端口安全概述
端口安全功能
以太网 LAN 容易受到攻击,例如网络设备上的地址欺骗(伪造)和第 2 层拒绝服务 (DoS)。端口安全功能有助于保护设备上的接入端口,防止此类攻击导致的信息丢失和工作效率下降。
Junos OS 通过控制转发和服务平面的分离得到强化,每个功能都在受保护的内存中运行。控制平面 CPU 受速率限制、路由策略和防火墙过滤器的保护,以确保交换机即使在遭受严重攻击时的正常运行时间。
Junos OS 提供的功能可帮助保护设备上的端口。端口可分类为可信或不可信。您可应用适合各个类别的策略,以保护端口免遭各种类型的攻击。
接入端口安全功能(如动态地址解析协议 (ARP) 检测、DHCP 侦听和 MAC 限制)通过单个 Junos OS CLI 命令进行控制。设备默认配置中启用了基本端口安全功能。您可以使用最少的配置步骤配置其他功能。根据特定功能,您可以在 VLAN 或桥接域接口上配置此功能。
从 Junos OS 18.4R1 版开始,DHCP 侦听发生在以下瞻博网络系列交换机、EX2300、EX4600 和 QFX5K 的可信端口上。对于这些设备,在 Junos OS 18.4R1 版之前,这仅适用于 DHCPv6 侦听。此外,运行 Junos OS 版本 19.1R1 和更高版本的 EX9200 系列交换机和 Fusion Enterprise 的可信端口上还存在 DHCP 侦听。
瞻博网络 EX 系列以太网交换机提供以下硬件和软件安全功能:
Console Port— 允许使用控制台端口通过 RJ-45 电缆连接到路由引擎。然后,您可以使用命令行界面 (CLI) 来配置交换机。
Out-of-Band Management— 后面板上的专用管理以太网端口允许带外管理。
Software Images— 所有 Junos OS 映像均由瞻博网络证书授权机构 (CA) 与公钥基础架构 (PKI) 签署。
User Authentication, Authorization, and Accounting (AAA)— 功能包括:
具有密码加密和身份验证的用户和组帐户。
可为登录类和用户模板配置的访问权限级别。
RADIUS 身份验证、TACACS+ 身份验证或两者同时用于验证尝试访问交换机的用户。
通过系统日志记录或 RADIUS/TACACS+审核配置更改。
802.1X Authentication—提供网络接入控制。请求方(主机)最初连接到 LAN 时会经过身份验证。在请求者从 DHCP 服务器接收 IP 地址之前进行身份验证可防止未经授权的请求者访问 LAN。EX 系列交换机支持可扩展身份验证协议 (EAP) 方法,包括 EAP-MD5、EAP-TLS、EAP-TTLS 和 EAP-PEAP。
Port Security— 交换设备上支持的接入端口安全功能包括:
DHCP 侦听 — 在不受信任的端口上过滤并阻止入口动态主机配置协议 (DHCP) 服务器消息,并构建和维护 DHCP 租赁信息数据库,该数据库称为 DHCP 侦听数据库。
注意:交换设备的默认配置中未启用 DHCP 侦听。DHCP 侦听在 VLAN 或桥接域上启用。启用 DHCP 侦听的详细信息取决于特定设备。
可信 DHCP 服务器 — 在可信端口上配置 DHCP 服务器可防止恶意 DHCP 服务器发送租赁。您可在接口(端口)上启用此功能。默认情况下,接入端口不受信任,中继端口可信。(接入端口是连接到以太网端点(例如用户 PC 和笔记本电脑、服务器和打印机)的交换机端口。中继端口是将以太网交换机连接到其他交换机或路由器的交换机端口。)
DHCPv6 侦听 — 面向 IPv6 的 DHCP 侦听。
DHCP option 82 — 又称为 DHCP 中继代理信息选项。此 DHCPv4 功能有助于保护交换设备免遭诸如欺骗 IP 地址、MAC 地址和 DHCP IP 地址缺乏等攻击。Option 82 提供有关 DHCP 客户端网络位置的信息,而 DHCP 服务器则使用此信息为客户端实施 IP 地址或其他参数。
DHCPv6 选项 37 — Option 37 是 DHCPv6 的远程 ID 选项,用于将有关远程主机网络位置的信息插入 DHCPv6 数据包中。您可在 VLAN 上启用 option 37。
注意:MX 系列不支持使用 option 37 进行 DHCPv6 侦听。
DHCPv6 选项 18 — Option 18 是 DHCPv6 的电路 ID 选项,用于将有关客户端端口的信息插入 DHCPv6 数据包中。此选项包括可选择配置的其他详细信息,例如前缀和接口说明。
DHCPv6 选项 16 — Option 16 是 DHCPv6 的供应商 ID 选项,用于将有关客户端硬件供应商的信息插入 DHCPv6 数据包中。
动态 ARP 检测 (DAI)— 防止地址解析协议 (ARP) 欺骗攻击。将 ARP 请求和回复与 DHCP 侦听数据库中的条目进行比较,并根据这些比较的结果做出过滤决策。您可在 VLAN 上启用 DAI。
