AUF DIESER SEITE
Beispiel: Konfigurieren von IPv6 Source Guard und Neighbor Discovery Inspection zum Schutz eines Switches vor IPv6-Adressspoofing
In diesem Beispiel wird beschrieben, wie IPv6-Quellschutz und Neighbor Discovery Inspection in einem bestimmten VLAN aktiviert werden, um einen Switch der EX-Serie vor IPv6-Adressen-Spoofing-Angriffen zu schützen. Unterstützung für IPv6-Quellschutz und Neighbor Discovery Inspection, die auf EX2200- und EX3300-Switches in Junos OS Version 14.1X53-D10 eingeführt wurde.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein EX2200- oder EX3300-Switch
Junos OS Version 14.1X53-D10 oder höher für Switches der EX-Serie
Einen DHCPv6-Server zum Bereitstellen von IPv6-Adressen für Netzwerkgeräte auf dem Switch
Bevor Sie IPv6 Source Guard und Neighbor Discovery Inspection konfigurieren, um IPv6-Adressen-Spoofing-Angriffe zu verhindern, stellen Sie sicher, dass Sie über Folgendes verfügen:
Der DHCPv6-Server wurde mit dem Switch verbunden.
Sie haben das VLAN konfiguriert, zu dem Sie DHCPv6-Sicherheitsfunktionen hinzufügen. Weitere Informationen finden Sie unter Konfigurieren von VLANs für Switches der EX-Serie.
Übersicht und Topologie
Ethernet-LAN-Switches sind anfällig für Angriffe auf die Sicherheit, bei denen Spoofing (Fälschung) von Quell-MAC-Adressen oder Quell-IPv6-Adressen zum Einsatz kommt. Diese gefälschten Pakete werden von Hosts gesendet, die mit nicht vertrauenswürdigen Zugriffsschnittstellen auf dem Switch verbunden sind. Weitere Informationen zu IPv6-Adressen-Spoofing-Angriffen finden Sie unter IPv6 Neighbor Discovery Inspection.
IPv6-Quellschutz und Neighbor Discovery-Inspektion mindern das Risiko von IPv6-Spoofing-Angriffen mithilfe der DHCPv6-Snooping-Tabelle. Die DHCPv6-Snooping-Tabelle, die auch als Bindungstabelle bezeichnet wird, enthält die gültigen Bindungen von IPv6-Adressen an MAC-Adressen. Wenn ein Paket von einem Host gesendet wird, der an eine nicht vertrauenswürdige Zugriffsschnittstelle auf dem Switch angeschlossen ist, überprüft IPv6 Source Guard die Quell-IPv6-Adresse und MAC-Adresse des Pakets anhand der DHCPv6-Snooping-Tabelle. Wenn es keine Übereinstimmung in der Tabelle gibt, leitet der Switch das Paket nicht weiter, d. h., das Paket wird verworfen. Bei der Überprüfung der Nachbarerkennung werden Nachbarerkennungsnachrichten, die zwischen IPv6-Knoten auf derselben Netzwerkverbindung gesendet werden, anhand der DHCPv6-Snooping-Tabelle überprüft und das Paket verworfen, wenn keine Übereinstimmung gefunden wird.
Dieses Beispiel zeigt, wie diese wichtigen Portsicherheitsfunktionen auf einem Switch konfiguriert werden, der mit einem DHCPv6-Server verbunden ist. Das Setup für dieses Beispiel umfasst das VLAN sales auf dem Switch. Abbildung 1 veranschaulicht die Topologie für dieses Beispiel.
Die Trunk-Schnittstelle, die eine Verbindung zur DHCPv6-Serverschnittstelle herstellt, ist standardmäßig ein vertrauenswürdiger Port.
Topologie
Die Komponenten der Topologie für dieses Beispiel sind in Tabelle 1 dargestellt.
| Eigenschaften-Einstellungen | |
|---|---|
Switch-Hardware |
Ein EX2200- oder EX3300-Switch |
VLAN-Name und -ID |
Verkäufe, Tags |
VLAN-Subnetze |
192.0.2.16/28 192.0.2.17 bis 192.0.2.30 192.0.2.31 ist die Broadcast-Adresse des Subnetzes |
Schnittstellen in |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
Schnittstelle, die eine Verbindung zum DHCPv6-Server herstellt |
GE-0/0/8 |
In diesem Beispiel wurde der Switch bereits wie folgt konfiguriert:
Alle Zugriffsports sind nicht vertrauenswürdig, was die Standardeinstellung ist.
Der Trunk-Port (ge-0/0/8) ist vertrauenswürdig, was die Standardeinstellung ist.
