SUR CETTE PAGE
Exemple : Priorisation des paquets espionnés et inspectés
Sur les commutateurs EX Series, vous devrez peut-être utiliser la classe de service (CoS) pour protéger les paquets des applications critiques contre la perte pendant les périodes de congestion et de retard du réseau. Vous aurez peut-être également besoin des fonctions de sécurité des ports comme la surveillance DHCP et l’inspection ARP dynamique (DAI) sur les mêmes ports par lesquels ces paquets critiques entrent et sortent. Vous pouvez combiner les avantages de ces deux fonctionnalités en utilisant des classes de transfert CoS et des files d’attente pour donner la priorité aux paquets espionnés et inspectés. Ce type de configuration place les paquets espionnés et inspectés dans la file d’attente de sortie souhaitée, ce qui garantit que la procédure de sécurité n’interfère pas avec la transmission de ce trafic hautement prioritaire. Ceci est particulièrement important pour le trafic sensible à la gigue et aux retards, comme le trafic vocal.
Cet exemple montre comment configurer le commutateur pour qu’il donne la priorité aux paquets espionnés et inspectés dans un trafic réseau intense.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Un commutateur EX Series
Junos OS version 11.2 ou ultérieure pour les commutateurs EX Series
Un serveur DHCP pour fournir des adresses IP aux périphériques réseau sur le commutateur
Avant de spécifier des classes de transfert CoS pour les paquets espionnés et inspectés, assurez-vous d’avoir :
Connectez le serveur DHCP au commutateur - effectué.
Configurez la VLAN200 VLAN sur le commutateur - effectué. Reportez-vous à la section Configuration des VLAN pour les commutateurs EX Series.
Configuration de deux interfaces, ge-0/0/1 et ge-0/0/8, pour qu’elles appartiennent à VLAN200.
Vue d’ensemble et topologie
Les réseaux locaux Ethernet sont vulnérables à l’usurpation d’adresse et aux attaques par déni de service (DoS) sur les équipements réseau. Pour protéger les appareils contre de telles attaques, vous pouvez configurer la surveillance DHCP pour valider les messages du serveur DHCP et le DAI pour se protéger contre l’usurpation MAC. Si vous devez faire face à des périodes de forte congestion du réseau et que vous souhaitez vous assurer que le trafic sensible n’est pas perturbé, vous pouvez combiner les fonctionnalités de sécurité des ports avec des classes de transfert CoS pour donner la priorité au traitement des paquets de sécurité espionnés et inspectés.
Dans la configuration par défaut du commutateur :
L’accès sécurisé aux ports est activé sur le commutateur.
La surveillance DHCP et le DAI sont désactivés sur tous les VLAN.
Tous les ports d’accès ne sont pas approuvés et tous les ports trunk sont approuvés pour la surveillance DHCP.
Cet exemple montre comment combiner les fonctionnalités de surveillance DHCP et de sécurité DAI avec le transfert prioritaire des paquets espionnés et inspectés.
La configuration de cet exemple inclut le VLAN VLAN200 sur le commutateur. La figure 1 illustre la topologie de cet exemple.
Topologie
paquets espionnés et inspectés
Les composants de la topologie de cet exemple sont indiqués dans le tableau 1.
| Paramètres des propriétés | |
|---|---|
Matériel de commutation |
Commutateur EX Series |
Nom du VLAN |
VLAN200 |
Interfaces dans VLAN200 |
GE-0/0/1, GE-0/0/2, GE-0/0/3, GE-0/0/8 |
Interface pour serveur DHCP |
GE-0/0/8 |
Dans les tâches de configuration de cet exemple, vous créez une classe de transfert définie par l’utilisateur c1, vous activez la surveillance DHCP et le DAI sur VLAN200, et vous affectez les paquets espionnés et inspectés à la classe de transfert c1 et à la file d’attente 6. Les files d’attente 6 et 7 sont réservées aux paquets de contrôle de haute priorité. Les paquets soumis à la surveillance DHCP et au DAI sont des paquets de contrôle (et non de données). Par conséquent, il convient de placer ces paquets de contrôle de haute priorité espionnés et inspectés dans la file d’attente 6. (La file d’attente 7 a une priorité plus élevée que la file d’attente 6 et peut également être utilisée à cette fin.)
