Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple : configuration d’IP Source Guard sur un VLAN de données qui partage une interface avec un VLAN vocal

Les commutateurs LAN Ethernet sont vulnérables aux attaques qui impliquent l’usurpation (forging) d’adresses IP source ou d’adresses MAC source. Ces paquets usurpés sont envoyés par des hôtes connectés à des interfaces d’accès non fiables sur le commutateur. Vous pouvez activer la fonctionnalité de sécurité du port IP source Guard sur les commutateurs EX Series pour atténuer les effets de telles attaques. Si IP Source Guard détermine qu’une adresse IP source et une adresse MAC source dans une liaison dans un paquet entrant ne sont pas valides, le commutateur ne transfère pas le paquet.

Si deux VLAN partagent une interface, vous pouvez configurer IP source Guard sur un seul des VLAN ; dans cet exemple, vous configurez IP source guard sur un VLAN de données non marqué, mais pas sur le VLAN vocal balisé. Vous pouvez utiliser l’authentification utilisateur 802.1X pour valider les connexions de l’équipement sur le VLAN de données.

Cet exemple décrit comment configurer IP source Guard avec l’authentification utilisateur 802.1X sur un VLAN de données, avec un VLAN vocal sur la même interface :

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Un commutateur EX Series

  • Junos OS version 9.2 ou ultérieure pour les commutateurs EX Series

  • Un serveur DHCP pour fournir des adresses IP aux équipements réseau du commutateur

  • Un serveur RADIUS pour fournir une authentification 802.1X

Avant de configurer IP source guard pour les VLAN de données, assurez-vous de disposer des éléments suivants :

Présentation et topologie

IP source guard vérifie l’adresse source IP et l’adresse source MAC dans un paquet envoyé par un hôte relié à une interface d’accès non fiable sur le commutateur. Si IP Source Guard détermine que l’en-tête du paquet contient une adresse IP source ou une adresse MAC source non valide, il s’assure que le commutateur ne transfère pas le paquet, c’est-à-dire qu’il est jeté.

Lorsque vous configurez IP source guard, vous l’activez sur un ou plusieurs VLAN. IP source Guard applique ses règles de contrôle aux interfaces d’accès non fiables sur ces VLAN. Par défaut, sur les commutateurs EX Series, les interfaces d’accès ne sont pas fiables et les interfaces d’agrégation sont sécurisées. IP source Guard ne vérifie pas les paquets qui ont été envoyés au commutateur par des équipements connectés à des interfaces principales ou des interfaces d’accès approuvées. Autrement dit, les interfaces configurées avec dhcp-trusted permettent de connecter un serveur DHCP à cette interface afin de fournir des adresses IP dynamiques.

IP source guard obtient des informations sur les liaisons ADRESSE IP/ADRESSE MAC/VLAN à partir de la base de données de surveillance DHCP. Le commutateur valide les paquets IP entrants par rapport aux entrées de cette base de données.

Topologie

La topologie de cet exemple comprend un commutateur EX-3200-24P, un PC et un téléphone IP connectés sur la même interface, une connexion à un serveur DHCP et une connexion à un serveur RADIUS pour l’authentification de l’utilisateur.

Note:

L’authentification utilisateur 802.1X appliquée dans cet exemple concerne les demandeurs uniques.

Vous pouvez également utiliser IP source Guard avec authentification utilisateur 802.1X pour un demandeur sécurisé unique ou plusieurs modes de demande. Si vous implémentez IP source guard avec l’authentification 802.1X en mode unique sécurisé ou en mode de demandeurs multiples, vous devez utiliser les directives de configuration suivantes :

  • Si l’interface 802.1X fait partie d’un VLAN non marqué basé sur MAC et que vous souhaitez activer IP source Guard et la surveillance DHCP sur ce VLAN, vous devez activer IP source Guard et DHCP surveillance sur tous les VLAN dynamiques dans lesquels l’interface dispose d’un appartenance sans faille.

  • Si l’interface 802.1X fait partie d’un VLAN MAC balisé et que vous souhaitez activer IP source Guard et la surveillance DHCP sur ce VLAN, vous devez activer IP source Guard et DHCP surveillance sur tous les VLAN dynamiques dans lesquels l’interface a balisé l’appartenance.

