Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:音声 VLAN とインターフェイスを共有するデータ VLAN での IP ソース ガードの設定

イーサネットLANスイッチは、送信元IPアドレスまたは送信元MACアドレスのなりすまし(偽造)を伴う攻撃に対して脆弱です。これらのスプーフィングされたパケットは、スイッチ上の信頼できないアクセス インターフェイスに接続されたホストから送信されます。EXシリーズスイッチでIPソースガードポートのセキュリティ機能を有効にして、このような攻撃の影響を軽減できます。着信パケットのバインディング内の送信元 IP アドレスと送信元 MAC アドレスが無効であると IP ソース ガードが判断した場合、スイッチはパケットを転送しません。

2つのVLANがインターフェイスを共有する場合、一方のVLANにのみIPソースガードを設定できます。この例では、タグなしデータ VLAN には IP ソース ガードを設定しますが、タグ付き音声 VLAN には設定しません。802.1X ユーザー認証を使用して、データ VLAN 上のデバイス接続を検証できます。

この例では、データ VLAN で 802.1X ユーザー認証を使用し、同じインターフェイスで音声 VLAN を使用して IP ソース ガードを設定する方法について説明します。

必要条件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 1 つの EX シリーズ スイッチ

  • EX シリーズ スイッチ向けの Junos OS リリース 9.2 以降

  • スイッチ上のネットワーク デバイスに IP アドレスを提供する DHCP サーバー

  • 802.1X認証を提供するRADIUSサーバー

データVLANのIPソースガードを設定する前に、以下が完了していることを確認してください。

概要とトポロジー

IP ソース ガードは、スイッチ上の信頼できないアクセス インターフェイスに接続されたホストから送信されたパケットの IP ソース アドレスと MAC ソース アドレスをチェックします。IP ソース ガードが、パケット ヘッダーに無効な送信元 IP アドレスまたは送信元 MAC アドレスが含まれていると判断した場合、スイッチがパケットを転送しない、つまりパケットが廃棄されるようにします。

IP ソース ガードを設定する場合は、1 つ以上の VLAN で有効にします。IPソース ガードは、これらの VLAN 上の信頼できないアクセス インターフェイスにチェック ルールを適用します。デフォルトでは、EX シリーズ スイッチでは、アクセス インターフェイスは信頼されず、トランク インターフェイスは信頼されます。IP ソース ガードは、トランク インターフェイスまたは信頼できるアクセス インターフェイス(DHCP サーバーがそのインターフェイスに接続して動的 IP アドレスを提供できるように dhcp-trusted が設定されたインターフェイス)に接続されたデバイスからスイッチに送信されたパケットをチェックしません。

IP ソース ガードは、DHCP スヌーピング データベースから IP アドレス/MAC アドレス/VLAN バインディングに関する情報を取得します。これにより、スイッチは着信 IP パケットをそのデータベースのエントリと照合して検証します。

位相幾何学

この例のトポロジーには、1 つの EX-3200-24P スイッチ、同じインターフェイスで接続された PC と IP 電話、DHCP サーバーへの接続、ユーザー認証用の RADIUS サーバーへの接続が含まれています。

手記:

この例で適用されている 802.1X ユーザー認証は、シングル サプリカント用です。

また、IPソース ガードを 802.1X ユーザー認証と共に使用して、シングルセキュア サプリカントまたはマルチ サプリカント モードにすることもできます。シングルセキュア サプリカントまたはマルチ サプリカント モードで 802.1X 認証を使用する IP ソース ガードを実装する場合は、次の設定ガイドラインを使用する必要があります。

  • 802.1X インターフェイスがタグなしの MAC ベース VLAN の一部であり、その VLAN で IP ソース ガードと DHCP スヌーピングを有効にする場合は、インターフェイスにタグなしのメンバーシップがあるすべてのダイナミック VLAN で IP ソース ガードと DHCP スヌーピングを有効にする必要があります。

