示例:配置 IP 源保护和动态 ARP 检测以保护交换机免受 IP 欺骗和 ARP 欺骗的侵害
此示例使用的 Junos OS 支持增强型第 2 层软件 (ELS) 配置样式。如果您的交换机运行的软件不支持 ELS,请参阅 示例:防范 ARP 欺骗攻击。有关 ELS 的详细信息,请参阅 使用增强型第 2 层软件 CLI。
在 EX9200 交换机上,MC-LAG 场景不支持 DHCP 侦听、DAI 和 IP 源保护。
此示例介绍如何在指定 VLAN 上启用 IP 源保护和动态 ARP 检查 (DAI),以保护交换机免受欺骗性 IP/MAC 地址和 ARP 欺骗攻击。启用 IP 源保护或 DAI 时,配置会自动为同一 VLAN 启用 DHCP 侦听。
要求
此示例使用以下硬件和软件组件:
此示例同样适用于 QFX5100、QFX5110 和 QFX5200 交换机。
一台 EX4300 交换机或 EX9200 交换机
适用于 EX 系列交换机的 Junos OS 13.2X50-D10 或更高版本
DHCP 服务器,用于向交换机上的网络设备提供 IP 地址
在配置 IP 源保护以防止 IP/MAC 欺骗或配置 DAI 以缓解 ARP 欺骗攻击之前,请确保您已:
已将DHCP服务器连接到交换机。
已配置要向其添加 DHCP 安全功能的 VLAN。
概述和拓扑
以太网 LAN 交换机容易受到涉及欺骗(伪造)源 MAC 地址或源 IP 地址的安全攻击。这些欺骗性数据包是从连接到交换机上不受信任接入接口的主机发送的。这些欺骗性数据包是从连接到交换机上不受信任接入接口的主机发送的。IP 源保护根据存储在 DHCP 侦听数据库中的条目,检查从连接到交换机上不受信任接入接口的主机发送的数据包中的 IP 源地址和 MAC 源地址。如果 IP 源保护确定数据包标头包含无效的源 IP 地址或源 MAC 地址,则会确保交换机不会转发数据包,即丢弃数据包。
另一种类型的安全攻击是 ARP 欺骗(也称为 ARP 中毒或 ARP 缓存中毒)。ARP 欺骗是一种发起中间人攻击的方法。攻击者发送 ARP 数据包,欺骗 LAN 上另一台设备的 MAC 地址。交换机不会将流量发送到正确的网络设备,而是将流量发送到具有模拟正确设备的欺骗地址的设备。如果模拟设备是攻击者的计算机,则攻击者将从交换机接收本应流向另一台设备的所有流量。结果是来自交换机的流量被误导,无法到达其正确的目标。
启用动态 ARP 检查 (DAI) 后,交换机会记录在每个接口上接收的无效 ARP 数据包数量,以及发送方的 IP 和 MAC 地址。您可以使用这些日志消息来发现网络上的 ARP 欺骗。
此示例说明如何在连接到 DHCP 服务器的交换机上配置这些重要的端口安全功能。此示例的设置包括交换机上的 VLAN employee-vlan
。 图 1 说明了此示例的拓扑结构。
默认情况下,连接到 DHCP 服务器接口的中继接口是受信任端口。如果将 DHCP 服务器连接到访问端口,则必须将该端口配置为受信任端口。在执行此操作之前,请确保服务器在物理上是安全的,也就是说,对服务器的访问受到监视和控制。有关 DHCP 的受信任和不受信任端口的详细信息,请参阅 了解和使用受信任的 DHCP 服务器。
拓扑学
此示例的拓扑组件如 表 1 所示。
属性 | 设置 |
---|---|
交换机硬件 |
一台 EX4300 或 EX9200 交换机 |
VLAN 名称和 ID |
|
|
|
VLAN 子网 |
|
中的接口 |
|
连接到 DHCP 服务器的接口 |
|
在此示例中,交换机已配置如下:
所有接入端口都是不受信任的,这是默认设置。
中继端口 (
ge-0/0/8
) 受信任,这是默认设置。VLAN (
employee-vlan
) 已配置为包含指定的接口。
配置
要配置 IP 源保护和 DAI(从而自动配置 DHCP 侦听)以保护交换机免受 IP 欺骗和 ARP 攻击,请执行以下操作:
程序
CLI 快速配置
要快速配置 IP 源保护和 DAI(从而自动配置 DHCP 侦听),请复制以下命令并将其粘贴到交换机终端窗口中:
[edit] set vlans employee-vlan forwarding-options dhcp-security ip-source-guard set vlans employee-vlan forwarding-options dhcp-security arp-inspection
分步过程
在 VLAN 上配置 IP 源保护和 DAI(从而自动配置 DHCP 侦听):
在 VLAN 上配置 IP 源保护:
[edit vlans employee-vlan forwarding-options dhcp-security] user@switch# set ip-source-guard
在 VLAN 上启用 DAI:
[edit vlans employee-vlan forwarding-options dhcp-security] user@switch# set arp-inspection
结果
检查配置结果:
user@switch> show vlans employee-vlan forwarding-options employee-vlan { forwarding-options { dhcp-security { arp-inspection; ip-source-guard; } } }
验证
确认配置工作正常。
验证交换机上的 DHCP 侦听是否正常工作
目的
验证交换机上的 DHCP 侦听是否正常工作。
行动
从连接到交换机的网络设备(此处为 DHCP 客户端)发送一些 DHCP 请求。
当 DHCP 服务器连接到交换机的端口受信任时,显示 DHCP 侦听信息。当从 MAC 地址发送请求并且服务器已提供 IP 地址和租约时,将产生以下输出:
user@switch> show dhcp-security binding IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
意义
当 DHCP 服务器连接到交换机的接口设置为受信任时,对于分配的 IP 地址,输出(请参阅前面的示例)会显示设备的 MAC 地址、VLAN 名称以及租约到期前的剩余时间(以秒为单位)。
验证 IP 源保护是否在 VLAN 上正常工作
目的
验证 IP 源保护已启用且在 VLAN 上工作正常。
行动
从连接到交换机的网络设备(此处为 DHCP 客户端)发送一些 DHCP 请求。查看数据 VLAN 的 IP 源保护信息。
user@switch> show dhcp-security binding ip-source-guard IP Address MAC Address Vlan Expires State Interface 192.0.2.17 00:05:85:3A:82:77 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.18 00:05:85:3A:82:79 employee-vlan 86265 BOUND ge-0/0/1.0 192.0.2.19 00:05:85:3A:82:80 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.20 00:05:85:3A:82:81 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.21 00:05:85:3A:82:83 employee-vlan 86287 BOUND ge-0/0/2.0 192.0.2.22 00:05:85:27:32:88 employee-vlan 86254 BOUND ge-0/0/3.0
意义
IP 源保护数据库表包含启用 IP 源保护的 VLAN。
验证交换机上的 DAI 是否正常工作
目的
验证 DAI 是否在交换机上工作。
行动
从连接到交换机的网络设备发送一些 ARP 请求。
显示 DAI 信息:
user@switch> show dhcp-security arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
意义
示例输出显示每个接口接收和检查的 ARP 数据包数,并列出了每个接口上通过检查的数据包数和未通过检测的数据包数。交换机会将 ARP 请求和回复与 DHCP 侦听数据库中的条目进行比较。如果 ARP 数据包中的 MAC 地址或 IP 地址与数据库中的有效条目不匹配,则会丢弃该数据包。