示例:配置 MAC 限制
示例:防范 DHCP 饥饿攻击
在 DHCP 匮乏攻击中,攻击者会用来自欺骗(伪造)MAC 地址的 DHCP 请求淹没以太网 LAN,导致交换机过度劳累的 DHCP 服务器停止向交换机上的合法 DHCP 客户端分配 IP 地址和租用时间(因此得名饥饿)。来自这些客户端的请求要么被丢弃,要么被定向到攻击者设置的恶意 DHCP 服务器。
此示例介绍如何配置 MAC 限制(一种端口安全功能),以保护交换机免受 DHCP 不足攻击:
要求
此示例使用以下硬件和软件组件:
一台EX 系列或QFX3500交换机
EX 系列交换机使用 Junos OS 9.0 或更高版本;QFX 系列交换机使用 Junos OS 12.1 或更高版本
DHCP 服务器,用于为交换机上的网络设备提供 IP 地址
配置 MAC 限制(一种端口安全功能)来缓解 DHCP 匮乏攻击之前,请确保您具备以下条件:
已将DHCP服务器连接到交换机。
已在交换机上配置 VLAN employee-vlan 。
概述和拓扑
以太网 LAN 容易受到网络设备上的地址欺骗和 DoS 攻击。此示例介绍如何保护交换机免受一种常见类型的攻击,即 DHCP 饥饿攻击。
此示例说明如何在连接到 DHCP 服务器的交换机上配置端口安全功能。此示例的设置包括交换机上的 VLAN employee-vlan 。在 EX 系列交换机上创建该 VLAN 的过程在 主题:为 EX 系列交换机设置与多个 VLAN 的桥接中进行了介绍。此处不重复该过程。
图 1 说明了此示例的拓扑。
拓扑学
的网络拓扑
此示例的拓扑构成量如 表 1 所示。
| 属性 | 设置 |
|---|---|
交换机硬件 |
QFX3500交换机 |
VLAN 名称和 ID |
员工 VLAN |
employee-vlan 中的接口 |
ge-0/0/1、 ge-0/0/2、 ge-0/0/3、 ge-0/0/8 |
DHCP 服务器接口 |
ge-0/0/8 |
在此示例中,交换机已配置如下:
交换机上已激活安全端口访问。
未在任何接口上设置 MAC 限制。
在 VLAN employee-vlan 上禁用 DHCP 侦听。
所有接入接口均不受信任,这是默认设置。
配置
要配置 MAC 限制端口安全功能以保护交换机免遭 DHCP 饥饿攻击,请执行以下作:
程序
CLI 快速配置
要快速配置 MAC 限制,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 3 action drop set interface ge-0/0/2 mac-limit 3 action drop
分步过程
配置 MAC 限制:
在 ge-0/0/1 上配置 MAC 限制 3,并指定如果接口上超过限制,将丢弃具有新地址的数据包:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge–0/0/1mac-limit 3 action drop
在 ge-0/0/2 上配置 MAC 限制 3,并指定如果接口上超出限制,则丢弃具有新地址的数据包:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 mac-limit 3 action drop
结果
检查配置结果:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 3 action drop;
}
interface ge-0/0/2.0 {
mac-limit 3 action drop;
}
验证
要确认配置工作正常,请执行以下作:
验证 MAC 限制在交换机上是否正常工作
目的
验证交换机上的 MAC 限制是否正常工作。
行动
从连接到交换机的网络设备(此处称为 DHCP 客户端)发送一些 DHCP 请求。
显示从 ge-0/0/1 上的主机和 ge-0/0/2 上的主机发送 DHCP 请求时学习的 MAC 地址,并将两个接口都设置为 3 个 MAC 限制(并显示 action drop):
user@switch> show ethernet-switching table Ethernet-switching table: 7 entries, 6 learned VLAN MAC address Type Age Interfaces default * Flood - ge-0/0/2.0 default 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 default 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 default 00:05:85:3A:82:80 Learn 0 ge-0/0/1.0 default 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 default 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 default 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0
意义
示例输出显示,当每个接口的 MAC 限制为 3 时, ge-0/0/2 上对第四个 MAC 地址的 DHCP 请求被丢弃,因为它超出了 MAC 限制。
由于两个接口上每个接口上只能学习 3 个 MAC 地址,因此尝试的 DHCP 饥饿攻击将失败。
示例:防范恶意 DHCP 服务器攻击
在流氓 DHCP 服务器攻击中,攻击者将流氓服务器引入网络,使其能够向网络的 DHCP 客户端提供 IP 地址租约,并将自己分配为网关设备。
此示例介绍如何将 DHCP 服务器接口配置为不受信任,以保护交换机免受恶意 DHCP 服务器的攻击:
要求
此示例使用以下硬件和软件组件:
一台 EX 系列 交换机或一台 QFX3500 交换机
EX 系列交换机使用 Junos OS 9.0 或更高版本;QFX 系列交换机使用 Junos OS 12.1 或更高版本
DHCP 服务器,用于为交换机上的网络设备提供 IP 地址
在配置不受信任的 DHCP 服务器接口来缓解恶意 DHCP 服务器攻击之前,请确保您已:
已将DHCP服务器连接到交换机。
已在 VLAN 上启用 DHCP 侦听。
已在交换机上配置 VLAN。查看适合您平台的任务:
概述和拓扑
以太网 LAN 容易受到网络设备上的地址欺骗和 DoS 攻击。此示例介绍如何保护交换机免受恶意 DHCP 服务器攻击。
此示例说明如何在 EX3200-24P 交换机和 QFX3500 交换机上显式配置不受信任的接口。 图 2 说明了此示例的拓扑。
拓扑学
的网络拓扑
此示例的拓扑构成量如 表 2 所示。
| 属性 | 设置 |
|---|---|
交换机硬件 |
一台 EX3200-24P、24 端口(8 个 PoE 端口)或一台 QFX3500 交换机 |
VLAN 名称和 ID |
employee-vlan,标记 20 |
VLAN 子网 |