  • 802.1X インターフェイスがタグ付き MAC ベース VLAN の一部であり、その VLAN で IP ソース ガードと DHCP スヌーピングを有効にする場合は、インターフェイスがメンバーシップにタグを付けているすべてのダイナミック VLAN で IP ソース ガードと DHCP スヌーピングを有効にする必要があります。

先端:

デバッグのために、 traceoptions (Access Port Security) ステートメントに ip-source-guard フラグを設定できます。

次に、DHCP スヌーピング データベースに追加するスタティック IP アドレスを設定する例を示します。

構成

プロシージャ

CLIクイック構成

データVLANでIPソースガードを迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。

手順

データ VLAN で IP ソース ガードを設定するには、次の手順を実行します。

  1. VoIP インターフェイスを設定します。

  2. DHCP サーバーがスイッチに接続されているインターフェイスを信頼できるインターフェイスとして設定し、そのインターフェイスをデータ VLAN に追加します。

  3. データVLAN上のインターフェイスに静的IPアドレスを設定します(オプション)

  4. データ VLAN で DHCP スヌーピングと IP ソース ガードを設定します。

  5. データ VLAN と音声 VLAN で共有されるインターフェイスで 802.1X ユーザー認証と LLDP-MED を構成します。

  6. 音声 VLAN の VLAN ID を設定します。

業績

構成の結果を確認します。

先端:

音声 VLAN とデータ VLAN に IP ソース ガードを設定する場合は、データ VLAN の場合とまったく同じように DHCP スヌーピングと IP ソース ガードを設定します。 セキュアアクセスポート 下の音声VLANの設定結果は次のようになります。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

インターフェイスで 802.1X ユーザー認証が機能していることの検証

目的

インターフェイス ge-0/0/14の802.1X設定を確認します。

アクション

動作モード コマンド show dot1x interfaceを使用して、802.1X の設定を確認します。

意味

サプリカントモード出力フィールドには、各インターフェイスに設定された管理モードが表示されます。インターフェイス ge-0/0/14.0、シングル サプリカント モードを表示します。

VLAN とインターフェイスの関連付けの検証

目的

インターフェイスの状態と VLAN メンバーシップを表示します。

アクション

意味

VLAN メンバー フィールドは、ge-0/0/14.0 インターフェイスがデータ VLAN と音声 VLAN の両方をサポートしていることを示しています。[状態(State)] フィールドには、インターフェイスが稼働していることが表示されます。

DHCPスヌーピングとIPソース ガードがデータ VLAN で動作していることの検証

目的

DHCPスヌーピングとIPソースガードが有効で、データVLANで動作していることを確認します。

アクション

スイッチに接続されたネットワークデバイス(ここではDHCPクライアント)からDHCPリクエストを送信します。

DHCP サーバがスイッチに接続するインターフェイスが信頼できる場合に、DHCP スヌーピング情報を表示します。要求が MAC アドレスから送信され、サーバーが IP アドレスとリースを提供した場合、次の出力結果になります。

データVLANのIPソースガード情報を表示します。

意味

DHCP サーバーがスイッチに接続するインターフェイスが信頼済みに設定されている場合、出力(前述の show dhcp snooping binding のサンプル出力を参照)には、MAC アドレスごとに、割り当てられた IP アドレスとリース時間(リースが期限切れになるまでの残り時間(秒単位)が表示されます。静的 IP アドレスには、リース時間が割り当てられていません。静的に設定されたエントリに有効期限はありません。

IP ソース ガード データベース テーブルには、IP ソース ガードが有効になっている VLAN、それらの VLAN 上の信頼できないアクセス インターフェイス、VLAN 802.1Q タグ ID (存在する場合)、および相互にバインドされている IP アドレスと MAC アドレスが含まれています。スイッチ インターフェイスが複数の VLAN に関連付けられており、それらの VLAN の一部が IP ソース ガードで有効で、他の VLAN で有効でない場合、IP ソース ガードが有効になっていない VLAN の [IP アドレス(IP アドレス )] フィールドと [MAC アドレス(MAC アドレス )] フィールドにアスタリスク(*)が表示されます。前述のサンプル出力の 音声 VLAN のエントリを参照してください。