Das VLAN (Vertrieb) wurde so konfiguriert, dass es die angegebenen Schnittstellen enthält.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um IPv6 Source Guard und Neighbor Discovery Inspection schnell zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Fenster des Switch-Terminals ein:
[edit] set ethernet-switching-options secure-access-port vlan sales examine-dhcpv6 set ethernet-switching-options secure-access-port vlan sales ipv6-source-guard set ethernet-switching-options secure-access-port vlan sales neighbor-discovery-inspection
Schritt-für-Schritt-Anleitung
Konfigurieren Sie IPv6 Source Guard und Neighbor Discovery Inspection (und konfigurieren Sie damit auch DHCPv6-Snooping automatisch) im VLAN:
Aktivieren Sie DHCPv6-Snooping im VLAN:
[edit ethernet-switching-options secure-access-port vlan sales] user@switch# set examine-dhcpv6
Konfigurieren Sie den IPv6-Quellschutz im VLAN:
[edit ethernet-switching-options secure-access-port vlan sales] user@switch# set ipv6-source-guard
Konfigurieren Sie die Neighbor Discovery Inspection im VLAN:
[edit ethernet-switching-options secure-access-port vlan sales] user@switch# set neighbor-discovery-inspection
Befund
Überprüfen Sie die Ergebnisse der Konfiguration:
user@switch> show ethernet-switching-options secure-access-port
vlan sales {
examine-dhcpv6;
ipv6-source-guard;
neighbor-discovery-inspection;
}
}
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen, ob DHCPv6-Snooping auf dem Switch ordnungsgemäß funktioniert
- Überprüfen, ob die Neighbor Discovery-Überprüfung auf dem Switch ordnungsgemäß funktioniert
Überprüfen, ob DHCPv6-Snooping auf dem Switch ordnungsgemäß funktioniert
Zweck
Stellen Sie sicher, dass DHCPv6-Snooping auf dem Switch funktioniert.
Aktion
Senden Sie DHCPv6-Anfragen von Netzwerkgeräten (in diesem Beispiel sind dies DHCPv6-Clients), die mit dem Switch verbunden sind.
Zeigen Sie die DHCPv6-Snooping-Informationen an, wenn der Port, an dem der DHCPv6-Server eine Verbindung zum Switch herstellt, vertrauenswürdig ist. Im Folgenden sehen Sie die Ausgabe, wenn Anforderungen von den MAC-Adressen gesendet werden und der Server die IPv6-Adressen und Leases bereitgestellt hat:
user@switch> show dhcpv6 snooping binding DHCP Snooping Information: MAC address IP address Lease (seconds) Type VLAN Interface 00:10:94:00:00:01 2001:db8::10:0:3 3599992 dynamic sales ge-0/0/1.0 00:10:94:00:00:01 fe80::210:94ff:fe00:1 3599992 dynamic sales ge-0/0/1.0 00:10:94:00:00:02 2001:db8::10:0:5 3599992 dynamic sales ge-0/0/2.0 00:10:94:00:00:02 fe80::210:94ff:fe00:2 3599992 dynamic sales ge-0/0/2.0 00:10:94:00:00:03 2001:db8::10:0:7 3599992 dynamic sales ge-0/0/3.0 00:10:94:00:00:03 fe80::210:94ff:fe00:3 3599992 dynamic sales ge-0/0/3.0
Bedeutung
Die Ausgabe zeigt die zugewiesene IP-Adresse, die MAC-Adresse, den VLAN-Namen und die Zeit in Sekunden, die an die IP-Adresse geleast wurde. Da IPv6-Hosts in der Regel jeder ihrer IPv6-fähigen Netzwerkschnittstellen mehr als eine IP-Adresse zugewiesen ist, werden für jeden Client zwei Einträge hinzugefügt: einer mit der verbindungslokalen IP-Adresse, die vom Client für DHCP-Transaktionen verwendet wird, und ein anderer mit der vom Server zugewiesenen IP-Adresse. Die Link-Local-Adresse hat immer das Präfix fe80::/10.
Überprüfen, ob die Neighbor Discovery-Überprüfung auf dem Switch ordnungsgemäß funktioniert
Zweck
Stellen Sie sicher, dass die Neighbor Discovery-Überprüfung auf dem Switch funktioniert.
Aktion
Senden Sie Neighbor Discovery-Pakete von Netzwerkgeräten, die mit dem Switch verbunden sind.
Zeigen Sie die Nachbarermittlungsinformationen an:
user@switch> show neighbor-discovery-inspection statistics ND inspection statistics: Interface Packets received ND inspection pass ND inspection failed ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
Bedeutung
Die Beispielausgabe zeigt die Anzahl der empfangenen und überprüften Nachbarerkennungspakete pro Schnittstelle und listet die Anzahl der übergebenen Pakete und die Anzahl auf, die die Überprüfung auf jeder Schnittstelle nicht bestanden haben. Der Switch vergleicht die Nachbarerkennungsanforderungen und -antworten mit den Einträgen in der DHCPv6-Snooping-Datenbank. Wenn eine MAC- oder IPv6-Adresse im benachbarten Ermittlungspaket nicht mit einem gültigen Eintrag in der Datenbank übereinstimmt, wird das Paket verworfen.
Tabelle "Änderungshistorie"
Die Funktionsunterstützung hängt von der Plattform und der Version ab, die Sie verwenden. Verwenden Sie den Feature-Explorer , um festzustellen, ob ein Feature auf Ihrer Plattform unterstützt wird.