Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple : protection contre l’usurpation d’adresse et les attaques doS de couche 2

Vous pouvez configurer la surveillance DHCP, l’inspection ARP dynamique (DAI) et la limitation MAC sur les interfaces d’accès d’un commutateur afin de protéger le commutateur et le réseau LAN Ethernet contre les usurpations d’adresses et les attaques par déni de service (DoS) de couche 2. Pour obtenir les paramètres de base de ces fonctionnalités, vous pouvez utiliser la configuration par défaut du commutateur pour la sécurité des ports, configurer la limite MAC et activer la surveillance DHCP et le DAI sur un VLAN. Vous pouvez configurer ces fonctionnalités lorsque le serveur DHCP est connecté à un commutateur différent de celui auquel les clients DHCP (équipements réseau) sont connectés.

Cet exemple décrit comment configurer les fonctionnalités de sécurité des ports sur un commutateur dont les hôtes obtiennent des adresses IP et des durées de location à partir d’un serveur DHCP connecté à un deuxième commutateur :

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Un commutateur EX Series ou QFX3500 : le commutateur 1 dans cet exemple.

  • Commutateur EX Series ou commutateur QFX3500 supplémentaire : commutateur 2 dans cet exemple. Vous ne configurez pas la sécurité des ports sur ce deuxième commutateur.

  • Junos OS version 9.0 ou ultérieure pour les commutateurs EX Series ou Junos OS version 12.1 ou ultérieure pour QFX Series.

  • Un serveur DHCP connecté au commutateur 2. Vous utilisez le serveur pour fournir des adresses IP aux équipements réseau connectés au commutateur 1.

  • Au moins deux équipements réseau (hôtes) que vous connectez aux interfaces d’accès du commutateur 1. Ces équipements sont des clients DHCP.

Avant de configurer les fonctionnalités de sécurité des ports de surveillance DHCP, DAI et MAC, assurez-vous de :

Présentation et topologie

Les réseaux LAN Ethernet sont vulnérables aux usurpations d’identité et aux attaques DoS contre les équipements réseau. Pour protéger les équipements contre de telles attaques, vous pouvez configurer :

  • Surveillance DHCP pour valider les messages du serveur DHCP

  • DAI pour se protéger contre l’usurpation ARP

  • Limitation MAC pour limiter le nombre d’adresses MAC que le commutateur ajoute à son cache d’adresses MAC

Cet exemple montre comment configurer ces fonctionnalités de sécurité des ports sur le commutateur 1. Le commutateur 1 est connecté à un autre commutateur (commutateur 2), qui n’est pas configuré avec les fonctionnalités de sécurité des ports. Le commutateur 2 est connecté à un serveur DHCP (voir Figure 1.) Les équipements réseau (hôtes) connectés au commutateur 1 envoient des requêtes d’adresses IP (ces équipements réseau sont des clients DHCP). Ces requêtes sont transmises du commutateur 1 au commutateur 2, puis au serveur DHCP connecté au commutateur 2. Les réponses aux requêtes sont transmises sur le chemin inverse de celui suivi par celle qui les suit.

La configuration de cet exemple inclut le VLAN employee-vlan sur les deux commutateurs.

La figure 1 illustre la topologie du réseau.

Topologie

Figure 1 : Topologie réseau pour la configuration de la sécurité des ports avec deux commutateurs sur le même VLAN Network Topology for Port Security Setup with Two Switches on the Same VLAN

Les composants de la topologie de cet exemple sont illustrés dans le tableau 1.

Tableau 1 : Composants du paramétrage de la sécurité des ports sur le commutateur 1 avec un serveur DHCP connecté au commutateur 2
Paramètres des propriétés

Matériel de commutation

Un commutateur EX Series ou un commutateur QFX3500 (commutateur 1) et un commutateur EX Series ou QFX3500 supplémentaire (commutateur 2)

Nom et ID du VLAN

employee-vlanétiquette 20

Sous-réseaux VLAN

192.0.2.16/28192.0.2.17 Par 192.0.2.30192.0.2.31 est l’adresse de diffusion du sous-réseau

Interface trunk sur les deux commutateurs

ge-0/0/11

Interfaces d’accès sur le commutateur 1

ge-0/0/1, ge-0/0/2 et ge-0/0/3

Interface d’accès sur le commutateur 2

ge-0/0/1

Interface pour serveur DHCP

ge-0/0/1 sur le commutateur 2

Le commutateur 1 est initialement configuré avec la configuration de sécurité des ports par défaut. Dans la configuration par défaut du commutateur :

  • L’accès au port sécurisé est activé sur le commutateur.

  • Le commutateur ne dépose aucun paquet, c’est-à-dire le paramètre par défaut.

  • Surveillance DHCP et DAI désactivés sur tous les VLAN.

  • Toutes les interfaces d’accès ne sont pas fiables et les interfaces d’agrégation sont fiables. ce sont les paramètres par défaut.

Dans les tâches de configuration de cet exemple, vous configurez un VLAN sur les deux commutateurs.