192.0.2.16/28、192.0.2.17 到 192.0.2.30、192.0.2.31 是子网的广播地址 |
employee-vlan 中的接口 |
ge-0/0/1、 ge-0/0/2、 ge-0/0/3、 ge-0/0/8 |
DHCP 服务器接口 |
ge-0/0/8 |
在此示例中,交换机已配置如下:
交换机上已激活安全端口访问。
在 VLAN employee-vlan 上启用了 DHCP 侦听。
非法 DHCP 服务器连接到交换机的接口(端口)当前受信任。
配置
要将 DHCP 服务器接口配置为不受信任,因为该接口正由非法 DHCP 服务器使用:
程序
CLI 快速配置
要快速将非法 DHCP 服务器接口设置为不受信任,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/8 no-dhcp-trusted
分步过程
要将 DHCP 服务器接口设置为不受信任,请执行以下作:
指定不允许 DHCP 响应的接口(端口):
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 no-dhcp-trusted
结果
检查配置结果:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/8.0 {
no-dhcp-trusted;
}
示例:防范以太网交换表溢出攻击
在以太网交换表溢出攻击中,入侵者从新的 MAC 地址发送大量请求,以太网交换表填满然后溢出,迫使交换机广播所有消息。
此示例介绍如何配置 MAC 限制和允许的 MAC 地址这两个端口安全功能,以保护交换机免受以太网交换表攻击:
要求
此示例使用以下硬件和软件组件:
一台EX 系列交换机或QFX3500交换机
EX 系列交换机为 Junos OS 9.0 或更高版本;QFX 系列交换机为 Junos OS 12.1 或更高版本。
DHCP 服务器,用于为交换机上的网络设备提供 IP 地址
在配置特定端口安全功能来缓解常见接入接口攻击之前,请确保您具备以下条件:
已将DHCP服务器连接到交换机。
已在交换机上配置 VLAN。查看适合您平台的任务:
概述和拓扑
以太网 LAN 容易受到网络设备上的地址欺骗和 DoS 攻击。此示例介绍如何保护交换机免受以太网交换表攻击,该攻击会导致表溢出,从而强制交换机广播所有消息。
此示例说明如何在连接到 DHCP 服务器的交换机上配置端口安全功能。
此示例的设置包括交换机上的 VLAN employee-vlan 。示例 :为 EX 系列交换机设置与多个 VLAN 的桥 接和示例:为 QFX 系列 设置与多个 VLAN 的桥接 中介绍了创建该 VLAN 的过程。此不重复该过程。 图 3 说明了此示例的拓扑。
拓扑学
的网络拓扑
此示例的拓扑构成部分如 表 3 所示。
| 属性 | 设置 |
|---|---|
交换机硬件 |
一台 EX 系列 交换机或一台 QFX3500 交换机 |
VLAN 名称和 ID |
employee-vlan,标记 20 |
VLAN 子网 |
192.0.2.16/28192.0.2.17 到 192.0.2.30 192.0.2.31 是子网的广播地址 |
employee-vlan 中的接口 |
ge-0/0/1、ge-0/0/2、ge-0/0/3、ge-0/0/8 |
DHCP 服务器接口 |
ge-0/0/8 |
在此示例中,使用 MAC 限制功能控制可添加到指定接口的以太网交换表中的 MAC 地址总数。使用允许的 MAC 地址功能可确保以太网交换表中包含网络访问关键网络设备的地址。
在此示例中,交换机已配置如下:
交换机上已激活安全端口访问。
未在任何接口上设置 MAC 限制。
所有接入接口均不受信任,这是默认设置。
配置
要配置 MAC 限制和一些允许的 MAC 地址以保护交换机免受以太网交换表溢出攻击,请执行以下作:
程序
CLI 快速配置
要快速配置 MAC 限制,请清除 MAC 转转发表并配置一些允许的 MAC 地址,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 4 action drop set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 exit exit clear ethernet-switching-table interface ge-0/0/1
分步过程
配置 MAC 限制和一些允许的 MAC 地址:
在 ge-0/0/1 上配置 MAC 限制 4,并指定一旦接口上超过限制,将丢弃具有不同地址的传入数据包:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 mac-limit (Access Port Security) 4 action drop
从 MAC 地址转发表中清除接口 ge-0/0/1 的当前条目:
user@switch# clear ethernet-switching-table interface ge-0/0/1
在 ge-0/0/2 上配置允许的 MAC 地址:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85
结果
检查配置结果:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 4 action drop;
}
interface ge-0/0/2.0 {
allowed-mac [ 00:05:85:3a:82:80 00:05:85:3a:82:81 00:05:85:3a:82:83 00:05:85
:3a:82:85 ];
}
验证
要确认配置工作正常,请执行以下作:
验证 MAC 限制在交换机上是否正常工作
目的
验证交换机上的 MAC 限制是否正常工作。
行动
从 ge-0/0/1 上的主机发送 DHCP 请求后,将接口设置为 MAC 限制 4(并删除作),并且在接口 ge/0/0/2 上配置了 4 个允许的 MAC 地址后,显示 MAC 缓存信息:
user@switch> show ethernet-switching table Ethernet-switching table: 5 entries, 4 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:71 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:74 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 employee-vlan * Flood 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
意义
示例输出显示,当接口的 MAC 限制为 4 时, ge-0/0/1 上对第五个 MAC 地址的 DHCP 请求被丢弃,因为它超出了 MAC 限制,并且在 ge-0/0/2 接口上仅获知了指定允许的 MAC 地址。