SUR CETTE PAGE
Exemple : Configuration d’IP Source Guard sur un VLAN de données qui partage une interface avec un VLAN vocal
Les commutateurs LAN Ethernet sont vulnérables aux attaques impliquant l’usurpation d’adresses IP sources ou d’adresses MAC sources. Ces paquets usurpés sont envoyés depuis des hôtes connectés à des interfaces d’accès non approuvées sur le commutateur. Vous pouvez activer la fonctionnalité de sécurité du port IP Source Guard sur les commutateurs EX Series pour atténuer les effets de telles attaques. Si IP Source Guard détermine qu’une adresse IP source et une adresse MAC source dans une liaison d’un paquet entrant ne sont pas valides, le commutateur ne transfère pas le paquet.
Si deux VLAN partagent une interface, vous pouvez configurer IP Source Guard sur un seul d’entre eux. dans cet exemple, vous configurez IP Source Guard sur un VLAN de données non balisé, mais pas sur le VLAN vocal balisé. Vous pouvez utiliser l’authentification utilisateur 802.1X pour valider les connexions des appareils sur le VLAN de données.
Cet exemple décrit comment configurer IP Source Guard avec l’authentification utilisateur 802.1X sur un VLAN de données, avec un VLAN vocal sur la même interface :
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Un commutateur EX Series
Junos OS version 9.2 ou ultérieure pour les commutateurs EX Series
Un serveur DHCP pour fournir des adresses IP aux périphériques réseau sur le commutateur
Un serveur RADIUS pour fournir une authentification 802.1X
Avant de configurer IP Source Guard pour les VLAN de données, assurez-vous d’avoir :
Connectez le serveur DHCP au commutateur - effectué.
Connectez le serveur RADIUS au commutateur et configurez l’authentification de l’utilisateur sur le serveur - effectué. Voir Exemple : connexion d’un serveur RADIUS pour 802.1X à un commutateur EX Series.
Configurez les VLAN - effectué. Reportez-vous à la section Exemple : configuration du pontage avec plusieurs VLAN pour commutateurs EX Series pour plus d’informations sur la configuration des VLAN.
Vue d’ensemble et topologie
IP Source Guard vérifie l’adresse IP source et l’adresse MAC d’un paquet envoyé à partir d’un hôte connecté à une interface d’accès non fiable sur le commutateur. Si IP Source Guard détermine que l’en-tête du paquet contient une adresse IP source ou une adresse MAC source non valide, il s’assure que le commutateur ne transfère pas le paquet, c’est-à-dire que le paquet est ignoré.
Lorsque vous configurez IP Source Guard, vous activez celui-ci sur un ou plusieurs VLAN. IP Source Guard applique ses règles de vérification aux interfaces d’accès non approuvées sur ces VLAN. Par défaut, sur les commutateurs EX Series, les interfaces d’accès ne sont pas approuvées et les interfaces trunk sont approuvées. IP Source Guard ne vérifie pas les paquets qui ont été envoyés au commutateur par des périphériques connectés à des interfaces trunk ou à des interfaces d’accès approuvées, c’est-à-dire des interfaces configurées avec dhcp-trusted afin qu’un serveur DHCP puisse être connecté à cette interface pour fournir des adresses IP dynamiques.
IP Source Guard obtient des informations sur les liaisons adresse IP/adresse MAC/VLAN à partir de la base de données d’écoute DHCP. Le commutateur doit alors valider les paquets IP entrants par rapport aux entrées de cette base de données.
Topologie
La topologie de cet exemple comprend un commutateur EX-3200-24P, un PC et un téléphone IP connectés sur la même interface, une connexion à un serveur DHCP et une connexion à un serveur RADIUS pour l’authentification des utilisateurs.
L’authentification utilisateur 802.1X appliquée dans cet exemple concerne les demandeurs uniques.
Vous pouvez également utiliser IP Source Guard avec authentification utilisateur 802.1X pour le mode de demandeur sécurisé unique ou multiple. Si vous implémentez IP Source Guard avec authentification 802.1X en mode de demandeur sécurisé unique ou en mode de demandeur multiple, vous devez suivre les instructions de configuration suivantes :
Si l’interface 802.1X fait partie d’un VLAN MAC non balisé et que vous souhaitez activer IP Source Guard et la surveillance DHCP sur ce VLAN, vous devez activer IP Source Guard et DHCP snooping sur tous les VLAN dynamiques auxquels l’interface appartient sans balise.
