Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Beispiel: Konfigurieren von IPv6 Source Guard und Neighbor Discovery Inspection zum Schutz eines Switches vor IPv6-Adressspoofing

Anmerkung:

In diesem Beispiel wird Junos OS mit Unterstützung für den Konfigurationsstil Enhanced Layer 2 Software (ELS) verwendet. Wenn auf Ihrem Switch Software ausgeführt wird, die ELS nicht unterstützt, finden Sie weitere Informationen unter Beispiel: Schutz vor ARP-Spoofing-Angriffen. Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.

In diesem Beispiel wird beschrieben, wie IPv6-Quellschutz und Neighbor Discovery Inspection in einem bestimmten VLAN aktiviert werden, um den Switch vor IPv6-Adressen-Spoofing-Angriffen zu schützen. Wenn Sie entweder IPv6 Source Guard oder Neighbor Discovery Inspection aktivieren, wird DHCPv6-Snooping automatisch im selben VLAN aktiviert.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

Anmerkung:

Dieses Beispiel gilt auch für QFX5100-, QFX5110- und QFX5200-Switches.

  • Ein Switch der EX-Serie, der den Konfigurationsstil "Enhanced Layer 2 Software" unterstützt.

  • Junos OS Version 13.2X51-D20 oder höher für Switches der EX-Serie

  • Einen DHCPv6-Server zum Bereitstellen von IPv6-Adressen für Netzwerkgeräte auf dem Switch

Bevor Sie IPv6 Source Guard und Neighbor Discovery Inspection konfigurieren, um IPv6-Adressen-Spoofing-Angriffe zu verhindern, stellen Sie sicher, dass Sie über Folgendes verfügen:

  • Der DHCPv6-Server wurde mit dem Switch verbunden.

  • Sie haben das VLAN konfiguriert, zu dem Sie DHCPv6-Sicherheitsfunktionen hinzufügen. Weitere Informationen finden Sie in der Dokumentation, in der das Einrichten von grundlegendem Bridging und einem VLAN für Ihren Switch beschrieben wird.

Übersicht und Topologie

Ethernet-LAN-Switches sind anfällig für Angriffe auf die Sicherheit, bei denen Spoofing (Fälschung) von Quell-MAC-Adressen oder Quell-IPv6-Adressen zum Einsatz kommt. Diese gefälschten Pakete werden von Hosts gesendet, die mit nicht vertrauenswürdigen Zugriffsschnittstellen auf dem Switch verbunden sind. Weitere Informationen zu IPv6-Adressen-Spoofing-Angriffen finden Sie unter IPv6 Neighbor Discovery Inspection.

Durch die Verwendung der DHCPv6-Snooping-Tabelle, die auch als Bindungstabelle bezeichnet wird, verringern IPv6-Quellschutz und Neighbor Discovery Inspection das Risiko von IPv6-Spoofing-Angriffen. Die DHCPv6-Snooping-Tabelle enthält die IP-Adresse, die MAC-Adresse, das VLAN und die Schnittstellen-ID für jeden Host, der dem VLAN zugeordnet ist. Wenn ein Paket von einem Host gesendet wird, der an eine nicht vertrauenswürdige Zugriffsschnittstelle auf dem Switch angeschlossen ist, prüft IPv6 Source Guard es anhand der Einträge in der DHCPv6-Snooping-Tabelle. Wenn es keine Übereinstimmung in der Tabelle gibt, leitet der Switch das Paket nicht weiter, d. h., das Paket wird verworfen. Bei der Überprüfung der Nachbarerkennung werden Nachbarerkennungsnachrichten, die zwischen IPv6-Knoten auf derselben Netzwerkverbindung gesendet werden, anhand der DHCPv6-Snooping-Tabelle überprüft und das Paket verworfen, wenn keine Übereinstimmung gefunden wird.

Dieses Beispiel zeigt, wie diese wichtigen Portsicherheitsfunktionen auf einem Switch konfiguriert werden, der mit einem DHCPv6-Server verbunden ist. Das Setup für dieses Beispiel umfasst die VLAN-Verkäufe auf dem Switch. Abbildung 1 veranschaulicht die Topologie für dieses Beispiel.

Anmerkung:

Die Trunk-Schnittstelle, die eine Verbindung zur DHCPv6-Serverschnittstelle herstellt, ist standardmäßig ein vertrauenswürdiger Port.

Topologie

Abbildung 1: Netzwerktopologie für grundlegende Portsicherheit Network Topology for Basic Port Security

Die Komponenten der Topologie für dieses Beispiel sind in Tabelle 1 dargestellt.

