Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:スヌーピングおよびインスペクションされたパケットの優先順位付け

EXシリーズスイッチでは、CoS(サービスクラス)を使用して、ネットワークの輻輳や遅延時に重要なアプリケーションからのパケットがドロップされないように保護する必要があります。また、これらの重要なパケットが出入りするのと同じポートで、DHCPスヌーピングとDAI(Dynamic ARP Inspection)のポートセキュリティ機能も必要な場合があります。CoS 転送クラスとキューを使用して、スヌーピングおよびインスペクションされたパケットに優先順位を付けることで、これら両方の機能の利点を組み合わせることができます。このタイプの設定では、スヌーピングおよび検査されたパケットが目的のエグレス キューに配置され、セキュリティ手順がこの優先度の高いトラフィックの送信に干渉しないようにします。これは、音声トラフィックなど、ジッターや遅延の影響を受けやすいトラフィックでは特に重要です。

この例では、大量のネットワーク トラフィックにおいて、スヌーピングおよびインスペクションされたパケットを優先するようにスイッチを設定する方法を示します。

必要条件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 1 つの EX シリーズ スイッチ

  • EX シリーズスイッチの Junos OS リリース 11.2 以降

  • スイッチ上のネットワーク デバイスに IP アドレスを提供する DHCP サーバー

スヌーピングおよびインスペクションされたパケットのCoS転送クラスを指定する前に、以下が完了していることを確認してください。

  • DHCPサーバーをスイッチに接続していること。

  • スイッチにVLAN VLAN200 を設定。 EX シリーズスイッチの VLAN の設定を参照してください。

  • VLAN200に属するように、ge-0/0/1ge-0/0/8の2つのインターフェイスを設定

概要とトポロジー

イーサネットLANは、ネットワークデバイスに対するアドレススプーフィングやDoS攻撃に対して脆弱です。このような攻撃からデバイスを保護するために、DHCP スヌーピングを設定して DHCP サーバ メッセージを検証し、DAI を設定して MAC スプーフィングから保護できます。ネットワークの輻輳が激しい期間に対処しなければならず、機密性の高いトラフィックが中断されないようにしたい場合は、ポート セキュリティ機能と CoS 転送クラスを組み合わせて、スヌーピングおよび検査対象のセキュリティ パケットの処理に優先順位を付けることができます。

デフォルトのスイッチ構成の場合:

  • スイッチでセキュアポートアクセスがアクティブになります。

  • DHCP スヌーピングと DAI は、すべての VLAN で無効になっています。

  • すべてのアクセス ポートは信頼されず、すべてのトランク ポートは DHCP スヌーピングに対して信頼されます。

この例では、DHCP スヌーピングおよび DAI セキュリティ機能と、スヌーピングおよびインスペクションされたパケットの優先転送を組み合わせる方法を示します。

この例のセットアップには、スイッチの VLAN VLAN200 が含まれています。 図 1 に、この例のトポロジーを示します。

位相幾何学

図 1: CoS 転送クラスを使用してスヌーピングおよびインスペクションされたパケットに優先順位を付けるためのネットワーク トポロジNetwork Topology for Using CoS Forwarding Classes to Prioritize Snooped and Inspected Packets

この例のトポロジーのコンポーネントを 表 1 に示します。

表 1:CoS 転送クラスを使用してスヌーピングおよびインスペクションされたパケットに優先順位を付けるためのトポロジーのコンポーネント
プロパティ 設定

スイッチ ハードウェア

EX シリーズ スイッチ

VLAN名

VLAN200

VLAN200 のインターフェイス

ge-0/0/1ge-0/0/2ge-0/0/3ge-0/0/8

DHCP サーバーのインターフェイス

ge-0/0/8

この例の設定タスクでは、ユーザ定義の転送クラス c1 を作成し、DHCP スヌーピングと DAI を VLAN200 でイネーブルにし、スヌーピングおよびインスペクションされたパケットを転送クラス c1 とキュー 6 に割り当てます。キュー 6 および 7 は、優先度の高い制御パケット用に予約されています。DHCP スヌーピングおよび DAI の対象となるパケットは、制御(データではない)パケットです。そのため、これらのスヌーピングおよびインスペクションされた優先度の高い制御パケットをキュー 6 に配置するのが適切です。(キュー 7 はキュー 6 よりも優先度が高く、この目的にも使用できます)。

構成

VLAN200 で DHCP スヌーピングと DAI を設定し、スヌーピングおよびインスペクションされたパケットに優先順位を付けるには:

プロシージャ

CLIクイック構成

スヌーピングおよびインスペクションされたパケットの優先転送を使用してDHCPスヌーピングとDAIを迅速に設定するには、次のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。

手順

DHCP と DAI を設定し、スヌーピングおよびインスペクションされたパケットの優先転送を行います。

  1. スヌーピングおよび検査されたパケットの優先順位付けに使用するユーザー定義の転送クラスを作成します。

  2. VLANでDHCPスヌーピングを有効にし、スヌーピングされたパケットに転送クラス c1 を適用します。

  3. VLANでDAIを有効にし、検査対象のパケットに転送クラス c1 を適用します。

業績

構成の結果を確認します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

優先転送がスヌーピングされたパケットで正しく動作していることの検証

目的

優先転送が DHCP スヌーピング パケットで機能していることを確認します。

アクション

ネットワーク デバイスからスイッチにいくつかの DHCP 要求を送信します。VLAN200 内のいずれかのインターフェイスの出力キューを表示して、パケットが指定されたキューで送信されていることを確認します。

意味

このコマンドの出力は、転送クラス c1 キュー 6 でパケットが送信されたことを示しています。

examine-dhcp forwarding-class の設定を変更して、ベストエフォートなどのデフォルトキューの 1 つを使用するようにテストを続行し、show interfaces コマンドを繰り返して出力の差を比較します。転送クラス c1 キュー 6 について報告された送信パケット数の違いを確認すると、設定が正しく機能していることがわかります。

優先転送が DAI で検査されたパケットで正しく動作していることの検証

目的

優先転送が DAI で検査されたパケットで機能していることを確認します。

アクション

ネットワーク デバイスからスイッチに ARP 要求を送信する。VLAN200 内のいずれかのインターフェイスの出力キューを表示して、パケットが指定されたキューで送信されていることを確認します。

意味

このコマンドの出力は、転送クラス c1 キュー 6 でパケットが送信されたことを示しています。

ベストエフォートなどのデフォルトキューの1つを使用するように arp-inspection forwarding-class の設定を変更してテストを続け、 show interfaces コマンドを繰り返して出力の差を比較します。転送クラス c1 キュー 6 について報告された送信パケット数の違いを確認すると、設定が正しく機能していることがわかります。