Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:配置 IPv6 源保护和邻居发现检测以保护交换机免受 IPv6 地址欺骗

注意:

此示例使用支持增强型第 2 层软件 (ELS) 配置样式的 Junos OS。如果您的交换机运行的软件不支持 ELS,请参阅 示例:防范 ARP 欺骗攻击。有关 ELS 详细信息,请参阅 使用增强型第 2 层软件 CLI

此示例介绍如何在指定的 VLAN 上启用 IPv6 源保护和邻居发现检测,以保护交换机免遭 IPv6 地址欺骗攻击。启用 IPv6 源保护或邻接方发现检测时,在同一 VLAN 上自动启用 DHCPv6 侦听。

要求

此示例使用以下硬件和软件组件:

注意:

此示例也适用于 QFX5100、QFX5110 和 QFX5200 交换机。

  • 一台支持增强型第 2 层软件配置样式的 EX 系列交换机。

  • EX 系列交换机的 Junos OS 13.2X51-D20 或更高版本

  • DHCPv6 服务器,可向交换机上的网络设备提供 IPv6 地址

在配置 IPv6 源保护和邻居发现检测以防止 IPv6 地址欺骗攻击之前,请确保您已:

  • 将 DHCPv6 服务器连接到交换机。

  • 配置了要向其添加 DHCPv6 安全功能的 VLAN。请参阅介绍为交换机设置基本桥接和 VLAN 的文档。

概述和拓扑

以太网 LAN 交换机容易受到安全攻击,包括欺骗(伪造)源 MAC 地址或源 IPv6 地址。这些欺骗性数据包从连接到交换机上不受信任访问接口的主机发送。有关 IPv6 地址欺骗攻击的详细信息,请参阅 IPv6 邻居发现检测

通过使用 DHCPv6 侦听表(也称为绑定表),IPv6 源保护和邻居发现检测可降低 IPv6 欺骗攻击的风险。DHCPv6 侦听表包含与 VLAN 关联的每个主机的 IP 地址、MAC 地址、VLAN 和接口 ID。从连接到交换机上不可信接入接口的主机发送数据包时,IPv6 源保护人员会根据 DHCPv6 侦听表中的条目对其进行检查。如果表中不匹配,交换机将不会转发数据包,也就是说,数据包将被丢弃。邻居发现检查会对同一网络链路上的 IPv6 节点之间通过 DHCPv6 侦听表发送的邻接方发现消息进行验证,并且在未发现匹配项时也会丢弃数据包。

此示例说明如何在连接到 DHCPv6 服务器的交换机上配置这些重要的端口安全功能。此示例的设置包括交换机上的 VLAN 销售。 图 1 说明了此示例的拓扑。

注意:

默认情况下,连接到 DHCPv6 服务器接口的中继接口是值得信赖的端口。

拓扑

图 1:基本端口安全 Network Topology for Basic Port Security网络拓扑

此示例的拓扑组件如 表 1 所示。

表 1:端口安全拓扑的组件
属性 设置

交换机硬件

一台支持增强型第 2 层软件配置样式的 EX 系列交换机。

VLAN 名称和 ID

销售, 标记 20

VLAN 子网

192.0.2.16/28

192.0.2.17 至 192.0.2.30

192.0.2.31 是子网的广播地址

中的接口 sales

ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8

连接到 DHCPv6 服务器的接口

ge-0/0/8

在此示例中,交换机已配置如下:

  • 所有接入端口均不受信任,默认设置。

  • 中继端口 (ge-0/0/8) 是可信的,这是默认设置。

  • VLAN(销售)已配置为包括指定接口。

配置

程序

CLI 快速配置

要快速配置 IPv6 源保护和邻居发现检测(从而自动配置 DHCPv6 侦听),请复制以下命令并粘贴到交换机终端窗口中:

逐步过程

在 VLAN 上配置 IPv6 源保护和邻居发现检测(从而自动配置 DHCPv6 侦听):

  1. 在 VLAN 上配置 IPv6 源保护:

  2. 在 VLAN 上启用邻接方发现检查:

结果

检查配置结果:

验证

确认配置工作正常。

验证 DHCPv6 侦听是否在交换机上正常工作

目的

验证 DHCPv6 侦听是否在交换机上工作。

行动

从连接到交换机的网络设备(在此示例中,这些是 DHCPv6 客户端)发送 DHCPv6 请求。

当 DHCPv6 服务器连接到交换机的端口可信时,显示 DHCPv6 侦听信息。当从 MAC 地址发送请求且服务器已提供 IPv6 地址和租赁时,以下输出结果:

意义

输出显示已分配的 IPv6 地址、MAC 地址、VLAN 名称,以及租赁到期前剩余时间(在几秒钟内)。由于 IPv6 主机通常将多个 IPv6 地址分配给其每个支持 IPv6 的网络接口,因此每个客户端都添加了两个条目:一个带有链路本地 IPv6 地址,由客户端用于 DHCP 交易,另一个包含服务器分配的 IPv6 地址。链路本地地址始终具有前缀 fe80::/10

验证邻接方发现检查是否在交换机上正常工作

目的

验证邻接方发现检查是否在交换机上工作。

行动

从连接到交换机的网络设备发送邻接方发现数据包。

显示邻接方发现信息:

意义

样本输出显示每个接口接收和检查的邻接方发现数据包的数量,其中列出了经过的数据包数量以及每个接口上未通过检查的数据包数。交换机将邻接方发现请求和回复与 DHCPv6 侦听数据库中的条目进行比较。如果邻接方发现数据包中的 MAC 地址或 IPv6 地址与数据库中的有效条目不匹配,则数据包将被丢弃。