Tabelle 1: Komponenten der Portsicherheitstopologie
Eigenschaften-Einstellungen

Switch-Hardware

Ein Switch der EX-Serie, der den Konfigurationsstil "Enhanced Layer 2 Software" unterstützt.

VLAN-Name und -ID

Verkäufe, Tags 20

VLAN-Subnetze

192.0.2.16/28

192.0.2.17 bis 192.0.2.30

192.0.2.31 ist die Broadcast-Adresse des Subnetzes

Schnittstellen in sales

ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8

Schnittstelle, die eine Verbindung zum DHCPv6-Server herstellt

ge-0/0/8

In diesem Beispiel wurde der Switch bereits wie folgt konfiguriert:

  • Alle Zugriffsports sind nicht vertrauenswürdig, was die Standardeinstellung ist.

  • Der Trunk-Port (ge-0/0/8) ist vertrauenswürdig, was die Standardeinstellung ist.

  • Das VLAN (Vertrieb) wurde so konfiguriert, dass es die angegebenen Schnittstellen enthält.

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um IPv6 Source Guard und Neighbor Discovery Inspection schnell zu konfigurieren (und damit auch DHCPv6-Snooping automatisch zu konfigurieren), kopieren Sie die folgenden Befehle, und fügen Sie sie in das Switch-Terminalfenster ein:

Schritt-für-Schritt-Anleitung

Konfigurieren Sie IPv6 Source Guard und Neighbor Discovery Inspection (und konfigurieren Sie damit auch DHCPv6-Snooping automatisch) im VLAN:

  1. Konfigurieren Sie den IPv6-Quellschutz im VLAN:

  2. Aktivieren Sie die Neighbor Discovery Inspection im VLAN:

Befund

Überprüfen Sie die Ergebnisse der Konfiguration:

Verifizierung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen, ob DHCPv6-Snooping auf dem Switch ordnungsgemäß funktioniert

Zweck

Stellen Sie sicher, dass DHCPv6-Snooping auf dem Switch funktioniert.

Aktion

Senden Sie DHCPv6-Anfragen von Netzwerkgeräten (in diesem Beispiel sind dies DHCPv6-Clients), die mit dem Switch verbunden sind.

Zeigen Sie die DHCPv6-Snooping-Informationen an, wenn der Port, an dem der DHCPv6-Server eine Verbindung zum Switch herstellt, vertrauenswürdig ist. Die folgende Ausgabe ergibt sich, wenn Anforderungen von den MAC-Adressen gesendet werden und der Server die IPv6-Adressen und Leases bereitgestellt hat:

Bedeutung

Die Ausgabe zeigt die zugewiesenen IPv6-Adressen, die MAC-Adresse, den VLAN-Namen und die verbleibende Zeit in Sekunden bis zum Ablauf der Lease. Da IPv6-Hosts in der Regel jeder ihrer IPv6-fähigen Netzwerkschnittstellen mehr als eine IPv6-Adresse zugewiesen ist, werden für jeden Client zwei Einträge hinzugefügt: einer mit der verbindungslokalen IPv6-Adresse, die vom Client für DHCP-Transaktionen verwendet wird, und ein anderer mit der vom Server zugewiesenen IPv6-Adresse. Die Link-Local-Adresse hat immer das Präfix fe80::/10.

Überprüfen, ob die Neighbor Discovery-Überprüfung auf dem Switch ordnungsgemäß funktioniert

Zweck

Stellen Sie sicher, dass die Neighbor Discovery-Überprüfung auf dem Switch funktioniert.

Aktion

Senden Sie Neighbor Discovery-Pakete von Netzwerkgeräten, die mit dem Switch verbunden sind.

Zeigen Sie die Nachbarermittlungsinformationen an:

Bedeutung

Die Beispielausgabe zeigt die Anzahl der empfangenen und überprüften Nachbarerkennungspakete pro Schnittstelle mit einer Liste der Anzahl der Pakete, die bestanden wurden, und der Anzahl der Pakete, die die Überprüfung auf jeder Schnittstelle nicht bestanden haben. Der Switch vergleicht die Nachbarerkennungsanforderungen und -antworten mit den Einträgen in der DHCPv6-Snooping-Datenbank. Wenn eine MAC- oder IPv6-Adresse im benachbarten Ermittlungspaket nicht mit einem gültigen Eintrag in der Datenbank übereinstimmt, wird das Paket verworfen.

Zugehörige Dokumentation