例:IPv6 アドレス スプーフィングからスイッチを保護するための IPv6 ソース ガードおよびネイバー探索インスペクションの設定
この例では、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートする Junos OS を使用しています。スイッチで ELS をサポートしていないソフトウェアが実行されている場合は、 例: ARP スプーフィング攻撃からの保護を参照してください。ELSの詳細については、「 拡張レイヤー2ソフトウェアCLIの使用」を参照してください。
この例では、IPv6アドレススプーフィング攻撃からスイッチを保護するために、指定されたVLANでIPv6ソースガードおよびネイバーディスカバリインスペクションを有効にする方法を説明します。IPv6 ソース ガードまたはネイバー探索インスペクションのいずれかを有効にすると、DHCPv6 スヌーピングが同じ VLAN で自動的に有効になります。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
この例は、QFX5100、QFX5110、および QFX5200 スイッチにも適用されます。
拡張レイヤー2ソフトウェア構成スタイルをサポートするEXシリーズスイッチ1台。
EX シリーズスイッチの Junos OS リリース 13.2X51-D20 以降
スイッチ上のネットワーク デバイスに IPv6 アドレスを提供する DHCPv6 サーバー
IPv6 ソース ガードと近隣探索インスペクションを構成して IPv6 アドレス スプーフィング攻撃を防ぐ前に、以下を確認してください。
DHCPv6サーバーをスイッチに接続していること。
DHCPv6セキュリティ機能を追加するVLANを設定済みであること。基本的なブリッジングとスイッチのVLANの設定について説明したドキュメントを参照してください。
概要とトポロジー
イーサネットLANスイッチは、送信元MACアドレスまたは送信元IPv6アドレスのなりすまし(偽造)を伴うセキュリティ攻撃に対して脆弱です。これらのスプーフィングされたパケットは、スイッチ上の信頼できないアクセス インターフェイスに接続されたホストから送信されます。IPv6 アドレス スプーフィング攻撃の詳細については、 IPv6 近隣探索インスペクションを参照してください。
バインディング テーブルとも呼ばれる DHCPv6 スヌーピング テーブルを使用することで、IPv6 ソース ガードとネイバー探索インスペクションは、IPv6 スプーフィング攻撃のリスクを軽減します。DHCPv6 スヌーピング テーブルには、VLAN に関連付けられている各ホストの IP アドレス、MAC アドレス、VLAN、およびインターフェイス ID が含まれています。スイッチ上の信頼できないアクセス インターフェイスに接続されたホストからパケットが送信されると、IPv6 ソース ガードは DHCPv6 スヌーピング テーブルのエントリと照合します。テーブルに一致するものがない場合、スイッチはパケットを転送しません。つまり、パケットは破棄されます。ネイバー探索インスペクションは、同じネットワーク リンク上の IPv6 ノード間で送信されたネイバー探索メッセージを DHCPv6 スヌーピング テーブルと照合し、一致しない場合はパケットを廃棄します。
この例では、DHCPv6 サーバに接続されたスイッチでこれらの重要なポート セキュリティ機能を設定する方法を示します。この例の設定には、スイッチのVLAN販売が含まれています。 図 1 に、この例のトポロジーを示します。
DHCPv6 サーバー インターフェイスに接続するトランク インターフェイスは、デフォルトで信頼できるポートです。
位相幾何学
のネットワークトポロジー
この例のトポロジーのコンポーネントを 表 1 に示します。
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
拡張レイヤー2ソフトウェア構成スタイルをサポートするEXシリーズスイッチ1台。 |
VLAN 名および ID |
販売, タグ |
VLANサブネット |
192.0.2.16/28 192.0.2.17 から 192.0.2.30 192.0.2.31は、サブネットのブロードキャストアドレスです |
インターフェイス |
|
DHCPv6サーバーに接続するインターフェイス |
|
この例では、スイッチはすでに次のように設定されています。
すべてのアクセス ポートは信頼できません。これがデフォルト設定です。
トランク ポート(ge-0/0/8)は信頼され、これがデフォルト設定です。
VLAN(sales)は、指定されたインターフェイスを含むように設定されています。
構成
プロシージャ
CLIクイック構成
