例:音声 VLAN とインターフェイスを共有するデータ VLAN での IP ソース ガードの設定
イーサネットLANスイッチは、送信元IPアドレスまたは送信元MACアドレスのなりすまし(偽造)を伴う攻撃に対して脆弱です。これらのスプーフィングされたパケットは、スイッチ上の信頼できないアクセス インターフェイスに接続されたホストから送信されます。EXシリーズスイッチでIPソースガードポートのセキュリティ機能を有効にして、このような攻撃の影響を軽減できます。着信パケットのバインディング内の送信元 IP アドレスと送信元 MAC アドレスが無効であると IP ソース ガードが判断した場合、スイッチはパケットを転送しません。
2つのVLANがインターフェイスを共有する場合、一方のVLANにのみIPソースガードを設定できます。この例では、タグなしデータ VLAN には IP ソース ガードを設定しますが、タグ付き音声 VLAN には設定しません。802.1X ユーザー認証を使用して、データ VLAN 上のデバイス接続を検証できます。
この例では、データ VLAN で 802.1X ユーザー認証を使用し、同じインターフェイスで音声 VLAN を使用して IP ソース ガードを設定する方法について説明します。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
1 つの EX シリーズ スイッチ
EX シリーズ スイッチ向けの Junos OS リリース 9.2 以降
スイッチ上のネットワーク デバイスに IP アドレスを提供する DHCP サーバー
802.1X認証を提供するRADIUSサーバー
データVLANのIPソースガードを設定する前に、以下が完了していることを確認してください。
DHCPサーバーをスイッチに接続していること。
RADIUSサーバーをスイッチに接続し、サーバーでユーザー認証を構成していること。 「 例:802.1X用RADIUSサーバーをEXシリーズスイッチに接続する」を参照してください。
VLANを設定していること。VLAN の設定の詳細については 、「 例:EX シリーズ スイッチの複数の VLAN によるブリッジングの設定 」を参照してください。
概要とトポロジー
IP ソース ガードは、スイッチ上の信頼できないアクセス インターフェイスに接続されたホストから送信されたパケットの IP ソース アドレスと MAC ソース アドレスをチェックします。IP ソース ガードが、パケット ヘッダーに無効な送信元 IP アドレスまたは送信元 MAC アドレスが含まれていると判断した場合、スイッチがパケットを転送しない、つまりパケットが廃棄されるようにします。
IP ソース ガードを設定する場合は、1 つ以上の VLAN で有効にします。IPソース ガードは、これらの VLAN 上の信頼できないアクセス インターフェイスにチェック ルールを適用します。デフォルトでは、EX シリーズ スイッチでは、アクセス インターフェイスは信頼されず、トランク インターフェイスは信頼されます。IP ソース ガードは、トランク インターフェイスまたは信頼できるアクセス インターフェイス(DHCP サーバーがそのインターフェイスに接続して動的 IP アドレスを提供できるように dhcp-trusted が設定されたインターフェイス)に接続されたデバイスからスイッチに送信されたパケットをチェックしません。
IP ソース ガードは、DHCP スヌーピング データベースから IP アドレス/MAC アドレス/VLAN バインディングに関する情報を取得します。これにより、スイッチは着信 IP パケットをそのデータベースのエントリと照合して検証します。
位相幾何学
この例のトポロジーには、1 つの EX-3200-24P スイッチ、同じインターフェイスで接続された PC と IP 電話、DHCP サーバーへの接続、ユーザー認証用の RADIUS サーバーへの接続が含まれています。
この例で適用されている 802.1X ユーザー認証は、シングル サプリカント用です。
また、IPソース ガードを 802.1X ユーザー認証と共に使用して、シングルセキュア サプリカントまたはマルチ サプリカント モードにすることもできます。シングルセキュア サプリカントまたはマルチ サプリカント モードで 802.1X 認証を使用する IP ソース ガードを実装する場合は、次の設定ガイドラインを使用する必要があります。
802.1X インターフェイスがタグなしの MAC ベース VLAN の一部であり、その VLAN で IP ソース ガードと DHCP スヌーピングを有効にする場合は、インターフェイスにタグなしのメンバーシップがあるすべてのダイナミック VLAN で IP ソース ガードと DHCP スヌーピングを有効にする必要があります。
802.1X インターフェイスがタグ付き MAC ベース VLAN の一部であり、その VLAN で IP ソース ガードと DHCP スヌーピングを有効にする場合は、インターフェイスがメンバーシップにタグを付けているすべてのダイナミック VLAN で IP ソース ガードと DHCP スヌーピングを有効にする必要があります。
デバッグのために、 traceoptions (Access Port Security)
ステートメントに ip-source-guard フラグを設定できます。
次に、DHCP スヌーピング データベースに追加するスタティック IP アドレスを設定する例を示します。
構成
プロシージャ
CLIクイック構成
データVLANでIPソースガードを迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
