

意义

IP 源保护数据库表包含启用了 IP 源保护的 VLAN、这些 VLAN 上的不受信任接入接口、VLAN 802.1Q 标记 ID(如果有)以及相互绑定的 IP 地址和 MAC 地址。如果交换机接口与多个 VLAN 关联,并且其中一些 VLAN 已启用(或配置)IP 源保护,而其他 VLAN 未启用 IP 源保护,则未启用 IP 源保护的 VLAN 在和MAC Address字段中会显示IP Address星号 (*)。