Configuration
Pour configurer la surveillance DHCP et le DAI sur VLAN200, et pour donner la priorité aux paquets espionnés et inspectés :
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement la surveillance DHCP et DAI avec le transfert prioritaire des paquets espionnés et inspectés, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit]
set class-of-service forwarding-classes class c1 queue 6
set ethernet-switching-options security-access-port vlan VLAN200 examine-dhcp forwarding-class c1
set ethernet-switching-options security-access-port vlan VLAN200 arp-inspection forwarding-class c1
Procédure étape par étape
Configurez les protocoles DHCP et DAI avec un transfert prioritaire des paquets espionnés et inspectés :
Créez une classe de transfert définie par l’utilisateur à utiliser pour hiérarchiser les paquets espionnés et inspectés.
[edit class-of-service] user@switch# set forwarding-classes class c1 queue 6
Activez la surveillance DHCP sur le VLAN et appliquez la classe de transfert c1 aux paquets espionnés :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan VLAN200 examine-dhcp forwarding-class c1
Activez le DAI sur le VLAN et appliquez la classe de transfert c1 aux paquets inspectés :
[edit ethernet-switching-options secure-access-port] user@switch# set vlan VLAN200 arp-inspection forwarding-class c1
Résultats
Vérifiez les résultats de la configuration :
[edit ethernet-switching-options secure-access-port]
user@switch# show
vlan VLAN200 {
arp-inspection forwarding-class c1;
examine-dhcp forwarding-class c1;
}
[edit class-of-service]
user@switch# show
}
forwarding-classes {
class c1 queue-num 6;
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
- Vérification du bon fonctionnement du transfert prioritaire sur les paquets espionnés
- Vérification du bon fonctionnement du transfert prioritaire sur les paquets inspectés par DAI
Vérification du bon fonctionnement du transfert prioritaire sur les paquets espionnés
But
Vérifiez que le transfert prioritaire fonctionne sur les paquets DHCP espionnés.
Action
Envoyez des requêtes DHCP depuis les périphériques réseau vers le commutateur. Affichez la file d’attente de sortie de l’une des interfaces dans VLAN200 pour vous assurer que les paquets sont transmis dans la file d’attente désignée :
user@switch> show interfaces ge 0/0/1 extensive
Egress queues: 8 supported, 5 in use
Queue counters: Queued packets Transmitted packets Dropped packets
0 best-effort 0 0 0
1 assured-forw 0 0 0
5 expedited-fo 0 0 0
6 c1 0 3209 0
7 network-cont 0 126371 0
Signification
La sortie de la commande indique que les paquets ont été transmis sur la file d’attente 6 de la classe de transfert c1 .
Poursuivez le test en modifiant le paramètre de examine-dhcp forwarding-class pour utiliser l’une des files d’attente par défaut, telle que best-effort, et répétez la show interfaces commande pour comparer la différence de sortie. Vous pouvez savoir que le paramètre fonctionne correctement en voyant la différence dans le nombre de paquets transmis signalés pour la file d’attente de transfert de classe c1 6.
Vérification du bon fonctionnement du transfert prioritaire sur les paquets inspectés par DAI
But
Vérifiez que le transfert prioritaire fonctionne sur les paquets inspectés par DAI.
Action
Envoyez des requêtes ARP des périphériques réseau au commutateur. Affichez la file d’attente de sortie de l’une des interfaces dans VLAN200 pour vous assurer que les paquets sont transmis dans la file d’attente désignée :
user@switch> show interfaces ge-0/0/1 extensive
Egress queues: 8 supported, 5 in use
Queue counters: Queued packets Transmitted packets Dropped packets
0 best-effort 0 0 0
1 assured-forw 0 0 0
5 expedited-fo 0 0 0
6 c1 0 3209 0
7 network-cont 0 126371 0
Signification
La sortie de la commande indique que les paquets ont été transmis sur la file d’attente 6 de la classe de transfert c1 .
Poursuivez le test en modifiant le paramètre de arp-inspection forwarding-class pour utiliser l’une des files d’attente par défaut, telle que best-effort, et répétez la show interfaces commande pour comparer la différence de sortie. Vous pouvez savoir que le paramètre fonctionne correctement en voyant la différence dans le nombre de paquets transmis signalés pour la file d’attente de transfert de classe c1 6.