AUF DIESER SEITE
Beispiel: Konfigurieren von IP Source Guard in einem Daten-VLAN, das eine Schnittstelle mit einem Sprach-VLAN teilt
Ethernet-LAN-Switches sind anfällig für Angriffe, bei denen Quell-IP-Adressen oder Quell-MAC-Adressen gefälscht werden. Diese gefälschten Pakete werden von Hosts gesendet, die mit nicht vertrauenswürdigen Zugriffsschnittstellen auf dem Switch verbunden sind. Sie können die Sicherheitsfunktion für IP-Quell-Guard-Ports auf Switches der EX-Serie aktivieren, um die Auswirkungen solcher Angriffe abzumildern. Wenn der IP-Quellwächter feststellt, dass eine Quell-IP-Adresse und eine Quell-MAC-Adresse in einer Bindung in einem eingehenden Paket ungültig sind, leitet der Switch das Paket nicht weiter.
Wenn sich zwei VLANs eine Schnittstelle teilen, können Sie den IP-Quellschutz nur in einem der VLANs konfigurieren. In diesem Beispiel konfigurieren Sie den IP-Quellschutz für ein nicht getaggtes Daten-VLAN, aber nicht für das getaggte Sprach-VLAN. Sie können die 802.1X-Benutzerauthentifizierung verwenden, um die Geräteverbindungen im Daten-VLAN zu validieren.
In diesem Beispiel wird beschrieben, wie Sie den IP-Quellschutz mit 802.1X-Benutzerauthentifizierung in einem Daten-VLAN mit einem Sprach-VLAN auf derselben Schnittstelle konfigurieren:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Switch der EX-Serie
Junos OS Version 9.2 oder höher für Switches der EX-Serie
Einen DHCP-Server zum Bereitstellen von IP-Adressen für Netzwerkgeräte auf dem Switch
Einen RADIUS-Server für die 802.1X-Authentifizierung
Bevor Sie den IP-Quellschutz für die Daten-VLANs konfigurieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
Den DHCP-Server mit dem Switch verbunden.
Sie haben den RADIUS-Server mit dem Switch verbunden und die Benutzerauthentifizierung auf dem Server konfiguriert. Siehe Beispiel: Verbinden eines RADIUS-Servers für 802.1X mit einem Switch der EX-Serie.
Die VLANs wurden konfiguriert. Detaillierte Informationen zur Konfiguration von VLANs finden Sie unter Beispiel: Einrichten von Bridging mit mehreren VLANs für Switches der EX-Serie .
Übersicht und Topologie
IP Source Guard überprüft die IP-Quelladresse und MAC-Quelladresse in einem Paket, das von einem Host gesendet wird, der an eine nicht vertrauenswürdige Zugriffsschnittstelle auf dem Switch angeschlossen ist. Wenn der IP-Quellwächter feststellt, dass der Paket-Header eine ungültige Quell-IP-Adresse oder Quell-MAC-Adresse enthält, stellt er sicher, dass der Switch das Paket nicht weiterleitet, d. h., das Paket wird verworfen.
Wenn Sie den IP-Quellschutz konfigurieren, aktivieren Sie ihn in einem oder mehreren VLANs. Der IP-Quellschutz wendet seine Prüfregeln auf nicht vertrauenswürdige Zugriffsschnittstellen in diesen VLANs an. Standardmäßig sind Zugriffsschnittstellen bei Switches der EX-Serie nicht vertrauenswürdig und Trunk-Schnittstellen vertrauenswürdig. IP Source Guard überprüft keine Pakete, die von Geräten an den Switch gesendet wurden, die entweder mit Trunk-Schnittstellen oder mit vertrauenswürdigen Zugriffsschnittstellen verbunden sind, d. h. Schnittstellen, die mit dhcp-trusted konfiguriert sind, sodass ein DHCP-Server mit dieser Schnittstelle verbunden werden kann, um dynamische IP-Adressen bereitzustellen.
