AUF DIESER SEITE
Beispiel: Priorisieren von gespähten und überprüften Paketen
Auf Switches der EX-Serie müssen Sie möglicherweise CoS (Class of Service) verwenden, um Pakete von kritischen Anwendungen vor dem Verwerfen in Zeiten von Netzwerküberlastung und -verzögerungen zu schützen, und Sie benötigen möglicherweise auch die Port-Sicherheitsfunktionen DHCP-Snooping und dynamische ARP-Inspektion (DAI) auf denselben Ports, über die diese kritischen Pakete ein- und ausgehen. Sie können die Vorteile dieser beiden Funktionen kombinieren, indem Sie CoS-Weiterleitungsklassen und Warteschlangen verwenden, um ausgespähte und geprüfte Pakete zu priorisieren. Diese Art der Konfiguration platziert die gespähten und überprüften Pakete in der gewünschten Ausgangswarteschlange und stellt sicher, dass das Sicherheitsverfahren die Übertragung dieses Datenverkehrs mit hoher Priorität nicht beeinträchtigt. Dies ist besonders wichtig für Datenverkehr, der empfindlich auf Jitter und Verzögerungen reagiert, wie z. B. Sprachdatenverkehr.
Dieses Beispiel zeigt, wie der Switch so konfiguriert wird, dass Snooped und geprüfte Pakete bei hohem Netzwerkverkehr priorisiert werden.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Switch der EX-Serie
Junos OS Version 11.2 oder höher für Switches der EX-Serie
Einen DHCP-Server zum Bereitstellen von IP-Adressen für Netzwerkgeräte auf dem Switch
Bevor Sie CoS-Weiterleitungsklassen für Snooped- und inspizierte Pakete angeben, stellen Sie sicher, dass Sie über Folgendes verfügen:
Den DHCP-Server mit dem Switch verbunden.
Das VLAN-VLAN200 auf dem Switch konfiguriert. Weitere Informationen finden Sie unter Konfigurieren von VLANs für Switches der EX-Serie.
Es wurden zwei Schnittstellen (ge-0/0/1 und ge-0/0/8) so konfiguriert, dass sie zu VLAN200 gehören.
Übersicht und Topologie
Ethernet-LANs sind anfällig für Spoofing- und DoS-Angriffe auf Netzwerkgeräte. Um die Geräte vor solchen Angriffen zu schützen, können Sie DHCP-Snooping konfigurieren, um DHCP-Servernachrichten zu validieren, und DAI, um vor MAC-Spoofing zu schützen. Wenn Sie mit Perioden mit starker Netzwerküberlastung zu kämpfen haben und sicherstellen möchten, dass sensibler Datenverkehr nicht unterbrochen wird, können Sie die Portsicherheitsfunktionen mit CoS-Weiterleitungsklassen kombinieren, um die Behandlung der ausspähten und überprüften Sicherheitspakete zu priorisieren.
In der Standard-Switch-Konfiguration:
Der sichere Portzugriff ist auf dem Switch aktiviert.
DHCP-Snooping und DAI sind in allen VLANs deaktiviert.
Alle Zugriffsports sind nicht vertrauenswürdig, und alle Trunk-Ports sind für DHCP-Snooping vertrauenswürdig.
Dieses Beispiel zeigt, wie die DHCP-Snooping- und DAI-Sicherheitsfunktionen mit der priorisierten Weiterleitung von ausgespähten und überprüften Paketen kombiniert werden.
Das Setup für dieses Beispiel umfasst das VLAN-VLAN200 auf dem Switch. Abbildung 1 veranschaulicht die Topologie für dieses Beispiel.
Topologie
Die Komponenten der Topologie für dieses Beispiel sind in Tabelle 1 dargestellt.
| Eigenschaften-Einstellungen | |
|---|---|
Switch-Hardware |
Switch der EX-Serie |
VLAN-Name |
VLAN200 |
Schnittstellen in VLAN200 |
ge-0/0/1,ge-0/0/2,ge-0/0/3,ge-0/0/8 |
Schnittstelle für DHCP-Server |
GE-0/0/8 |
In den Konfigurationsaufgaben für dieses Beispiel erstellen Sie eine benutzerdefinierte Weiterleitungsklasse c1, aktivieren DHCP-Snooping und DAI auf VLAN200 und weisen die ausgespähten und überprüften Pakete der Weiterleitungsklasse c1 und der Warteschlange 6 zu. Die Warteschlangen 6 und 7 sind für Kontrollpakete mit hoher Priorität reserviert. Bei den Paketen, die DHCP-Snooping und DAI ausgesetzt sind, handelt es sich um Kontrollpakete (keine Datenpakete). Daher ist es angebracht, diese ausgespähten und überprüften Kontrollpakete mit hoher Priorität in Warteschlange 6 abzulegen. (Warteschlange 7 hat eine höhere Priorität als Warteschlange 6 und kann auch für diesen Zweck verwendet werden.)
