Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:配置 IP 源保护和动态 ARP 检测以保护交换机免遭 IP 欺骗和 ARP 欺骗

注意:

此示例使用支持增强型第 2 层软件 (ELS) 配置样式的 Junos OS。如果交换机运行的软件不支持 ELS,请参阅 示例:抵御 ARP 欺骗攻击。有关 ELS 的详细信息,请参阅 使用增强型第 2 层软件 CLI

注意:

在 EX9200 交换机上,MC-LAG 方案不支持 DHCP 侦听、DAI 和 IP 源保护。

此示例介绍如何在指定的 VLAN 上启用 IP 源保护和动态 ARP 检查 (DAI),以保护交换机免受欺骗的 IP/MAC 地址和 ARP 欺骗攻击。启用 IP 源保护或 DAI 时,配置会自动为同一 VLAN 启用 DHCP 侦听。

要求

此示例使用以下硬件和软件组件:

注意:

此示例也适用于 QFX5100、QFX5110 和 QFX5200 交换机。

  • 一台 EX4300 交换机或 EX9200 交换机

  • EX 系列交换机的 Junos OS 13.2X50-D10 或更高版本

  • DHCP 服务器,用于为交换机上的网络设备提供 IP 地址

在配置 IP 源保护来防止 IP/MAC 欺骗或 DAI 以缓解 ARP 欺骗攻击之前,请确保您已:

  • 将 DHCP 服务器连接到交换机。

  • 配置了要向其中添加 DHCP 安全功能的 VLAN。

概述和拓扑

以太网 LAN 交换机容易受到安全性攻击,涉及欺骗(伪造)源 MAC 地址或源 IP 地址。这些欺骗数据包从连接到交换机上不受信任的接入接口的主机发送。这些欺骗数据包从连接到交换机上不受信任的接入接口的主机发送。IP 源保护根据 DHCP 侦听数据库中存储的条目,检查从连接到交换机上不受信任接入接口的主机发送的数据包中的 IP 源地址和 MAC 源地址。如果 IP 源保护确定数据包标头包含无效的源 IP 地址或源 MAC 地址,则确保交换机不会转发数据包,即数据包被丢弃。

另一种类型的安全攻击是 ARP 欺骗(也称为 ARP 中毒或 ARP 缓存中毒)。ARP 欺骗是发起中间人攻击的一种方式。攻击者发送的 ARP 数据包欺骗 LAN 上另一台设备的 MAC 地址。交换机不会将流量发送到正确的网络设备,而是将其发送到具有模仿正确设备的欺骗地址的设备。如果模拟设备是攻击者的机器,则攻击者将从交换机接收本应传输到另一台设备的所有流量。结果是,来自交换机的流量定向错误,无法到达其正确的目标。

注意:

启用动态 ARP 检测 (DAI) 后,交换机会记录在每个接口上收到的无效 ARP 数据包的数量,以及发送方的 IP 和 MAC 地址。您可以使用这些日志消息来发现网络上的 ARP 欺骗。

此示例说明如何在连接到 DHCP 服务器的交换机上配置这些重要的端口安全功能。此示例的设置包括交换机上的 VLAN employee-vlan图 1 展示了此示例的拓扑结构。

注意:

默认情况下,连接到 DHCP 服务器接口的中继接口是可信端口。如果将 DHCP 服务器连接到接入端口,则必须将端口配置为可信端口。在此之前,请确保服务器的物理安全,即监控和控制对服务器的访问。有关 DHCP 可信和不可信端口的更多信息,请参阅 了解和使用可信 DHCP 服务器

拓扑

图 1:用于基本端口安全性 Network Topology for Basic Port Security的网络拓扑

此示例拓扑的组件如 表 1 所示。

表 1:端口安全拓扑的组成部分
属性 设置

交换机硬件

一台 EX4300 或 EX9200 交换机

VLAN 名称和 ID

employee-vlan标记 20

VLAN 子网

192.0.2.16/28192.0.2.17 通过 192.0.2.30192.0.2.31是子网的广播地址

接口 employee-vlan

ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8

接口连接到 DHCP 服务器

ge-0/0/8

在此示例中,交换机已按如下配置:

  • 所有接入端口均不可信,这是默认设置。

  • 中继端口 (ge-0/0/8) 可信,这是默认设置。

  • VLAN (employee-vlan) 已配置为包括指定的接口。

配置

要配置 IP 源保护和 DAI(从而自动配置 DHCP 侦听),以保护交换机免受 IP 欺骗和 ARP 攻击:

程序

CLI 快速配置

要快速配置 IP 源保护和 DAI(从而也自动配置 DHCP 侦听),请复制以下命令并将其粘贴到交换机终端窗口中:

逐步过程

在 VLAN 上配置 IP 源保护和 DAI(从而自动配置 DHCP 侦听):

  1. 在 VLAN 上配置 IP 源保护:

  2. 在 VLAN 上启用 DAI:

结果

检查配置结果:

验证

确认配置工作正常。

验证 DHCP 侦听在交换机上是否工作正常

目的

验证 DHCP 侦听是否在交换机上起作用。

行动

发送来自连接到交换机的网络设备(此处为 DHCP 客户端)的一些 DHCP 请求。

当 DHCP 服务器连接到交换机的端口可信时,显示 DHCP 侦听信息。如果从 MAC 地址发送请求,并且服务器已提供 IP 地址和租期,则输出结果如下:

意义

当 DHCP 服务器连接到交换机的接口设置为可信接口时,对于分配的 IP 地址,输出(请参阅上一个示例)显示设备的 MAC 地址、VLAN 名称和租约到期前剩余的时间(以秒为单位)。

验证 IP 源保护是否在 VLAN 上起作用

目的

验证是否已启用 IP 源保护并在 VLAN 上工作。

行动

发送来自连接到交换机的网络设备(此处为 DHCP 客户端)的一些 DHCP 请求。查看数据 VLAN 的 IP 源保护信息。

意义

IP 源保护数据库表包含启用 IP 源保护的 VLAN。

验证 DAI 在交换机上是否工作正常

目的

验证 DAI 是否正在交换机上工作。

行动

从连接到交换机的网络设备发送一些 ARP 请求。

显示 DAI 信息:

意义

示例输出显示每个接口接收和检查的 ARP 数据包数,并列出每个接口上传递了多少个数据包,以及有多少数据包未通过检测。交换机会将 ARP 请求和回复与 DHCP 侦听数据库中的条目进行比较。如果 ARP 数据包中的 MAC 地址或 IP 地址与数据库中的有效条目不匹配,则数据包将被删除。