Pointe:

Vous pouvez définir l’indicateur ip-source-guard dans l’instruction traceoptions (Access Port Security) à des fins de débogage.

Cet exemple montre comment configurer une adresse IP statique à ajouter à la base de données de surveillance DHCP.

Configuration

Procédure

Configuration rapide CLI

Pour configurer rapidement IP source guard sur un VLAN de données, copiez les commandes suivantes et collez-les dans la fenêtre de terminal du commutateur :

Procédure étape par étape

Pour configurer IP source Guard sur le VLAN de données :

  1. Configurer l’interface VoIP :

  2. Configurez l’interface sur laquelle le serveur DHCP est connecté au commutateur en tant qu’interface sécurisée et ajoutez-la au VLAN de données :

  3. Configurer une adresse IP statique sur une interface du VLAN de données (facultatif)

  4. Configurez la surveillance DHCP et la protection de la source IP sur le VLAN de données :

  5. Configurez l’authentification utilisateur 802.1X et LLDP-MED sur l’interface partagée par le VLAN de données et le VLAN vocal :

  6. Définissez l’ID VLAN pour le VLAN voix :

Résultats

Vérifiez les résultats de la configuration :

Pointe:

Si vous vouliez configurer IP source guard sur le VLAN voix ainsi que sur le VLAN de données, vous configureriez la surveillance DHCP et ip source guard exactement comme vous l’avez fait pour le VLAN de données. Le résultat de configuration du VLAN voix sous port d’accès sécurisé est le même :

Vérification

Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :

Vérification du fonctionnement de l’authentification utilisateur 802.1X sur l’interface

But

Vérifier la configuration 802.1X sur l’interface ge-0/0/14.

Action

Vérifiez la configuration 802.1X avec la commande show dot1x interfacede mode opérationnel :

Sens

Le champ de sortie Mode de demande affiche le mode d’administration configuré pour chaque interface. L’interface ge-0/0/14.0 affiche Mode de demandeur unique .

Vérification de l’association VLAN avec l’interface

But

Affichez l’état de l’interface et l’appartenance au VLAN.

Action

Sens

Les membres VLAN sur le terrain montrent que l’interface ge-0/0/14.0 prend en charge à la fois le VLAN de données et le VLAN vocal . Le champ État indique que l’interface est opérationnel.

Vérifier que la surveillance DHCP et IP Source Guard fonctionnent sur le VLAN de données

But

Vérifiez que la surveillance DHCP et la protection de la source IP sont activées et fonctionnent sur le VLAN de données.

Action

Envoyez des requêtes DHCP à partir d’équipements réseau (ici, ce sont des clients DHCP) connectés au commutateur.

Affichez les informations de surveillance DHCP lorsque l’interface sur laquelle le serveur DHCP se connecte au commutateur est approuvée. Les résultats de sortie suivants lorsque les requêtes sont envoyées à partir des adresses MAC et que le serveur a fourni les adresses IP et les baux :

Afficher les informations de la source IP guard pour le VLAN de données.

Sens

Lorsque l’interface sur laquelle le serveur DHCP se connecte au commutateur a été définie sur la valeur de confiance, la sortie (voir l’exemple de sortie précédent pour show dhcp snooping binding) affiche, pour chaque adresse MAC, l’adresse IP attribuée et le temps de location, c’est-à-dire le temps, en secondes, restant avant l’expiration du bail. Les adresses IP statiques n’ont pas de durée de location attribuée. Les entrées configurées statiquement n’expirent jamais.

La table de base de données IP source guard contient les VLAN activés pour IP source Guard, les interfaces d’accès non fiables sur ces VLAN, les ID de balise VLAN 802.1Q s’il y en a, et les adresses IP et MAC qui sont liées les unes aux autres. Si une interface de commutateur est associée à plusieurs VLAN et que certains de ces VLAN sont activés pour IP source Guard et que d’autres ne le sont pas, les VLAN qui ne sont pas activés pour IP source Guard ont une étoile (*) dans les champs Adresse IP et Adresse MAC . Reportez-vous à l’entrée du VLAN vocal dans l’exemple de sortie précédent.