IPv6 邻居发现检测 — 防止 IPv6 地址欺骗攻击。邻接方发现请求和回复与 DHCPv6 侦听数据库中的条目进行比较,并根据这些比较的结果做出过滤决策。您可在 VLAN 上启用邻接方发现检测。
IP 源保护 — 缓解 IP 地址欺骗攻击对以太网 LAN 的影响。启用 IP 源保护后,从不可信访问接口发送的数据包中的源 IP 地址将根据 DHCP 侦听数据库进行验证。如果数据包无法验证,则数据包将被丢弃。您可在 VLAN 或桥接域上启用 IP 源保护。
IPv6 源保护 — IPv6 的 IP 源保护。
MAC 限制 — 防止以太网交换表泛滥(也称为 MAC 转发表或第 2 层转发表)。您可以在接口上启用 MAC 限制。
MAC 移动限制 — 跟踪 MAC 移动并检测接入端口上的 MAC 欺骗。您可在 VLAN 或桥接域上启用此功能。
持久 MAC 学习 — 又称为粘性 MAC。持续的 MAC 学习使接口能够跨交换机重新启动保留动态学习的 MAC 地址。您可在接口上启用此功能。
不受限制的代理 ARP — 交换机使用自己的 MAC 地址响应所有 ARP 消息。连接到交换机接口的主机无法与其他主机直接通信。相反,主机之间的所有通信都通过交换机。
受限代理 ARP — 如果 ARP 请求的源和目标的物理网络相同,交换机将不响应 ARP 请求。无论目标主机的 IP 地址是否与传入接口相同,还是具有不同的(远程)IP 地址,都无关紧要。对于广播地址的 ARP 请求不会引起回复。
Device Security— 风暴控制允许交换机监控未知单播和广播流量,丢弃数据包,或在超出指定流量级别时关闭或暂时禁用接口,从而防止数据包扩散和降级 LAN。您可以在接入接口或中继接口上启用风暴控制。
Encryption Standards— 支持的标准包括:
128 位、192 位和 256 位高级加密标准 (AES)
56 位数据加密标准 (DES) 和 168 位 3DES
另请参阅
了解如何保护接入端口免遭常见攻击
端口安全功能可以保护瞻博网络 EX 系列和 QFX10000 以太网交换机免遭各种类型的攻击。一些常见攻击的保护方法包括:
- 缓解以太网交换表溢出攻击
- 缓解恶意 DHCP 服务器攻击
- 防止 ARP 欺骗攻击(不适用于 QFX10000 系列交换机)
- 抵御 DHCP 侦听数据库更改攻击(不适用于 QFX10000 系列交换机)
- 防范 DHCP 饥饿攻击
缓解以太网交换表溢出攻击
在以太网交换表上的溢出攻击中,入侵者会从新的 MAC 地址发送如此多的请求,以至于该表无法学习所有地址。当交换机不能再使用表中的信息转发信息时,就被迫广播消息。交换机上的信息流中断,数据包将发送至网络上的所有主机。除了网络流量过载之外,攻击者还可以嗅到该广播流量。
为缓解此类攻击,请为已学习的 MAC 地址和某些特定允许的 MAC 地址配置 MAC 限制。使用 MAC 限制功能控制可添加到指定接口或接口以太网交换表中的 MAC 地址总数。通过设置明确允许的 MAC 地址,可确保将网络接入至关重要的网络设备的地址保证包含在以太网交换表中。请参阅 示例:防范以太网交换表溢出攻击。
您还可以将学到的 MAC 地址配置为在每个接口上持久存在。这种永久 MAC 学习与配置的 MAC 限制结合使用,有助于防止重新启动或接口关闭事件之后的流量丢失,并通过限制接口上允许的 MAC 地址来提高端口安全性。
缓解恶意 DHCP 服务器攻击
如果攻击者设置恶意 DHCP 服务器以在 LAN 上冒充合法 DHCP 服务器,则恶意服务器可以开始向网络的 DHCP 客户端发出租赁。此恶意服务器提供给客户端的信息可能会中断其网络访问,从而导致 DoS。恶意服务器也可能将自己指定为网络的默认网关设备。随后,攻击者可以嗅到网络流量并实施中间人攻击,也就是说,它会将用于合法网络设备的信息流误定向到其选择的设备。
为了缓解恶意 DHCP 服务器攻击,请将该恶意服务器连接到的接口设置为不受信任的接口。该操作将阻止来自该接口的所有入口 DHCP 服务器消息。请参阅 示例:防范恶意 DHCP 服务器攻击。
交换机将记录在不可信端口上接收的所有 DHCP 服务器数据包,例如:
收到 5 个不受信任的 DHCPOFFER,接口 ge-0/0/0.0[65], vlan v1[10] 服务器 ip/mac 12.12.12.1/00:00:00:00:00:01:12 提供 ip/客户端 mac 12.12.12.253/00:AA:BB:CC:DD:01
您可以使用这些消息检测网络上的恶意 DHCP 服务器。
对于 QFX 系列交换机(包括 QFX10000),如果将 DHCP 服务器连接到接入端口,则必须将端口配置为可信端口。
防止 ARP 欺骗攻击(不适用于 QFX10000 系列交换机)