En plus de configurer le VLAN, vous activez la surveillance DHCP sur le commutateur 1. Dans cet exemple, vous activez également le DAI et une limite MAC du 5 commutateur 1.

Étant donné que l’interface qui connecte le commutateur 2 au commutateur 1 est une interface d’agrégation, il n’est pas nécessaire de configurer cette interface pour qu’elle soit fiable. Comme mentionné ci-dessus, les interfaces d’agrégation sont automatiquement sécurisées. Les messages DHCP provenant du serveur DHCP vers le commutateur 2 puis du commutateur 1 sont donc fiables.

Configuration d’un VLAN, d’interfaces et de fonctionnalités de sécurité des ports sur le commutateur 1

Procédure

Configuration rapide CLI

Pour configurer rapidement un VLAN, des interfaces et des fonctionnalités de sécurité des ports, copiez les commandes suivantes et collez-les dans la fenêtre de terminal du commutateur :

Procédure étape par étape

Pour configurer la limitation MAC, un VLAN et des interfaces sur le commutateur 1 et activer DAI et DHCP sur le VLAN :

  1. Configurez le VLAN employee-vlan avec l’ID 20VLAN :

  2. Configurez une interface sur le commutateur 1 en tant qu’interface d’agrégation :

  3. Associer le VLAN aux interfaces ge-0/0/1, ge-0/0/2, ge-0/0/3 et ge-0/0/11 :

  4. Activer la surveillance DHCP sur le VLAN :

  5. Activer la technologie DAI sur le VLAN :

  6. Configurez une limite MAC sur 5 ge-0/0/1 et utilisez l’action par défaut ( drop les paquets avec de nouvelles adresses sont supprimés si la limite est dépassée) :

  7. Effacer les entrées de tableau d’adresses MAC existantes à partir de l’interface ge-0/0/1 :

Résultats

Afficher les résultats de la configuration :

Configuration d’un VLAN et d’interfaces sur le commutateur 2

Pour configurer le VLAN et les interfaces sur le commutateur 2 :

Procédure

Configuration rapide CLI

Pour configurer rapidement le VLAN et les interfaces du commutateur 2, copiez les commandes suivantes et collez-les dans la fenêtre de terminal du commutateur :

Procédure étape par étape

Pour configurer le VLAN et les interfaces sur le commutateur 2 :

  1. Configurez le VLAN employee-vlan avec l’ID 20VLAN :

  2. Configurez une interface sur le commutateur 2 en tant qu’interface d’agrégation :

  3. Associer le VLAN aux interfaces ge-0/0/1 et ge-0/0/11 :

Résultats

Afficher les résultats de la configuration :

Vérification

Pour confirmer que la configuration fonctionne correctement.

Vérification du bon fonctionnement de la surveillance DHCP sur le commutateur 1

But

Vérifiez que la surveillance DHCP fonctionne sur le commutateur 1.

Action

Envoyez des requêtes DHCP à partir d’équipements réseau (ici, ce sont des clients DHCP) connectés au commutateur.

émettre la commande show dhcp snooping binding du mode opérationnel pour afficher les informations de surveillance DHCP lorsque l’interface via laquelle le commutateur 2 envoie les réponses du serveur DHCP aux clients connectés au commutateur 1 est approuvée. Le serveur a fourni les adresses IP et les baux :

Sens

La sortie affiche, pour chaque adresse MAC, l’adresse IP attribuée et le temps de location, c’est-à-dire le temps, en secondes, restant avant l’expiration du bail.

Vérifier que l’IA fonctionne correctement sur le commutateur 1

But

Vérifiez que le DAI fonctionne sur le commutateur 1.

Action

Envoyez des requêtes ARP à partir d’équipements réseau connectés au commutateur.

Émettre la commande show arp inspection statistics du mode opérationnel pour afficher les informations DAI :

Sens

La sortie affiche le nombre de paquets ARP reçus et inspectés par interface, avec une liste du nombre de paquets passés et du nombre d’échecs de l’inspection sur chaque interface. Le commutateur compare les requêtes ARP et répond par rapport aux entrées de la base de données de surveillance DHCP. Si une adresse MAC ou une adresse IP dans le paquet ARP ne correspond pas à une entrée valide dans la base de données, le paquet est abandonné.

Vérifier que la limitation MAC fonctionne correctement sur le commutateur 1

But

Vérifiez que la limitation MAC fonctionne sur le commutateur 1.

Action

Émettre la commande show ethernet-switching table du mode opérationnel pour afficher les adresses MAC apprises lors de l’envoi de requêtes DHCP à partir d’hôtes sur ge-0/0/1 :

Sens

Le résultat indique que cinq adresses MAC ont été apprises pour l’interface ge-0/0/1, ce qui correspond à la limite de niveau MAC définie 5 dans la configuration. La dernière ligne de la sortie montre qu’une sixième demande d’adresse MAC a été abandonnée, comme indiqué par l’astérisque (*) dans la MAC address colonne.