Si l’interface 802.1X fait partie d’un VLAN MAC balisé et que vous souhaitez activer IP Source Guard et la surveillance DHCP sur ce VLAN, vous devez activer IP Source Guard et la surveillance DHCP sur tous les VLAN dynamiques dans lesquels l’interface a marqué l’appartenance.
Vous pouvez définir l’indicateur ip-source-guard dans l’instruction traceoptions (Access Port Security) à des fins de débogage.
Cet exemple montre comment configurer une adresse IP statique à ajouter à la base de données d’écoute DHCP.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement IP Source Guard sur un VLAN de données, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
set ethernet-switching-options voip interface ge-0/0/14.0 vlan voice set ethernet-switching-options secure-access-port interface ge-0/0/24.0 dhcp-trusted set ethernet-switching-options secure-access-port interface ge-0/0/14 static-ip 10.1.1.1 mac 00:11:11:11:11:11 vlan data set ethernet-switching-options secure-access-port vlan data examine-dhcp set ethernet-switching-options secure-access-port vlan data ip-source-guard set interfaces ge-0/0/24 unit 0 family ethernet-switching vlan members data set vlans voice vlan-id 100 set protocols lldp-med interface ge-0/0/14.0 set protocols dot1x authenticator authentication-profile-name profile52 set protocols dot1x authenticator interface ge-0/0/14.0 supplicant single
Procédure étape par étape
Pour configurer IP Source Guard sur le VLAN de données :
Configurez l’interface VoIP :
[edit ethernet-switching-options] user@switch# set voip interface ge-0/0/14.0 vlan voice
Configurez l’interface sur laquelle le serveur DHCP est connecté au commutateur en tant qu’interface sécurisée et ajoutez cette interface au VLAN de données :
[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/24.0 dhcp-trusted [edit interfaces] user@switch# set ge-0/0/24 unit 0 family ethernet-switching vlan members data
Configurer une adresse IP statique sur une interface du VLAN de données (facultatif)
[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/14 static-ip 10.1.1.1 mac 00:11:11:11:11:11 vlan data
Configurez la surveillance DHCP et la protection de la source IP sur le VLAN de données :
[edit ethernet-switching-options] user@switch# set secure-access-port vlan data examine-dhcp user@switch# set secure-access-port vlan data ip-source-guard
Configurez l’authentification utilisateur 802.1X et LLDP-MED sur l’interface partagée par le VLAN de données et le VLAN vocal :
[edit protocols] user@switch# set lldp-med interface ge-0/0/14.0 user@switch# set dot1x authenticator authentication-profile-name profile52 user@switch# set dot1x authenticator interface ge-0/0/14.0 supplicant single
Définissez l’ID de VLAN pour le VLAN vocal :
[edit vlans] user@switch# set voice vlan-id 100
Résultats
Vérifiez les résultats de la configuration :
[edit ethernet-switching-options]
user@switch# show
voip {
interface ge-0/0/14.0 {
vlan voice;
}
}
secure-access-port {
interface ge-0/0/14.0 {
static-ip 10.1.1.1 vlan data mac 00:11:11:11:11:11;
}
interface ge-0/0/24.0 {
dhcp-trusted;
}
vlan data {
examine-dhcp;
ip-source-guard;
}
}
[edit interfaces]
ge-0/0/24 {
unit 0 {
family ethernet-switching {
vlan {
members data;
}
}
}
}
[edit vlans]
voice {
vlan-id 100;
}
[edit protocols]
lldp-med {
interface ge-0/0/14.0;
}
dot1x {
authenticator {
authentication-profile-name profile52;
interface {
ge-0/0/14.0 {
supplicant single;
}
}
}
}
Si vous souhaitez configurer IP Source Guard sur le VLAN vocal ainsi que sur le VLAN de données, vous devez configurer la surveillance DHCP et IP Source Guard exactement comme vous l’avez fait pour le VLAN de données. Le résultat de la configuration pour le VLAN vocal sous secure-access-port ressemblerait à ceci :
secure-access-port {
vlan voice {
examine-dhcp;
ip-source-guard;
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
- Vérification du bon fonctionnement de l’authentification utilisateur 802.1X sur l’interface
- Vérification de l’association VLAN avec l’interface
- Vérification de l’efficacité de la surveillance DHCP et de la protection de source IP sur le VLAN de données
Vérification du bon fonctionnement de l’authentification utilisateur 802.1X sur l’interface
But
Vérifiez la configuration 802.1X sur l’interface ge-0/0/14.