set ethernet-switching-options voip interface ge-0/0/14.0 vlan voice set ethernet-switching-options secure-access-port interface ge-0/0/24.0 dhcp-trusted set ethernet-switching-options secure-access-port interface ge-0/0/14 static-ip 10.1.1.1 mac 00:11:11:11:11:11 vlan data set ethernet-switching-options secure-access-port vlan data examine-dhcp set ethernet-switching-options secure-access-port vlan data ip-source-guard set interfaces ge-0/0/24 unit 0 family ethernet-switching vlan members data set vlans voice vlan-id 100 set protocols lldp-med interface ge-0/0/14.0 set protocols dot1x authenticator authentication-profile-name profile52 set protocols dot1x authenticator interface ge-0/0/14.0 supplicant single
手順
データ VLAN で IP ソース ガードを設定するには、次の手順を実行します。
VoIP インターフェイスを設定します。
[edit ethernet-switching-options] user@switch# set voip interface ge-0/0/14.0 vlan voice
DHCP サーバーがスイッチに接続されているインターフェイスを信頼できるインターフェイスとして設定し、そのインターフェイスをデータ VLAN に追加します。
[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/24.0 dhcp-trusted [edit interfaces] user@switch# set ge-0/0/24 unit 0 family ethernet-switching vlan members data
データVLAN上のインターフェイスに静的IPアドレスを設定します(オプション)
[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/14 static-ip 10.1.1.1 mac 00:11:11:11:11:11 vlan data
データ VLAN で DHCP スヌーピングと IP ソース ガードを設定します。
[edit ethernet-switching-options] user@switch# set secure-access-port vlan data examine-dhcp user@switch# set secure-access-port vlan data ip-source-guard
データ VLAN と音声 VLAN で共有されるインターフェイスで 802.1X ユーザー認証と LLDP-MED を構成します。
[edit protocols] user@switch# set lldp-med interface ge-0/0/14.0 user@switch# set dot1x authenticator authentication-profile-name profile52 user@switch# set dot1x authenticator interface ge-0/0/14.0 supplicant single
音声 VLAN の VLAN ID を設定します。
[edit vlans] user@switch# set voice vlan-id 100
業績
構成の結果を確認します。
[edit ethernet-switching-options] user@switch# show voip { interface ge-0/0/14.0 { vlan voice; } } secure-access-port { interface ge-0/0/14.0 { static-ip 10.1.1.1 vlan data mac 00:11:11:11:11:11; } interface ge-0/0/24.0 { dhcp-trusted; } vlan data { examine-dhcp; ip-source-guard; } }
[edit interfaces] ge-0/0/24 { unit 0 { family ethernet-switching { vlan { members data; } } } }
[edit vlans] voice { vlan-id 100; }
[edit protocols] lldp-med { interface ge-0/0/14.0; } dot1x { authenticator { authentication-profile-name profile52; interface { ge-0/0/14.0 { supplicant single; } } } }
音声 VLAN とデータ VLAN に IP ソース ガードを設定する場合は、データ VLAN の場合とまったく同じように DHCP スヌーピングと IP ソース ガードを設定します。 セキュアアクセスポート 下の音声VLANの設定結果は次のようになります。
secure-access-port { vlan voice { examine-dhcp; ip-source-guard; } }
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
- インターフェイスで 802.1X ユーザー認証が機能していることの検証
- VLAN とインターフェイスの関連付けの検証
- DHCPスヌーピングとIPソース ガードがデータ VLAN で動作していることの検証
インターフェイスで 802.1X ユーザー認証が機能していることの検証
目的
インターフェイス ge-0/0/14の802.1X設定を確認します。
アクション
動作モード コマンド show dot1x interface
を使用して、802.1X の設定を確認します。
user@switch> show dot1x interface ge-0/0/14.0 detail ge-0/0/14.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 1 Supplicant: user101, 00:04:0f:fd:ac:fe Operational state: Authenticated Authentication method: Radius Authenticated VLAN: vo11 Dynamic Filter: <not configured> Session Reauth interval: 60 seconds Reauthentication due in 50 seconds