在 ARP 欺骗中,攻击者会在网络上发送伪造的 ARP 消息。攻击者将自己的 MAC 地址与连接到交换机的网络设备的 IP 地址相关联。发送至该 IP 地址的任何流量将发送至攻击者。现在,攻击者可以制造各种类型的恶作剧,包括嗅探用于另一个主机的数据包,以及实施中间人攻击。(在中间人攻击中,攻击者拦截两个主机之间的消息,读取它们,也许修改它们,而原始主机不知道它们的通信受到损害)。
要防止交换机上的 ARP 欺骗,请启用 DHCP 侦听和动态 ARP 检测 (DAI)。DHCP 侦听构建并维护 DHCP 侦听表。该表包含交换机上不可信接口的 MAC 地址、IP 地址、租赁时间、绑定类型、VLAN 信息和接口信息。DAI 使用 DHCP 侦听表中的信息来验证 ARP 数据包。无效 ARP 数据包被阻止,并在被阻止时记录系统日志消息,其中包括 ARP 数据包的类型以及发送方的 IP 地址和 MAC 地址。
请参阅 示例:防范 ARP 欺骗性攻击。
抵御 DHCP 侦听数据库更改攻击(不适用于 QFX10000 系列交换机)
在旨在更改 DHCP 侦听数据库的攻击中,入侵者在交换机的一个不受信任的访问接口上引入了一个 DHCP 客户端,该接口的 MAC 地址与另一个不受信任端口上的客户端的 MAC 地址相同。入侵者获得 DHCP 租赁,从而更改 DHCP 侦听表中的条目。随后,来自合法客户端的有效 ARP 请求将被阻止。
为了防止 DHCP 侦听数据库的这种类型的更改,请配置接口上明确允许的 MAC 地址。请参阅 示例:防范 DHCP 侦听数据库攻击。
防范 DHCP 饥饿攻击
在 DHCP 饥饿攻击中,攻击者会向以太网 LAN 泛滥,其中包含来自欺骗(假冒)MAC 地址的 DHCP 请求,使交换机可信的 DHCP 服务器无法跟上交换机上合法 DHCP 客户端的请求。这些服务器的地址空间已完全用完,因此不能再为客户端分配 IP 地址和租赁时间。来自这些客户端的 DHCP 请求要么被丢弃,即拒绝服务 (DoS),要么被指示到攻击者设置为冒充 LAN 上的合法 DHCP 服务器的恶意 DHCP 服务器。
要保护交换机免遭 DHCP 饥饿攻击,请使用 MAC 限制功能。指定交换机可在这些客户端连接的访问接口上了解的最大 MAC 地址数。然后,交换机的 DHCP 服务器或服务器将能够向这些客户端提供指定数量的 IP 地址和租赁,而无需再提供。如果在分配了最大 IP 地址数后发生 DHCP 饥饿攻击,则攻击将失败。请参阅 示例:防范 DHCP 饥饿攻击。
为了在 EX 系列交换机上提供额外保护,您可以在每个接口上配置学习到的 MAC 地址,通过启用持久 MAC 学习,以在交换机重新启动时持续存在。这种持续的 MAC 学习有助于防止重新启动后的信息流丢失,并确保即使在重新启动或接口关闭事件之后,永久 MAC 地址也会重新输入到转发数据库中,而不是交换机学习新的 MAC 地址。
另请参阅
配置端口安全 (ELS)
所述功能在支持增强型第 2 层软件 (ELS) 配置样式的 EX 系列交换机上受支持。如果您的交换机运行的软件不支持 ELS,请参阅 配置端口安全(非 ELS)。有关 ELS 详细信息,请参阅 使用增强型第 2 层软件 CLI。
以太网 LAN 容易受到攻击,例如网络设备上的地址欺骗和第 2 层拒绝服务 (DoS)。DHCP 端口安全功能有助于保护交换机上的接入端口免受此类攻击可能导致的信息和生产力损失。
DHCPv4 支持以下端口安全功能:
DHCP 侦听
动态 ARP 检测 (DAI)
IP 源保护
DHCP 选项 82
DHCPv6 支持以下端口安全功能:
DHCPv6 侦听
IPv6 邻居发现检测
IPv6 源保护
DHCPv6 选项 37、选项 18 和 选项 16
默认情况下,任何 VLAN 均禁用 DHCP 侦听和 DHCPv6 侦听。未使用显式 CLI 配置来启用 DHCP 侦听或 DHCPv6 侦听。在层级为 VLAN [edit vlans vlan-name forwarding-options dhcp-security] 配置任何端口安全功能时,该 VLAN 上将自动启用 DHCP 侦听和 DHCPv6 侦听。
从 Junos OS 14.1X53-D47 和 15.1R6 版开始,您可以在 VLAN 上启用 DHCP 侦听或 DHCPv6 侦听,而无需配置其他端口安全功能,方法是在 [edit vlans vlan-name forwarding-options] 层次结构级别上配置 dhcp-security CLI 语句。
DAI、IPv6 邻居发现检测、IP 源保护、IPv6 源保护、DHCP option 82 和 DHCPv6 选项按 VLAN 配置。配置这些 DHCP 端口安全功能之前,您必须配置 VLAN。请参阅 为支持 ELS 的 EX 系列交换机配置 VLAN(CLI 过程)。
您为 VLAN 指定的 DHCP 端口安全功能适用于该 VLAN 中包含的所有接口。但是,您可以将不同属性分配给 VLAN 内的访问接口或一组接入接口。接入接口或接口必须首先使用层次结构级别上的 group 语句 [edit vlans vlan-name forwarding-options dhcp-security] 配置为组。组必须至少有一个接口。
