例:スヌーピングおよびインスペクションされたパケットの優先順位付け
EXシリーズスイッチでは、CoS(サービスクラス)を使用して、ネットワークの輻輳や遅延時に重要なアプリケーションからのパケットがドロップされないように保護する必要があります。また、これらの重要なパケットが出入りするのと同じポートで、DHCPスヌーピングとDAI(Dynamic ARP Inspection)のポートセキュリティ機能も必要な場合があります。CoS 転送クラスとキューを使用して、スヌーピングおよびインスペクションされたパケットに優先順位を付けることで、これら両方の機能の利点を組み合わせることができます。このタイプの設定では、スヌーピングおよび検査されたパケットが目的のエグレス キューに配置され、セキュリティ手順がこの優先度の高いトラフィックの送信に干渉しないようにします。これは、音声トラフィックなど、ジッターや遅延の影響を受けやすいトラフィックでは特に重要です。
この例では、大量のネットワーク トラフィックにおいて、スヌーピングおよびインスペクションされたパケットを優先するようにスイッチを設定する方法を示します。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
1 つの EX シリーズ スイッチ
EX シリーズスイッチの Junos OS リリース 11.2 以降
スイッチ上のネットワーク デバイスに IP アドレスを提供する DHCP サーバー
スヌーピングおよびインスペクションされたパケットのCoS転送クラスを指定する前に、以下が完了していることを確認してください。
DHCPサーバーをスイッチに接続していること。
スイッチにVLAN VLAN200 を設定。 EX シリーズスイッチの VLAN の設定を参照してください。
VLAN200に属するように、ge-0/0/1とge-0/0/8の2つのインターフェイスを設定。
概要とトポロジー
イーサネットLANは、ネットワークデバイスに対するアドレススプーフィングやDoS攻撃に対して脆弱です。このような攻撃からデバイスを保護するために、DHCP スヌーピングを設定して DHCP サーバ メッセージを検証し、DAI を設定して MAC スプーフィングから保護できます。ネットワークの輻輳が激しい期間に対処しなければならず、機密性の高いトラフィックが中断されないようにしたい場合は、ポート セキュリティ機能と CoS 転送クラスを組み合わせて、スヌーピングおよび検査対象のセキュリティ パケットの処理に優先順位を付けることができます。
デフォルトのスイッチ構成の場合:
スイッチでセキュアポートアクセスがアクティブになります。
DHCP スヌーピングと DAI は、すべての VLAN で無効になっています。
すべてのアクセス ポートは信頼されず、すべてのトランク ポートは DHCP スヌーピングに対して信頼されます。
この例では、DHCP スヌーピングおよび DAI セキュリティ機能と、スヌーピングおよびインスペクションされたパケットの優先転送を組み合わせる方法を示します。
この例のセットアップには、スイッチの VLAN VLAN200 が含まれています。 図 1 に、この例のトポロジーを示します。
位相幾何学
この例のトポロジーのコンポーネントを 表 1 に示します。
プロパティ | 設定 |
---|---|
スイッチ ハードウェア |
EX シリーズ スイッチ |
VLAN名 |
VLAN200 |
VLAN200 のインターフェイス |
ge-0/0/1、ge-0/0/2、ge-0/0/3、ge-0/0/8 |
DHCP サーバーのインターフェイス |
ge-0/0/8 |
この例の設定タスクでは、ユーザ定義の転送クラス c1 を作成し、DHCP スヌーピングと DAI を VLAN200 でイネーブルにし、スヌーピングおよびインスペクションされたパケットを転送クラス c1 とキュー 6 に割り当てます。キュー 6 および 7 は、優先度の高い制御パケット用に予約されています。DHCP スヌーピングおよび DAI の対象となるパケットは、制御(データではない)パケットです。そのため、これらのスヌーピングおよびインスペクションされた優先度の高い制御パケットをキュー 6 に配置するのが適切です。(キュー 7 はキュー 6 よりも優先度が高く、この目的にも使用できます)。
構成
VLAN200 で DHCP スヌーピングと DAI を設定し、スヌーピングおよびインスペクションされたパケットに優先順位を付けるには:
プロシージャ
CLIクイック構成
スヌーピングおよびインスペクションされたパケットの優先転送を使用してDHCPスヌーピングとDAIを迅速に設定するには、次のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set class-of-service forwarding-classes class c1 queue 6 set ethernet-switching-options security-access-port vlan VLAN200 examine-dhcp forwarding-class c1 set ethernet-switching-options security-access-port vlan VLAN200 arp-inspection forwarding-class c1
手順
DHCP と DAI を設定し、スヌーピングおよびインスペクションされたパケットの優先転送を行います。
スヌーピングおよび検査されたパケットの優先順位付けに使用するユーザー定義の転送クラスを作成します。
[edit class-of-service] user@switch# set forwarding-classes class c1 queue 6
VLANでDHCPスヌーピングを有効にし、スヌーピングされたパケットに転送クラス c1 を適用します。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan VLAN200 examine-dhcp forwarding-class c1
VLANでDAIを有効にし、検査対象のパケットに転送クラス c1 を適用します。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan VLAN200 arp-inspection forwarding-class c1
業績
構成の結果を確認します。
[edit ethernet-switching-options secure-access-port] user@switch# show vlan VLAN200 { arp-inspection forwarding-class c1; examine-dhcp forwarding-class c1; } [edit class-of-service] user@switch# show } forwarding-classes { class c1 queue-num 6; }
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
優先転送がスヌーピングされたパケットで正しく動作していることの検証
目的
優先転送が DHCP スヌーピング パケットで機能していることを確認します。
アクション
ネットワーク デバイスからスイッチにいくつかの DHCP 要求を送信します。VLAN200 内のいずれかのインターフェイスの出力キューを表示して、パケットが指定されたキューで送信されていることを確認します。
user@switch> show interfaces ge 0/0/1 extensive Egress queues: 8 supported, 5 in use Queue counters: Queued packets Transmitted packets Dropped packets 0 best-effort 0 0 0 1 assured-forw 0 0 0 5 expedited-fo 0 0 0 6 c1 0 3209 0 7 network-cont 0 126371 0
意味
このコマンドの出力は、転送クラス c1 キュー 6 でパケットが送信されたことを示しています。
examine-dhcp forwarding-class の設定を変更して、ベストエフォートなどのデフォルトキューの 1 つを使用するようにテストを続行し、show interfaces
コマンドを繰り返して出力の差を比較します。転送クラス c1 キュー 6 について報告された送信パケット数の違いを確認すると、設定が正しく機能していることがわかります。
優先転送が DAI で検査されたパケットで正しく動作していることの検証
目的
優先転送が DAI で検査されたパケットで機能していることを確認します。
アクション
ネットワーク デバイスからスイッチに ARP 要求を送信する。VLAN200 内のいずれかのインターフェイスの出力キューを表示して、パケットが指定されたキューで送信されていることを確認します。
user@switch> show interfaces ge-0/0/1 extensive Egress queues: 8 supported, 5 in use Queue counters: Queued packets Transmitted packets Dropped packets 0 best-effort 0 0 0 1 assured-forw 0 0 0 5 expedited-fo 0 0 0 6 c1 0 3209 0 7 network-cont 0 126371 0
意味
このコマンドの出力は、転送クラス c1 キュー 6 でパケットが送信されたことを示しています。
ベストエフォートなどのデフォルトキューの1つを使用するように arp-inspection forwarding-class の設定を変更してテストを続け、 show interfaces
コマンドを繰り返して出力の差を比較します。転送クラス c1 キュー 6 について報告された送信パケット数の違いを確認すると、設定が正しく機能していることがわかります。