Konfiguration
So konfigurieren Sie DHCP-Snooping und DAI auf VLAN200 und priorisieren die ausgespähten und geprüften Pakete:
Verfahren
CLI-Schnellkonfiguration
Um DHCP-Snooping und DAI mit priorisierter Weiterleitung von ausgespähten und geprüften Paketen schnell zu konfigurieren, kopieren Sie die folgenden Befehle und fügen Sie sie in das Fenster des Switch-Terminals ein:
[edit]
set class-of-service forwarding-classes class c1 queue 6
set ethernet-switching-options security-access-port vlan VLAN200 examine-dhcp forwarding-class c1
set ethernet-switching-options security-access-port vlan VLAN200 arp-inspection forwarding-class c1
Schritt-für-Schritt-Anleitung
Konfigurieren Sie DHCP und DAI mit priorisierter Weiterleitung von ausgespähten und geprüften Paketen:
Erstellen Sie eine benutzerdefinierte Weiterleitungsklasse, die für die Priorisierung der ausgespähten und überprüften Pakete verwendet werden soll.
[edit class-of-service] user@switch# set forwarding-classes class c1 queue 6
Aktivieren Sie DHCP-Snooping im VLAN und wenden Sie die Weiterleitungsklasse c1 auf die ausspähten Pakete an:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan VLAN200 examine-dhcp forwarding-class c1
Aktivieren Sie DAI im VLAN und wenden Sie die Weiterleitungsklasse c1 auf die geprüften Pakete an:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan VLAN200 arp-inspection forwarding-class c1
Befund
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit ethernet-switching-options secure-access-port]
user@switch# show
vlan VLAN200 {
arp-inspection forwarding-class c1;
examine-dhcp forwarding-class c1;
}
[edit class-of-service]
user@switch# show
}
forwarding-classes {
class c1 queue-num 6;
}
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
- Überprüfen, ob die priorisierte Weiterleitung bei den ausspähten Paketen ordnungsgemäß funktioniert
- Überprüfen, ob die priorisierte Weiterleitung bei den DAI-geprüften Paketen ordnungsgemäß funktioniert
Überprüfen, ob die priorisierte Weiterleitung bei den ausspähten Paketen ordnungsgemäß funktioniert
Zweck
Vergewissern Sie sich, dass die priorisierte Weiterleitung bei den DHCP-Snooping-Paketen funktioniert.
Aktion
Senden Sie einige DHCP-Anforderungen von Netzwerkgeräten an den Switch. Zeigen Sie die Ausgabewarteschlange für eine der Schnittstellen in VLAN200 an, um sicherzustellen, dass die Pakete in der angegebenen Warteschlange übertragen werden:
user@switch> show interfaces ge 0/0/1 extensive
Egress queues: 8 supported, 5 in use
Queue counters: Queued packets Transmitted packets Dropped packets
0 best-effort 0 0 0
1 assured-forw 0 0 0
5 expedited-fo 0 0 0
6 c1 0 3209 0
7 network-cont 0 126371 0
Bedeutung
Die Befehlsausgabe zeigt, dass Pakete in der Warteschlange 6 der Weiterleitungsklasse c1 übertragen wurden.
Setzen Sie den Test fort, indem Sie die Einstellung von examine-dhcp forwarding-class ändern, um eine der Standardwarteschlangen zu verwenden, z. B. best-effort, und wiederholen Sie den show interfaces Befehl, um die Differenz in der Ausgabe zu vergleichen. Sie können feststellen, dass die Einstellung ordnungsgemäß funktioniert, indem Sie den Unterschied in der Anzahl der übertragenen Pakete sehen, die für die Weiterleitungsklasse c1 Warteschlange 6 gemeldet werden.
Überprüfen, ob die priorisierte Weiterleitung bei den DAI-geprüften Paketen ordnungsgemäß funktioniert
Zweck
Stellen Sie sicher, dass die priorisierte Weiterleitung für die von der DAI geprüften Pakete funktioniert.
Aktion
Senden Sie einige ARP-Anforderungen von Netzwerkgeräten an den Switch. Zeigen Sie die Ausgabewarteschlange für eine der Schnittstellen in VLAN200 an, um sicherzustellen, dass die Pakete in der angegebenen Warteschlange übertragen werden:
user@switch> show interfaces ge-0/0/1 extensive
Egress queues: 8 supported, 5 in use
Queue counters: Queued packets Transmitted packets Dropped packets
0 best-effort 0 0 0
1 assured-forw 0 0 0
5 expedited-fo 0 0 0
6 c1 0 3209 0
7 network-cont 0 126371 0
Bedeutung
Die Befehlsausgabe zeigt, dass Pakete in der Warteschlange 6 der Weiterleitungsklasse c1 übertragen wurden.
Setzen Sie den Test fort, indem Sie die Einstellung von arp-inspection forwarding-class ändern, um eine der Standardwarteschlangen zu verwenden, z. B. best-effort, und wiederholen Sie den show interfaces Befehl, um die Differenz in der Ausgabe zu vergleichen. Sie können feststellen, dass die Einstellung ordnungsgemäß funktioniert, indem Sie den Unterschied in der Anzahl der übertragenen Pakete sehen, die für die Weiterleitungsklasse c1 Warteschlange 6 gemeldet werden.