Der IP-Quellwächter ruft Informationen über IP-Adresse/MAC-Adresse/VLAN-Bindungen aus der DHCP-Snooping-Datenbank ab. Dies veranlasst den Switch, eingehende IP-Pakete anhand der Einträge in dieser Datenbank zu validieren.
Topologie
Die Topologie für dieses Beispiel umfasst einen EX-3200-24P-Switch, einen PC und ein IP-Telefon, die über dieselbe Schnittstelle verbunden sind, eine Verbindung zu einem DHCP-Server und eine Verbindung zu einem RADIUS-Server für die Benutzerauthentifizierung.
Die 802.1X-Benutzerauthentifizierung, die in diesem Beispiel angewendet wird, gilt für einzelne Supplicants.
Sie können den IP-Quellschutz auch mit 802.1X-Benutzerauthentifizierung für den Single-Secure- oder Multiple-Supplicant-Modus verwenden. Wenn Sie IP Source Guard mit 802.1X-Authentifizierung im Single-Secure-Supplicant- oder Multiple-Supplicant-Modus implementieren, müssen Sie die folgenden Konfigurationsrichtlinien befolgen:
Wenn die 802.1X-Schnittstelle Teil eines nicht getaggten MAC-basierten VLANs ist und Sie den IP-Quellschutz und DHCP-Snooping in diesem VLAN aktivieren möchten, müssen Sie den IP-Quellschutz und das DHCP-Snooping in allen dynamischen VLANs aktivieren, in denen die Schnittstelle über eine nicht getaggte Mitgliedschaft verfügt.
Wenn die 802.1X-Schnittstelle Teil eines getaggten MAC-basierten VLANs ist und Sie den IP-Quellschutz und DHCP-Snooping in diesem VLAN aktivieren möchten, müssen Sie den IP-Quellschutz und das DHCP-Snooping in allen dynamischen VLANs aktivieren, in denen die Schnittstelle eine Tag-Mitgliedschaft hat.
Sie können das ip-source-guard-Flag in der traceoptions (Access Port Security) Anweisung zu Debugging-Zwecken festlegen.
In diesem Beispiel wird gezeigt, wie eine statische IP-Adresse konfiguriert wird, die der DHCP-Snooping-Datenbank hinzugefügt werden soll.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um den IP-Quellschutz in einem Daten-VLAN schnell zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Fenster des Switch-Terminals ein:
set ethernet-switching-options voip interface ge-0/0/14.0 vlan voice set ethernet-switching-options secure-access-port interface ge-0/0/24.0 dhcp-trusted set ethernet-switching-options secure-access-port interface ge-0/0/14 static-ip 10.1.1.1 mac 00:11:11:11:11:11 vlan data set ethernet-switching-options secure-access-port vlan data examine-dhcp set ethernet-switching-options secure-access-port vlan data ip-source-guard set interfaces ge-0/0/24 unit 0 family ethernet-switching vlan members data set vlans voice vlan-id 100 set protocols lldp-med interface ge-0/0/14.0 set protocols dot1x authenticator authentication-profile-name profile52 set protocols dot1x authenticator interface ge-0/0/14.0 supplicant single
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den IP-Quellschutz im Daten-VLAN:
Konfigurieren Sie die VoIP-Schnittstelle:
[edit ethernet-switching-options] user@switch# set voip interface ge-0/0/14.0 vlan voice
Konfigurieren Sie die Schnittstelle, über die der DHCP-Server mit dem Switch verbunden ist, als vertrauenswürdige Schnittstelle, und fügen Sie diese Schnittstelle dem Daten-VLAN hinzu:
[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/24.0 dhcp-trusted [edit interfaces] user@switch# set ge-0/0/24 unit 0 family ethernet-switching vlan members data
Konfigurieren einer statischen IP-Adresse auf einer Schnittstelle im Daten-VLAN (optional)
