示例:防范 DHCP 侦听数据库攻击
在对 DHCP 侦听数据库的一种攻击中,入侵者会在不受信任的接入接口上引入 DHCP 客户端,其 MAC 地址与另一个不受信任接口上的客户端相同。然后,入侵者获取该其他客户端的 DHCP 租约,从而更改 DHCP 侦听表中的条目。随后,来自合法客户端的有效 ARP 请求将被阻止。
此示例介绍如何配置允许的 MAC 地址(一种端口安全功能),以保护交换机免受 DHCP 侦听数据库变更攻击:
要求
此示例使用以下硬件和软件组件:
一台 EX 系列交换机或一台 QFX3500 交换机
对于 EX 系列交换机,Junos OS 11.4 或更高版本,或者对于 QFX 系列,Junos OS 版本 12.1 或更高版本
DHCP 服务器,用于向交换机上的网络设备提供 IP 地址
在配置特定端口安全功能以缓解常见的接入接口攻击之前,请确保您已:
已将DHCP服务器连接到交换机。
已在交换机上配置VLAN。查看适用于您平台的任务:
示例:为 QFX 系列设置与多个 VLAN 的桥接
概述和拓扑
以太网 LAN 容易受到网络设备上的地址欺骗和 DoS 攻击。此示例介绍如何保护交换机免受 DHCP 侦听数据库的攻击,该攻击会更改分配给某些客户端的 MAC 地址。
此示例说明如何在连接到 DHCP 服务器的交换机上配置端口安全功能。
此示例的设置包括交换机上的 VLAN 员工 VLAN 。 图 1 说明了此示例的拓扑结构。
拓扑学

此示例的拓扑组件如 表 1 所示。
属性 | 设置 |
---|---|
交换机硬件 |
一台 EX3200-24P、24 个端口(8 个 PoE 端口)或一台 QFX3500 交换机 |
VLAN 名称和 ID |
员工 VLAN,标记 20 |
VLAN 子网 |
192.0.2.16/28 192.0.2.17 到 192.0.2.30192.0.2.31 是子网的广播地址 |
员工 VLAN 中的接口 |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
DHCP 服务器接口 |
ge-0/0/8 |
在此示例中,交换机已配置如下:
交换机上的安全端口访问已激活。
VLAN 员工 VLAN 上已启用 DHCP 侦听。
所有接入端口都是不受信任的,这是默认设置。
配置
要配置允许的 MAC 地址以保护交换机免受 DHCP 侦听数据库变更攻击,请执行以下操作:
程序
CLI 快速配置
要在接口上快速配置一些允许的 MAC 地址,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
分步过程
要在接口上配置一些允许的 MAC 地址:
在一个接口上配置五个允许的 MAC 地址:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
结果
检查配置结果:
[edit ethernet-switching-options secure-access-port] user@switch# show interface ge-0/0/2.0 { allowed-mac [ 00:05:85:3a:82:80 00:05:85:3a:82:81 00:05:85:3a:82:83 00:05:85 :3a:82:85 00:05:85:3a:82:88 ]; }
验证
确认配置工作正常。
验证允许的 MAC 地址在交换机上是否正常工作
目的
验证交换机上允许的 MAC 地址是否正常工作。
行动
显示 MAC 缓存信息:
user@switch> show ethernet-switching table Ethernet-switching table: 6 entries, 5 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:88 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
意义
输出显示,配置为允许的 MAC 地址的五个 MAC 地址已被学习并显示在 MAC 缓存中。列表中的最后一个 MAC 地址(尚未配置为允许的地址)尚未添加到学习地址列表中。