Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:防范恶意 DHCP 服务器攻击

在恶意 DHCP 服务器攻击中,攻击者将恶意服务器引入网络中,允许其向网络的 DHCP 客户端提供 IP 地址租赁,并将自己指定为网关设备。

此示例介绍如何将 DHCP 服务器接口配置为不可信,以保护交换机免受恶意 DHCP 服务器的入侵:

要求

此示例使用以下硬件和软件组件:

  • 一台 EX 系列交换机或一台 QFX3500 交换机

  • EX 系列交换机的 Junos OS 版本 9.0 或更高版本或 QFX 系列的 Junos OS 12.1 或更高版本

  • 一台 DHCP 服务器,可向交换机上的网络设备提供 IP 地址

在配置不受信任的 DHCP 服务器接口以缓解恶意 DHCP 服务器攻击之前,请确保您具有:

概述和拓扑

以太网 LAN 容易应对网络设备上的欺骗和 DoS 攻击。此示例介绍如何保护交换机免遭恶意 DHCP 服务器攻击。

此示例说明如何在 EX3200-24P 交换机和 QFX3500 交换机上显式配置不可信接口。 图 1 说明了此示例的拓扑。

拓扑

图 1:基本端口安全 Network Topology for Basic Port Security网络拓扑

此示例的拓扑组件如 表 1 所示。

表 1:端口安全拓扑的组件
属性 设置

交换机硬件

一个 EX3200-24P、24 个端口(8 个 PoE 端口)或一个 QFX3500 交换机

VLAN 名称和 ID

员工 vlan,标记 20

VLAN 子网

192.0.2.16/28 192.0.2.17192.0.2.30192.0.2.31 是子网的广播地址

员工 vlan 中的接口

ge-0/0/1ge-0/0/2ge-0/0/3ge-0/0/8

DHCP 服务器接口

ge-0/0/8

在此示例中,交换机已配置如下:

  • 交换机上将激活安全端口访问。

  • VLAN 员工 vlan 上启用了 DHCP 侦听。

  • 当前信任恶意 DHCP 服务器连接到交换机的接口(端口)。

配置

要将 DHCP 服务器接口配置为不可信接口,因为该接口正被恶意 DHCP 服务器使用:

程序

CLI 快速配置

要快速将恶意 DHCP 服务器接口设置为不可信,请复制以下命令并将其粘贴到交换机终端窗口中:

逐步过程

要将 DHCP 服务器接口设置为不可信:

  • 指定不允许 DHCP 响应的接口(端口):

结果

检查配置结果:

验证

确认配置工作正常。

验证 DHCP 服务器接口是否不受信任

目的

验证 DHCP 服务器是否不受信任。

行动

  1. 从连接到交换机的网络设备(此处为 DHCP 客户端)发送一些 DHCP 请求。

  2. 不信任 DHCP 服务器连接到交换机的端口时,显示 DHCP 侦听信息。

意义

命令没有输出,因为 DHCP 侦听数据库中未添加条目。