意味
サプリカントモード出力フィールドには、各インターフェイスに設定された管理モードが表示されます。インターフェイス ge-0/0/14.0 は、シングル サプリカント モードを表示します。
VLAN とインターフェイスの関連付けの検証
目的
インターフェイスの状態と VLAN メンバーシップを表示します。
アクション
user@switch> show ethernet-switching interfaces Ethernet-switching table: 0 entries, 0 learned user@switch> show ethernet-switching interfaces Interface State VLAN members Blocking ge-0/0/0.0 down default unblocked ge-0/0/1.0 down employee unblocked ge-0/0/2.0 down employee unblocked ge-0/0/12.0 down default unblocked ge-0/0/13.0 down default unblocked ge-0/0/13.0 down vlan100 unblocked ge-0/0/14.0 up voice unblocked data unblocked ge-0/0/17.0 down employee unblocked ge-0/0/23.0 down default unblocked ge-0/0/24.0 down data unblocked employee unblocked vlan100 unblocked voice unblocked
意味
VLAN メンバー フィールドは、ge-0/0/14.0 インターフェイスがデータ VLAN と音声 VLAN の両方をサポートしていることを示しています。[状態(State)] フィールドには、インターフェイスが稼働していることが表示されます。
DHCPスヌーピングとIPソース ガードがデータ VLAN で動作していることの検証
目的
DHCPスヌーピングとIPソースガードが有効で、データVLANで動作していることを確認します。
アクション
スイッチに接続されたネットワークデバイス(ここではDHCPクライアント)からDHCPリクエストを送信します。
DHCP サーバがスイッチに接続するインターフェイスが信頼できる場合に、DHCP スヌーピング情報を表示します。要求が MAC アドレスから送信され、サーバーが IP アドレスとリースを提供した場合、次の出力結果になります。
user@switch> show dhcp snooping binding DHCP Snooping Information: MAC address IP address Lease (seconds) Type VLAN Interface 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee ge-0/0/2.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee ge-0/0/2.0 00:30:48:92:A5:9D 10.10.10.7 720 dynamic vlan100 ge-0/0/13.0 00:30:48:8D:01:3D 10.10.10.9 720 dynamic data ge-0/0/14.0 00:30:48:8D:01:5D 10.10.10.8 1230 dynamic voice ge-0/0/14.0 00:11:11:11:11:11 10.1.1.1 — static data ge-0/0/14.0 00:05:85:27:32:88 192.0.2.22 — static employee ge-0/0/17.0 00:05:85:27:32:89 192.0.2.23 — static employee ge-0/0/17.0 00:05:85:27:32:90 192.0.2.27 — static employee ge-0/0/17.0
データVLANのIPソースガード情報を表示します。
user@switch> show ip-source-guard IP source guard information: Interface Tag IP Address MAC Address VLAN ge-0/0/13.0 0 10.10.10.7 00:30:48:92:A5:9D vlan100 ge-0/0/14.0 0 10.10.10.9 00:30:48:8D:01:3D data ge-0/0/14.0 0 10.1.1.1 00:11:11:11:11:11 data ge–0/0/13.0 100 * * voice
意味
DHCP サーバーがスイッチに接続するインターフェイスが信頼済みに設定されている場合、出力(前述の show dhcp snooping binding
のサンプル出力を参照)には、MAC アドレスごとに、割り当てられた IP アドレスとリース時間(リースが期限切れになるまでの残り時間(秒単位)が表示されます。静的 IP アドレスには、リース時間が割り当てられていません。静的に設定されたエントリに有効期限はありません。
IP ソース ガード データベース テーブルには、IP ソース ガードが有効になっている VLAN、それらの VLAN 上の信頼できないアクセス インターフェイス、VLAN 802.1Q タグ ID (存在する場合)、および相互にバインドされている IP アドレスと MAC アドレスが含まれています。スイッチ インターフェイスが複数の VLAN に関連付けられており、それらの VLAN の一部が IP ソース ガードで有効で、他の VLAN で有効でない場合、IP ソース ガードが有効になっていない VLAN の [IP アドレス(IP アドレス )] フィールドと [MAC アドレス(MAC アドレス )] フィールドにアスタリスク(*)が表示されます。前述のサンプル出力の 音声 VLAN のエントリを参照してください。