Action
Vérifiez la configuration 802.1X à l’aide de la commande show dot1x interfaceen mode opérationnel :
user@switch> show dot1x interface ge-0/0/14.0 detail
ge-0/0/14.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: <not configured>
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Signification
Le champ de sortie Mode demandeur affiche le mode d’administration configuré pour chaque interface. L’interface ge-0/0/14.0 affiche le mode demandeur unique .
Vérification de l’association VLAN avec l’interface
But
Affichez l’état de l’interface et l’appartenance au VLAN.
Action
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee unblocked
ge-0/0/2.0 down employee unblocked
ge-0/0/12.0 down default unblocked
ge-0/0/13.0 down default unblocked
ge-0/0/13.0 down vlan100 unblocked
ge-0/0/14.0 up voice unblocked
data unblocked
ge-0/0/17.0 down employee unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/24.0 down data unblocked
employee unblocked
vlan100 unblocked
voice unblocked
Signification
Le champ Membres VLAN indique que l’interface ge-0/0/14.0 prend en charge à la fois le VLAN de données et le VLAN vocal . Le champ État indique que l’interface est active.
Vérification de l’efficacité de la surveillance DHCP et de la protection de source IP sur le VLAN de données
But
Vérifiez que la surveillance DHCP et la protection de source IP sont activées et fonctionnent sur le VLAN de données.
Action
Envoyez des requêtes DHCP à partir de périphériques réseau (ici des clients DHCP) connectés au commutateur.
Affichez les informations de surveillance DHCP lorsque l’interface sur laquelle le serveur DHCP se connecte au commutateur est approuvée. La sortie suivante se produit lorsque les requêtes sont envoyées à partir des adresses MAC et que le serveur a fourni les adresses IP et les baux :
user@switch> show dhcp snooping binding
DHCP Snooping Information:
MAC address IP address Lease (seconds) Type VLAN Interface
00:05:85:3A:82:77 192.0.2.17 600 dynamic employee ge-0/0/1.0
00:05:85:3A:82:79 192.0.2.18 653 dynamic employee ge-0/0/1.0
00:05:85:3A:82:80 192.0.2.19 720 dynamic employee ge-0/0/2.0
00:05:85:3A:82:81 192.0.2.20 932 dynamic employee ge-0/0/2.0
00:30:48:92:A5:9D 10.10.10.7 720 dynamic vlan100 ge-0/0/13.0
00:30:48:8D:01:3D 10.10.10.9 720 dynamic data ge-0/0/14.0
00:30:48:8D:01:5D 10.10.10.8 1230 dynamic voice ge-0/0/14.0
00:11:11:11:11:11 10.1.1.1 — static data ge-0/0/14.0
00:05:85:27:32:88 192.0.2.22 — static employee ge-0/0/17.0
00:05:85:27:32:89 192.0.2.23 — static employee ge-0/0/17.0
00:05:85:27:32:90 192.0.2.27 — static employee ge-0/0/17.0
Affichez les informations de protection de la source IP pour le VLAN de données.
user@switch> show ip-source-guard IP source guard information: Interface Tag IP Address MAC Address VLAN ge-0/0/13.0 0 10.10.10.7 00:30:48:92:A5:9D vlan100 ge-0/0/14.0 0 10.10.10.9 00:30:48:8D:01:3D data ge-0/0/14.0 0 10.1.1.1 00:11:11:11:11:11 data ge–0/0/13.0 100 * * voice
Signification
Lorsque l’interface sur laquelle le serveur DHCP se connecte au commutateur a été définie sur approuvée, la sortie (voir l’exemple de sortie précédent pour show dhcp snooping binding) affiche, pour chaque adresse MAC, l’adresse IP attribuée et la durée du bail, c’est-à-dire le temps, en secondes, restant avant l’expiration du bail. Les adresses IP statiques n’ont pas de durée de bail attribuée. Les entrées configurées statiquement n’expirent jamais.
La table de la base de données IP Source Guard contient les VLAN activés pour IP Source Guard, les interfaces d’accès non approuvées sur ces VLAN, les ID de balise VLAN 802.1Q s’il y en a, ainsi que les adresses IP et les adresses MAC qui sont liées les unes aux autres. Si une interface de commutateur est associée à plusieurs VLAN et que certains de ces VLAN sont activés pour IP Source Guard et d’autres non, les VLAN qui ne sont pas activés pour IP Source Guard sont marqués d’une étoile (*) dans les champs Adresse IP et Adresse MAC . Reportez-vous à l’entrée du VLAN vocal dans l’exemple de sortie précédent.