在 [edit vlans vlan-name forwarding-options dhcp-security] 层级的 VLAN 上配置一组接入接口自动支持对 VLAN 中的所有接口进行 DHCP 侦听。
可使用语句为接入接口指定的 group 属性包括:
指定接口具有静态 IP-MAC 地址 (
static-ip or static-ipv6)指定接入接口可用作 DHCP 服务器的可信接口 (
trusted)指定不传输 DHCP option 82 () 或 DHCPv6 选项的
no-option82接口 (no-option37)
默认情况下,中继接口是可信的。但是,您可以替代此默认行为,并将中继接口设置为 untrusted。
有关更多详细信息,请参阅:
通过在该 VLAN 中配置一组接入接口,您可以替代 VLAN 的一般端口安全设置。有关详细信息,请参阅:
另请参阅
配置端口安全(非 ELS)
以太网 LAN 容易受到攻击,例如网络设备上的地址欺骗和第 2 层拒绝服务 (DoS)。DHCP 侦听、DAI(动态 ARP 检测)、MAC 限制、MAC 移动限制、MAC 移动限制、永久 MAC 学习以及可信的 DHCP 服务器等端口安全功能有助于保护交换机上的接入端口免受此类攻击可能导致的信息丢失和生产力损失。
根据特定功能,您可以在以下位置配置端口安全功能:
VLAN — 特定 VLAN 或所有 VLAN
接口 — 特定接口或所有接口
如果在所有 VLAN 或所有接口上配置其中一个端口安全功能,交换机软件可在所有 VLAN 以及未明确配置其他端口安全功能的所有接口上启用该端口安全功能。
但是,如果您在特定 VLAN 或特定接口上明确配置其中一个端口安全功能,则必须显式配置要应用于该 VLAN 或接口的任何附加端口安全功能。否则,交换机软件将自动应用该功能的默认值。
例如,如果您禁用所有 VLAN 上的 DHCP 侦听并决定仅在特定 VLAN 上明确启用 IP 源保护,还必须明确启用对该特定 VLAN 的 DHCP 侦听。否则,无 DHCP 侦听的默认值适用于该 VLAN。
要使用 CLI 配置端口安全功能:
- 启用 DHCP 侦听
- 启用动态 ARP 检测 (DAI)
- 启用 IPv6 邻居发现检测
- 限制接口上的动态 MAC 地址
- 在接口上实现持久 MAC 学习
- 限制 MAC 地址移动
- 限制 VoIP VLAN 中的 VoIP 客户端 MAC 地址
- 在接口上配置可信的 DHCP 服务器
启用 DHCP 侦听
您可以配置 DHCP 侦听,使设备能够监控收到的 DHCP 消息,确保主机仅使用分配给他们的 IP 地址,并且仅允许访问授权的 DHCP 服务器。
要启用 DHCP 侦听:
在特定 VLAN 上:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name examine-dhcp
在所有 VLAN 上:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all examine-dhcp
要启用 DHCPv6 侦听:
在特定 VLAN 上:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name examine-dhcpv6
在所有 VLAN 上:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all examine-dhcpv6
启用动态 ARP 检测 (DAI)
您可以启用 DAI 来抵御 ARP 侦听。要启用 DAI:
在单个 VLAN 上:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name arp-inspection
在所有 VLAN 上:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all arp-inspection
启用 IPv6 邻居发现检测
您可以启用邻居发现检测来防止 IPv6 地址欺骗。
要在单个 VLAN 上启用邻接方发现:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name neighbor-discovery-inspection
要在所有 VLAN 上启用邻接方发现:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all neighbor-discovery-inspection
限制接口上的动态 MAC 地址
限制接口上允许的动态 MAC 地址数量,并在超出限制时指定要执行的操作:
在单个接口上:
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name mac-limit limit action action
在所有接口上:
[edit ethernet-switching-options secure-access-port] user@switch# set interface all mac-limit limit action action
在接口上实现持久 MAC 学习
您可以将学到的 MAC 地址配置为在交换机重新启动时的接口上持久:
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name persistent-learning
限制 MAC 地址移动
您可以在 1 秒内限制 MAC 地址从其原始接口移动的次数:
在单个 VLAN 上:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name mac-move-limit limit action action
在所有 VLAN 上:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all mac-move-limit limit action action
限制 VoIP VLAN 中的 VoIP 客户端 MAC 地址
要限制在配置的 VoIP VLAN 中学习 VoIP 客户端 MAC 地址:
[edit ethernet-switching-options secure-access-port] user@switch# set interfaceinterface-name voip-mac-exlusive
对于 VoIP VLAN,在该接口上学到的任何 MAC 地址都未在具有相同接口的数据 VLAN 上学习。如果在数据 VLAN 接口上学习了 MAC 地址,然后在具有相同接口的 VoIP VLAN 上学习 MAC 地址,则 MAC 地址将从数据 VLAN 接口中移除。
在接口上配置可信的 DHCP 服务器
在接口上配置值得信赖的 DHCP 服务器:
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name dhcp-trusted
示例:配置端口安全(非 ELS)
您可以在不受信任的交换机端口上配置 DHCP 侦听、动态 ARP 检查 (DAI)、MAC 限制、持久 MAC 学习和 MAC 移动限制,以保护交换机和以太网 LAN 免受地址欺骗和第 2 层拒绝服务 (DoS) 攻击。您也可为交换机接口配置可信的 DHCP 服务器和特定(允许)MAC 地址。
此示例中使用的交换机不支持 ELS 配置样式。有关在 ELS 交换机上配置端口安全的信息,请参阅 配置端口安全 (ELS)。
此示例介绍如何在交换机上配置基本端口安全功能:
要求
此示例使用以下硬件和软件组件:
一个 EX 系列或 QFX 系列。
EX 系列交换机的 Junos OS 版本 11.4 或更高版本或 QFX 系列的 Junos OS 12.1 或更高版本
一台 DHCP 服务器,可向交换机上的网络设备提供 IP 地址
配置基本端口安全功能之前,请确保您已:
将 DHCP 服务器连接到交换机。
在交换机上配置 VLAN。请参阅平台的任务:
在此示例中,DHCP 服务器及其客户端都是交换机上单个 VLAN 的成员。
概述和拓扑
以太网 LAN 容易应对网络设备上的欺骗和 DoS 攻击。为了保护设备免遭此类攻击,您可以配置:
DHCP 侦听以验证 DHCP 服务器消息
DAI,抵御 MAC 欺骗
MAC 限制,以限制交换机的 MAC 地址数量,这会增加其 MAC 地址缓存
MAC 移动限制有助于防止 MAC 欺骗
持久 MAC 学习(粘性 MAC),用于将可在接口上学习的 MAC 地址限制为学习的第一个地址,即使在重新启动交换机之后也是如此。
在可信端口上配置的可信 DHCP 服务器,可抵御发送租赁的恶意 DHCP 服务器
此示例说明如何在连接到 DHCP 服务器的交换机上配置这些安全功能。
此示例的设置包括交换机上的 VLAN 员工 vlan 。 图 1 说明了此示例的拓扑。
拓扑
网络拓扑
此示例的拓扑组件如 表 1 所示。
| 属性 | 设置 |
|---|---|
交换机硬件 |
一台 EX 系列或 QFX 系列交换机 |
VLAN 名称和 ID |
员工 vlan,标记 20 |
VLAN 子网 |
192.0.2.16/28 192.0.2.17 至 192.0.2.30 192.0.2.31 是子网的广播地址 |
员工 vlan 中的接口 |
ge-0/0/1、 ge-0/0/2、 ge-0/0/3、 ge-0/0/8 |
DHCP 服务器接口 |
ge-0/0/8 |
在此示例中,交换机最初配置了默认端口安全设置。在默认交换机配置中:
