Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Grundlegendes zum IP Source Guard für die Portsicherheit auf Switches

Ethernet-LAN-Switches sind anfällig für Angriffe, bei denen Quell-IP-Adressen oder Quell-MAC-Adressen gefälscht werden. Sie können die Sicherheitsfunktion IP Source Guard Access Port verwenden, um die Auswirkungen dieser Angriffe abzumildern.

IP-Adressen-Spoofing

Hosts auf Zugriffsschnittstellen können Quell-IP-Adressen und Quell-MAC-Adressen fälschen, indem sie den Switch mit Paketen überfluten, die ungültige Adressen enthalten. Solche Angriffe können in Kombination mit anderen Techniken wie TCP-SYN-Flood-Angriffen Denial-of-Service-Angriffe (DoS) verursachen. Beim Spoofing der Quell-IP-Adresse oder der Quell-MAC-Adresse kann der Systemadministrator die Quelle des Angriffs nicht identifizieren. Der Angreifer kann Adressen im selben Subnetz oder in einem anderen Subnetz fälschen.

Funktionsweise von IP Source Guard

IP Source Guard untersucht jedes Paket, das von einem Host gesendet wird, der an eine nicht vertrauenswürdige Zugriffsschnittstelle auf dem Switch angeschlossen ist. Die IP-Adresse, die MAC-Adresse, das VLAN und die Schnittstelle, die dem Host zugeordnet sind, werden mit Einträgen abgeglichen, die in der DHCP-Snooping-Datenbank gespeichert sind. Wenn der Paket-Header nicht mit einem gültigen Eintrag in der DHCP-Snooping-Datenbank übereinstimmt, leitet der Switch das Paket nicht weiter, d. h., das Paket wird verworfen.

Anmerkung:

  • Wenn Ihr Switch Junos OS für die EX-Serie mit Unterstützung für den Konfigurationsstil Enhanced Layer 2 Software (ELS) verwendet, wird DHCP-Snooping automatisch aktiviert, wenn Sie den IP-Quellschutz in einem VLAN aktivieren. Weitere Informationen finden Sie unter Konfigurieren von IP Source Guard (ELS).

  • Wenn Ihr Switch Junos OS für die EX-Serie ohne Unterstützung des Konfigurationsstils Enhanced Layer 2 Software (ELS) verwendet und Sie den IP-Quellschutz in einem VLAN aktivieren, müssen Sie auch DHCP-Snooping in diesem VLAN explizit aktivieren. Andernfalls gilt für das VLAN der Standardwert kein DHCP-Snooping. Weitere Informationen finden Sie unter Konfigurieren von IP Source Guard (Nicht-ELS).

IP Source Guard untersucht Pakete, die von nicht vertrauenswürdigen Zugriffsschnittstellen in diesen VLANs gesendet werden. Standardmäßig sind Zugriffsschnittstellen nicht vertrauenswürdig und Trunkschnittstellen sind vertrauenswürdig. Der IP-Quellschutz untersucht keine Pakete, die von Geräten, die mit vertrauenswürdigen Schnittstellen verbunden sind, an den Switch gesendet wurden, sodass ein DHCP-Server mit dieser Schnittstelle verbunden werden kann, um dynamische IP-Adressen bereitzustellen.

Anmerkung:

Auf einem EX9200-Switch können Sie eine Trunk-Schnittstelle so untrusted einstellen, dass sie den IP-Quellschutz unterstützt.

IPv6-Quellschutz

IPv6 Source Guard ist auf Switches verfügbar, die DHCPv6-Snooping unterstützen. Informationen dazu, ob Ihr Switch DHCPv6-Snooping unterstützt, finden Sie im Funktions-Explorer.

Die DHCP-Snooping-Tabelle

Der IP-Quellschutz ruft Informationen über Bindungen von IP-Adresse an MAC-Adressen (IP-MAC-Bindung) aus der DHCP-Snooping-Tabelle, die auch als DHCP-Bindungstabelle bezeichnet wird, ab. Die DHCP-Snooping-Tabelle wird entweder durch dynamisches DHCP-Snooping oder durch die Konfiguration bestimmter statischer IP-Adressen zu MAC-Adressbindungen aufgefüllt. Weitere Informationen zur DHCP-Snooping-Tabelle finden Sie unter Grundlegendes zu DHCP-Snooping (ELS).

Um die DHCP-Snooping-Tabelle anzuzeigen, geben Sie den Befehl operational mode ein, der in der Switch-CLI angezeigt wird.

Für DHCP-Snooping:

Für DHCPv6-Snooping:

Typische Verwendung anderer Junos OS-Funktionen mit IP Source Guard

Sie können den IP-Quellschutz mit verschiedenen anderen Portsicherheitsfunktionen konfigurieren, darunter:

  • VLAN-Tagging (wird für Sprach-VLANs verwendet)

  • GRES (Graceful Routing Engine Switchover)

  • Virtual Chassis-Konfigurationen

  • Link Aggregation Groups (LAGs)

  • 802.1X-Benutzerauthentifizierung im Single-Supplicant-, Single-Secure-Supplicant- oder Multiple-Supplicant-Modus.

    Anmerkung:

    Verwenden Sie bei der Implementierung der 801.X-Benutzerauthentifizierung im Single-Secure-Supplicant- oder Multiple-Supplicant-Modus die folgenden Konfigurationsrichtlinien:

    • Wenn die 802.1X-Schnittstelle Teil eines nicht getaggten MAC-basierten VLANs ist und Sie den IP-Quellschutz und DHCP-Snooping in diesem VLAN aktivieren möchten, müssen Sie den IP-Quellschutz und das DHCP-Snooping in allen dynamischen VLANs aktivieren, in denen die Schnittstelle über eine nicht getaggte Mitgliedschaft verfügt. Dies gilt auch für IPv6-Quellschutz und DHCPv6-Snooping.

    • Wenn die 802.1X-Schnittstelle Teil eines getaggten MAC-basierten VLANs ist und Sie den IP-Quellschutz und DHCP-Snooping in diesem VLAN aktivieren möchten, müssen Sie den IP-Quellschutz und das DHCP-Snooping in allen dynamischen VLANs aktivieren, in denen die Schnittstelle eine Tag-Mitgliedschaft hat. Dies gilt auch für IPv6-Quellschutz und DHCPv6-Snooping.

Zugehörige Dokumentation