Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:配置 IPv6 源保护和邻居发现检查以保护交换机免受 IPv6 地址欺骗

此示例介绍如何在指定 VLAN 上启用 IPv6 源保护和邻居发现检查,以保护 EX 系列交换机免受 IPv6 地址欺骗攻击。Junos OS 14.1X53-D10 版中的 EX2200 和 EX3300 交换机上引入了 IPv6 源保护和邻居发现检测支持。

要求

此示例使用以下硬件和软件组件:

  • 一台 EX2200 或 EX3300 交换机

  • 适用于 EX 系列交换机的 Junos OS 14.1X53-D10 或更高版本

  • DHCPv6 服务器,用于为交换机上的网络设备提供 IPv6 地址

在配置 IPv6 源保护和邻居发现检查以防止 IPv6 地址欺骗攻击之前,请确保您已:

概述和拓扑

以太网 LAN 交换机容易受到涉及欺骗(伪造)源 MAC 地址或源 IPv6 地址的安全攻击。这些欺骗性数据包是从连接到交换机上不受信任接入接口的主机发送的。有关 IPv6 地址欺骗攻击的详细信息,请参阅 IPv6 邻居发现检查

IPv6 源保护和邻居发现检查通过使用 DHCPv6 侦听表来降低 IPv6 欺骗攻击的风险。DHCPv6 侦听表也称为绑定表,包含 IPv6 地址与 MAC 地址的有效绑定。当数据包从连接到交换机上不受信任接入接口的主机发送时,IPv6 源防护会根据 DHCPv6 侦听表验证数据包的源 IPv6 地址和 MAC 地址。如果表中没有匹配项,交换机不会转发数据包,也就是说,数据包将被丢弃。邻居发现检查会根据 DHCPv6 侦听表验证同一网络链路上的 IPv6 节点之间发送的邻居发现消息,如果未找到匹配项,还会丢弃数据包。

此示例说明如何在连接到 DHCPv6 服务器的交换机上配置这些重要的端口安全功能。此示例的设置包括交换机上的 VLAN sales图 1 说明了此示例的拓扑结构。

注意:

默认情况下,连接到 DHCPv6 服务器接口的中继接口是受信任端口。

拓扑学

图 1:基本端口安全性 Network Topology for Basic Port Security的网络拓扑

此示例的拓扑组件如 表 1 所示。

表 1:端口安全拓扑的组件
属性 设置

交换机硬件

一台 EX2200 或 EX3300 交换机

VLAN 名称和 ID

销售, 标签

VLAN 子网

192.0.2.16/28

192.0.2.17 到 192.0.2.30

192.0.2.31 是子网的广播地址

中的接口 sales

ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8

连接到 DHCPv6 服务器的接口

ge-0/0/8

在此示例中,交换机已配置如下:

  • 所有接入端口都是不受信任的,这是默认设置。

  • 中继端口 (ge-0/0/8) 受信任,这是默认设置。

  • VLAN(销售)已配置为包括指定的接口。

配置

程序

CLI 快速配置

要快速配置 IPv6 源保护和邻居发现检测,请复制以下命令并将其粘贴到交换机终端窗口中:

分步过程

在 VLAN 上配置 IPv6 源保护和邻居发现检测(从而自动配置 DHCPv6 侦听):

  1. 在 VLAN 上启用 DHCPv6 侦听:

  2. 在 VLAN 上配置 IPv6 源保护:

  3. 在 VLAN 上配置邻居发现检测:

结果

检查配置结果:

验证

确认配置工作正常。

验证 DHCPv6 侦听在交换机上是否正常工作

目的

验证 DHCPv6 侦听是否在交换机上工作。

行动

从连接到交换机的网络设备(在本例中为 DHCPv6 客户端)发送 DHCPv6 请求。

当 DHCPv6 服务器连接到交换机的端口受信任时,显示 DHCPv6 侦听信息。以下是从 MAC 地址发送请求且服务器已提供 IPv6 地址和租约时的输出:

意义

输出显示分配的 IP 地址、MAC 地址、VLAN 名称以及租用到 IP 地址的时间(以秒为单位)。由于 IPv6 主机通常为其启用了 IPv6 的每个网络接口分配多个 IP 地址,因此会为每个客户端添加两个条目:一个条目具有链路本地 IP 地址(客户端用于 DHCP 事务),另一个条目具有服务器分配的 IP 地址。链路本地地址始终具有前缀 fe80::/10

验证邻居发现检查在交换机上是否正常工作

目的

验证交换机上的邻居发现检查是否正常工作。

行动

从连接到交换机的网络设备发送邻居发现数据包。

显示邻居发现信息:

意义

示例输出显示每个接口接收和检查的邻居发现数据包数,并列出每个接口上通过的数据包数和未通过检测的数据包数。交换机会将邻居发现请求和回复与 DHCPv6 侦听数据库中的条目进行比较。如果邻居发现数据包中的 MAC 地址或 IPv6 地址与数据库中的有效条目不匹配,则会丢弃该数据包。

更改历史记录表

功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。

释放
描述
14.1X53-D10
Junos OS 14.1X53-D10 版中的 EX2200 和 EX3300 交换机上引入了 IPv6 源保护和邻居发现检测支持。