[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/14 static-ip 10.1.1.1 mac 00:11:11:11:11:11 vlan data
Konfigurieren Sie DHCP-Snooping und IP-Quellschutz im Daten-VLAN:
[edit ethernet-switching-options] user@switch# set secure-access-port vlan data examine-dhcp user@switch# set secure-access-port vlan data ip-source-guard
Konfigurieren Sie 802.1X-Benutzerauthentifizierung und LLDP-MED auf der Schnittstelle, die vom Daten-VLAN und dem Sprach-VLAN gemeinsam genutzt wird:
[edit protocols] user@switch# set lldp-med interface ge-0/0/14.0 user@switch# set dot1x authenticator authentication-profile-name profile52 user@switch# set dot1x authenticator interface ge-0/0/14.0 supplicant single
Legen Sie die VLAN-ID für das Sprach-VLAN fest:
[edit vlans] user@switch# set voice vlan-id 100
Befund
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit ethernet-switching-options]
user@switch# show
voip {
interface ge-0/0/14.0 {
vlan voice;
}
}
secure-access-port {
interface ge-0/0/14.0 {
static-ip 10.1.1.1 vlan data mac 00:11:11:11:11:11;
}
interface ge-0/0/24.0 {
dhcp-trusted;
}
vlan data {
examine-dhcp;
ip-source-guard;
}
}
[edit interfaces]
ge-0/0/24 {
unit 0 {
family ethernet-switching {
vlan {
members data;
}
}
}
}
[edit vlans]
voice {
vlan-id 100;
}
[edit protocols]
lldp-med {
interface ge-0/0/14.0;
}
dot1x {
authenticator {
authentication-profile-name profile52;
interface {
ge-0/0/14.0 {
supplicant single;
}
}
}
}
Wenn Sie den IP-Quellschutz sowohl im Sprach-VLAN als auch im Daten-VLAN konfigurieren möchten, konfigurieren Sie DHCP-Snooping und IP-Quellschutz genau so, wie Sie es für das Daten-VLAN getan haben. Das Konfigurationsergebnis für das Sprach-VLAN unter secure-access-port würde wie folgt aussehen:
secure-access-port {
vlan voice {
examine-dhcp;
ip-source-guard;
}
}
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
- Überprüfen, ob die 802.1X-Benutzerauthentifizierung auf der Schnittstelle funktioniert
- Überprüfen der VLAN-Zuordnung zur Schnittstelle
- Überprüfen, ob DHCP-Snooping und IP Source Guard im Daten-VLAN funktionieren
Überprüfen, ob die 802.1X-Benutzerauthentifizierung auf der Schnittstelle funktioniert
Zweck
Überprüfen Sie die 802.1X-Konfiguration auf der Schnittstelle ge-0/0/14.
Aktion
Überprüfen Sie die 802.1X-Konfiguration mit dem Befehl show dot1x interfaceoperational mode:
user@switch> show dot1x interface ge-0/0/14.0 detail
ge-0/0/14.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: <not configured>
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Bedeutung
Im Ausgabefeld Supplicant-Modus wird der konfigurierte Verwaltungsmodus für jede Schnittstelle angezeigt. Die Schnittstelle ge-0/0/14.0 zeigt den Single-Supplicant-Modus an.
Überprüfen der VLAN-Zuordnung zur Schnittstelle
Zweck
Zeigen Sie den Schnittstellenstatus und die VLAN-Mitgliedschaft an.
Aktion
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee unblocked
ge-0/0/2.0 down employee unblocked
ge-0/0/12.0 down default unblocked
ge-0/0/13.0 down default unblocked
ge-0/0/13.0 down vlan100 unblocked
ge-0/0/14.0 up voice unblocked
data unblocked
ge-0/0/17.0 down employee unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/24.0 down data unblocked
employee unblocked
vlan100 unblocked
voice unblocked
Bedeutung
Das Feld VLAN-Mitglieder zeigt, dass die ge-0/0/14.0-Schnittstelle sowohl das Daten-VLAN als auch das Sprach-VLAN unterstützt. Das Feld Status zeigt an, dass die Schnittstelle aktiv ist.