IPv6 ソース ガードとネイバー探索インスペクションを迅速に設定する(これにより、DHCPv6 スヌーピングも自動的に設定する)には、次のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set vlans sales forwarding-options dhcp-security ipv6-source-guard set vlans sales forwarding-options dhcp-security neighbor-discovery-inspection
手順
VLANでIPv6ソースガードとネイバーディスカバリインスペクションを設定します(DHCPv6スヌーピングも自動的に設定します)。
VLAN で IPv6 ソース ガードを構成します。
[edit vlans sales forwarding-options dhcp-security] user@switch# set ipv6-source-guard
VLAN で近隣探索インスペクションを有効にします。
[edit vlans sales forwarding-options dhcp-security] user@switch# set neighbor-discovery-inspection
業績
構成の結果を確認します。
user@switch> show vlans sales forwarding-options
dhcp-security {
neighbor-discovery-inspection;
ipv6-source-guard;
}
}
検証
設定が正常に機能していることを確認します。
スイッチでDHCPv6スヌーピングが正しく動作していることの確認
目的
スイッチで DHCPv6 スヌーピングが機能していることを確認します。
アクション
スイッチに接続されたネットワーク デバイス(この例では、DHCPv6 クライアント)から DHCPv6 リクエストを送信します。
DHCPv6 サーバがスイッチに接続するポートが信頼できる場合に、DHCPv6 スヌーピング情報を表示します。要求が MAC アドレスから送信され、サーバーが IPv6 アドレスとリースを提供した場合、次の出力結果になります。
user@switch> show dhcp-security ipv6 binding IPv6 address MAC address Vlan Expires State Interface 2001:db8:fe10:: 00:10:94:00:55:0b vlan20 3456 BOUND ge-0/0/1.0 fe80::210:94ff:fe00:1 00:10:94:00:55:0b vlan20 3456 BOUND ge-0/0/1.0 2001:db8:fe12:: 00:10:94:00:00:34 vlan20 3456 BOUND ge-0/0/2.0 fe80::210:94ff:fe00:2 00:10:94:00:00:34 vlan20 3456 BOUND ge-0/0/2.0 2001:db8:fe14:: 00:10:94:00:00:55 vlan20 3456 BOUND ge-0/0/3.0 fe80::210:94ff:fe00:3 00:10:94:00:00:55 vlan20 3456 BOUND ge-0/0/3.0
意味
出力には、割り当てられたIPv6アドレス、MACアドレス、VLAN名、およびリースが期限切れになるまでの残り時間(秒単位)が表示されます。通常、IPv6 ホストでは、IPv6 対応の各ネットワーク インターフェイスに複数の IPv6 アドレスが割り当てられているため、クライアントごとに 2 つのエントリが追加されます。1 つは、クライアントが DHCP トランザクションに使用するリンクローカル IPv6 アドレスを使用し、もう 1 つはサーバーによって割り当てられた IPv6 アドレスを持ちます。リンクローカル アドレスのプレフィックスは常に fe80::/10 になります。
近隣探索インスペクションがスイッチ上で正しく動作していることの確認
目的
スイッチでネイバー探索インスペクションが動作していることを確認します。
アクション
スイッチに接続されたネットワーク デバイスからネイバー探索パケットを送信します。
ネイバー探索情報を表示します。
user@switch> show dhcp-security neighbor-discovery-inspection statistics ND inspection statistics: Interface ND Packets received ND inspection pass ND inspection failed ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
意味
サンプル出力には、インターフェイスごとに受信および検査されたネイバー探索パケットの数と、各インターフェイスで合格したパケット数と検査に失敗したパケット数のリストが表示されます。スイッチは、ネイバー探索要求および応答を DHCPv6 スヌーピング データベースのエントリと比較します。ネイバー探索パケットの MAC アドレスまたは IPv6 アドレスがデータベース内の有効なエントリと一致しない場合、パケットはドロップされます。