交换机上将激活安全端口访问。
所有 VLAN 上均禁用 DHCP 侦听和 DAI。
所有接入端口均不受信任,所有中继端口均可信任以进行 DHCP 侦听。
在本示例的配置任务中,您将 DHCP 服务器设置为可信服务器;您可在 VLAN 上启用 DHCP 侦听、DAI 和 MAC 移动限制;您可为某些接口上的 MAC 限制设置一个值;您可在接口上配置一些特定的(允许的)MAC 地址;并在一个接口上配置持久 MAC 学习
配置
要在 DHCP 服务器和客户端端口位于单个 VLAN 中的交换机上配置基本端口安全:
程序
CLI 快速配置
要快速配置交换机上的基本端口安全,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 4 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88 set interface ge-0/0/2 mac-limit 4 set interface ge-0/0/1 persistent-learning set interface ge-0/0/8 dhcp-trusted set vlan employee-vlan arp-inspection set vlan employee-vlan examine-dhcp set vlan employee-vlan mac-move-limit 5
逐步过程
在交换机上配置基本端口安全:
在 VLAN 上启用 DHCP 侦听:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan examine-dhcp
指定允许 DHCP 响应的接口(端口):
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 dhcp-trusted
在 VLAN 上启用动态 ARP 检测 (DAI):
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan arp-inspection
配置 4 的 MAC 限制并使用默认操作, 丢弃。(如果接口上超出了 MAC 限制,则数据包将被丢弃,并且 MAC 地址不会添加到以太网交换表中):
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 mac-limit 4 user@switch# set interface ge-0/0/2 mac-limit 4
允许特定接口学习的 MAC 地址在交换机重新启动和关闭接口事件之间持续存在,方法是支持持久 MAC 学习:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 persistent-learning
配置 5 的 MAC 移动限制,并使用默认操作、 丢弃。(丢包,如果 MAC 地址超过 MAC 移动限制,则 MAC 地址不会添加到以太网交换表中):
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan mac-move-limit 5
配置允许的 MAC 地址:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
结果
检查配置结果:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 4;
persistent-learning;
}
interface ge-0/0/2.0 {
allowed-mac [ 00:05:85:3a:82:80 00:05:85:3a:82:81 00:05:85:3a:82:83 00:05:85:3a:82:85 00:05:85:3a:82:88 ];
mac-limit 4;
}
interface ge-0/0/8.0 {
dhcp-trusted;
}
vlan employee-vlan {
arp-inspection
examine-dhcp;
mac-move-limit 5;
}
验证
要确认配置是否正常工作:
- 验证 DHCP 侦听是否在交换机上正常工作
- 验证 DAI 是否在交换机上正常工作
- 验证 MAC 限制、MAC 移动限制和持久 MAC 学习是否在交换机上正常工作
- 验证允许的 MAC 地址是否在交换机上正常工作
验证 DHCP 侦听是否在交换机上正常工作
目的
验证 DHCP 侦听是否在交换机上工作。
行动
从连接到交换机的网络设备(此处为 DHCP 客户端)发送一些 DHCP 请求。
当 DHCP 服务器连接到交换机的接口可信时,显示 DHCP 侦听信息。当从 MAC 地址发送请求且服务器已提供 IP 地址和租赁时,以下输出结果:
user@switch> show dhcp snooping binding DHCP Snooping Information: MAC Address IP Address Lease Type VLAN Interface ----------------- ---------- ----- ---- ---- --------- 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee—vlan ge-0/0/2.0 00:05:85:27:32:88 192.0.2.22 3200 dynamic employee—vlan ge-0/0/2.0
意义
当 DHCP 服务器连接到交换机的接口设置为可信接口时,输出(请参阅之前的示例)显示每个 MAC 地址、分配的 IP 地址和租赁时间,即租赁到期前剩余的时间(即几秒钟)。
如果 DHCP 服务器配置为不可信,则不会将条目添加到 DHCP 侦听数据库中,并且命令输出 show dhcp snooping binding 中将不显示任何内容。
验证 DAI 是否在交换机上正常工作
目的
验证 DAI 是否在交换机上工作。
行动
从连接到交换机的网络设备发送一些 ARP 请求。
显示 DAI 信息:
user@switch> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed --------------- --------------- -------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
意义
样本输出显示每个接口接收和检查的 ARP 数据包数量,其中列出了经过的数据包数量和每个接口上的检查失败数。交换机将 ARP 请求和回复与 DHCP 侦听数据库中的条目进行比较。如果 ARP 数据包中的 MAC 地址或 IP 地址与数据库中的有效条目不匹配,则数据包将被丢弃。
验证 MAC 限制、MAC 移动限制和持久 MAC 学习是否在交换机上正常工作
目的
验证 MAC 限制、MAC 移动限制和永久 MAC 学习是否在交换机上工作。
行动
假设 ge-0/0/1 上的主机和 ge-0/0/2 上的主机发送了两个数据包,两个接口都设置为 4 的 MAC 限制,默认操作下降,并启用 ge-0/0/1 以实现持续 MAC 学习。
显示已学习的 MAC 地址:
user@switch> show ethernet-switching table Ethernet-switching table: 7 entries, 4 learned, 2 persistent entries VLAN MAC address Type Age Interfaces employee-vlan * Flood - All-members employee-vlan 00:05:85:3A:82:77 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0
现在假设数据包在 1 秒内被移动到其他接口超过 5 次之后,已从 ge-0/0/2 上的两个主机上发送, 员工 vlan 设置为 MAC 移动限制 为 5 ,默认操作 丢弃。
显示表中的 MAC 地址:
user@switch> show ethernet-switching table
Ethernet-switching table: 7 entries, 2 learned, 2 persistent entries VLAN MAC address Type Age Interfaces employee-vlan * Flood - All-members employee-vlan 00:05:85:3A:82:77 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
意义
第一个样本输出显示,由于每个接口的 MAC 限制为 4 ,因此没有学习 ge-0/0/2 上的第五个 MAC 地址,因为它超出了 MAC 限制。第二个样本输出显示,未获知 ge-/0/0/2 上三个主机的 MAC 地址,因为主机在 1 秒内已移回 5 次以上。
接口 ge-0/0/1.0 支持持久 MAC 学习,因此与此接口关联的 MAC 地址属于 持久类型。
验证允许的 MAC 地址是否在交换机上正常工作
目的
验证允许的 MAC 地址是否在交换机上工作。
行动
在接口 ge-0/0/2 上配置了五个允许的 MAC 地址之后,显示 MAC 缓存信息:
user@switch> show ethernet-switching table Ethernet-switching table: 5 entries, 4 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
意义
由于此接口的 MAC 限制值已设置为 4,因此仅了解五个配置的允许地址中的四个。