Überprüfen, ob DHCP-Snooping und IP Source Guard im Daten-VLAN funktionieren
Zweck
Stellen Sie sicher, dass DHCP-Snooping und IP-Quellschutz aktiviert sind und im Daten-VLAN funktionieren.
Aktion
Senden Sie einige DHCP-Anfragen von Netzwerkgeräten (hier sind dies DHCP-Clients), die mit dem Switch verbunden sind.
Zeigen Sie die DHCP-Snooping-Informationen an, wenn die Schnittstelle, über die der DHCP-Server eine Verbindung zum Switch herstellt, vertrauenswürdig ist. Die folgende Ausgabe ergibt sich, wenn Anforderungen von den MAC-Adressen gesendet werden und der Server die IP-Adressen und Leases bereitgestellt hat:
user@switch> show dhcp snooping binding
DHCP Snooping Information:
MAC address IP address Lease (seconds) Type VLAN Interface
00:05:85:3A:82:77 192.0.2.17 600 dynamic employee ge-0/0/1.0
00:05:85:3A:82:79 192.0.2.18 653 dynamic employee ge-0/0/1.0
00:05:85:3A:82:80 192.0.2.19 720 dynamic employee ge-0/0/2.0
00:05:85:3A:82:81 192.0.2.20 932 dynamic employee ge-0/0/2.0
00:30:48:92:A5:9D 10.10.10.7 720 dynamic vlan100 ge-0/0/13.0
00:30:48:8D:01:3D 10.10.10.9 720 dynamic data ge-0/0/14.0
00:30:48:8D:01:5D 10.10.10.8 1230 dynamic voice ge-0/0/14.0
00:11:11:11:11:11 10.1.1.1 — static data ge-0/0/14.0
00:05:85:27:32:88 192.0.2.22 — static employee ge-0/0/17.0
00:05:85:27:32:89 192.0.2.23 — static employee ge-0/0/17.0
00:05:85:27:32:90 192.0.2.27 — static employee ge-0/0/17.0
Zeigen Sie die IP-Quellschutzinformationen für das Daten-VLAN an.
user@switch> show ip-source-guard IP source guard information: Interface Tag IP Address MAC Address VLAN ge-0/0/13.0 0 10.10.10.7 00:30:48:92:A5:9D vlan100 ge-0/0/14.0 0 10.10.10.9 00:30:48:8D:01:3D data ge-0/0/14.0 0 10.1.1.1 00:11:11:11:11:11 data ge–0/0/13.0 100 * * voice
Bedeutung
Wenn die Schnittstelle, über die der DHCP-Server eine Verbindung mit dem Switch herstellt, auf vertrauenswürdig festgelegt wurde, zeigt die Ausgabe (siehe vorherige Beispielausgabe für show dhcp snooping binding) für jede MAC-Adresse die zugewiesene IP-Adresse und die Lease-Zeit an, d. h. die Zeit in Sekunden, die bis zum Ablauf der Lease verbleibt. Statischen IP-Adressen ist keine Leasezeit zugewiesen. Statisch konfigurierte Einträge laufen nie ab.
Die IP-Quellwächter-Datenbanktabelle enthält die für den IP-Quellschutz aktivierten VLANs, die nicht vertrauenswürdigen Zugriffsschnittstellen in diesen VLANs, die VLAN 802.1Q-Tag-IDs, falls vorhanden, und die IP-Adressen und MAC-Adressen, die aneinander gebunden sind. Wenn eine Switch-Schnittstelle mehreren VLANs zugeordnet ist und einige dieser VLANs für den IP-Quellschutz aktiviert sind und andere nicht, haben die VLANs, die nicht für den IP-Quellschutz aktiviert sind, einen Stern (*) in den Feldern IP-Adresse und MAC-Adresse. Weitere Informationen finden Sie im Eintrag für das Sprach-VLAN in der vorherigen Beispielausgabe.