例:IPv6 アドレス スプーフィングからスイッチを保護するための IPv6 ソース ガードおよびネイバー探索インスペクションの設定
この例では、指定したVLANでIPv6ソースガードとネイバーディスカバリインスペクションを有効にして、IPv6アドレススプーフィング攻撃からEXシリーズスイッチを保護する方法を説明します。Junos OSリリース14.1X53-D10のEX2200およびEX3300スイッチで導入されたIPv6ソースガードおよびネイバーディスカバリインスペクションのサポート。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
1 つの EX2200 または EX3300 スイッチ
EX シリーズスイッチの Junos OS リリース 14.1X53-D10 以降
スイッチ上のネットワーク デバイスに IPv6 アドレスを提供する DHCPv6 サーバー
IPv6 ソース ガードと近隣探索インスペクションを構成して IPv6 アドレス スプーフィング攻撃を防ぐ前に、以下を確認してください。
DHCPv6サーバーをスイッチに接続していること。
DHCPv6セキュリティ機能を追加するVLANを設定済みであること。 EX シリーズスイッチの VLAN の設定を参照してください。
概要とトポロジー
イーサネットLANスイッチは、送信元MACアドレスまたは送信元IPv6アドレスのなりすまし(偽造)を伴うセキュリティ攻撃に対して脆弱です。これらのスプーフィングされたパケットは、スイッチ上の信頼できないアクセス インターフェイスに接続されたホストから送信されます。IPv6 アドレス スプーフィング攻撃の詳細については、 IPv6 近隣探索インスペクションを参照してください。
IPv6 ソース ガードとネイバー探索インスペクションは、DHCPv6 スヌーピング テーブルを使用して IPv6 スプーフィング攻撃のリスクを軽減します。バインディング テーブルとも呼ばれる DHCPv6 スヌーピング テーブルには、IPv6 アドレスから MAC アドレスへの有効なバインディングが含まれています。スイッチ上の信頼できないアクセス インターフェイスに接続されたホストからパケットが送信されると、IPv6 ソース ガードはパケットの送信元 IPv6 アドレスと MAC アドレスを DHCPv6 スヌーピング テーブルと照合します。テーブルに一致するものがない場合、スイッチはパケットを転送しません。つまり、パケットは破棄されます。ネイバー探索インスペクションは、同じネットワーク リンク上の IPv6 ノード間で送信されたネイバー探索メッセージを DHCPv6 スヌーピング テーブルと照合し、一致しない場合はパケットを廃棄します。
この例では、DHCPv6 サーバに接続されたスイッチでこれらの重要なポート セキュリティ機能を設定する方法を示します。この例のセットアップには、スイッチの VLAN sales が含まれています。 図 1 に、この例のトポロジーを示します。
DHCPv6 サーバー インターフェイスに接続するトランク インターフェイスは、デフォルトで信頼できるポートです。
位相幾何学
のネットワークトポロジー
この例のトポロジーのコンポーネントを 表 1 に示します。
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
1 つの EX2200 または EX3300 スイッチ |
VLAN 名および ID |
販売, タグ |
VLANサブネット |
192.0.2.16/28 192.0.2.17 から 192.0.2.30 192.0.2.31は、サブネットのブロードキャストアドレスです |
インターフェイス |
ge-0/0/1、ge-0/0/2、ge-0/0/3、ge-0/0/8 |
DHCPv6サーバーに接続するインターフェイス |
ge-0/0/8 |
この例では、スイッチはすでに次のように設定されています。
すべてのアクセス ポートは信頼できません。これがデフォルト設定です。
トランク ポート(ge-0/0/8)は信頼され、これがデフォルト設定です。
VLAN(sales)は、指定されたインターフェイスを含むように設定されています。
構成
プロシージャ
CLIクイック構成
IPv6 ソース ガードと近隣探索インスペクションを迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set ethernet-switching-options secure-access-port vlan sales examine-dhcpv6 set ethernet-switching-options secure-access-port vlan sales ipv6-source-guard set ethernet-switching-options secure-access-port vlan sales neighbor-discovery-inspection
手順
VLANでIPv6ソースガードとネイバーディスカバリインスペクションを設定します(DHCPv6スヌーピングも自動的に設定します)。
VLAN で DHCPv6 スヌーピングを有効にします。
[edit ethernet-switching-options secure-access-port vlan sales] user@switch# set examine-dhcpv6
VLAN で IPv6 ソース ガードを構成します。
[edit ethernet-switching-options secure-access-port vlan sales] user@switch# set ipv6-source-guard
VLAN で近隣探索インスペクションを構成します。
[edit ethernet-switching-options secure-access-port vlan sales] user@switch# set neighbor-discovery-inspection
業績
構成の結果を確認します。
user@switch> show ethernet-switching-options secure-access-port
vlan sales {
examine-dhcpv6;
ipv6-source-guard;
neighbor-discovery-inspection;
}
}
検証
設定が正常に機能していることを確認します。
スイッチでDHCPv6スヌーピングが正しく動作していることの確認
目的
スイッチで DHCPv6 スヌーピングが機能していることを確認します。
アクション
スイッチに接続されたネットワーク デバイス(この例では、DHCPv6 クライアント)から DHCPv6 リクエストを送信します。
DHCPv6 サーバがスイッチに接続するポートが信頼できる場合に、DHCPv6 スヌーピング情報を表示します。要求が MAC アドレスから送信され、サーバーが IPv6 アドレスとリースを提供した場合の出力を次に示します。
user@switch> show dhcpv6 snooping binding DHCP Snooping Information: MAC address IP address Lease (seconds) Type VLAN Interface 00:10:94:00:00:01 2001:db8::10:0:3 3599992 dynamic sales ge-0/0/1.0 00:10:94:00:00:01 fe80::210:94ff:fe00:1 3599992 dynamic sales ge-0/0/1.0 00:10:94:00:00:02 2001:db8::10:0:5 3599992 dynamic sales ge-0/0/2.0 00:10:94:00:00:02 fe80::210:94ff:fe00:2 3599992 dynamic sales ge-0/0/2.0 00:10:94:00:00:03 2001:db8::10:0:7 3599992 dynamic sales ge-0/0/3.0 00:10:94:00:00:03 fe80::210:94ff:fe00:3 3599992 dynamic sales ge-0/0/3.0
意味
出力には、割り当てられたIPアドレス、MACアドレス、VLAN名、およびIPアドレスにリースされた時間(秒単位)が表示されます。通常、IPv6 ホストでは、IPv6 対応の各ネットワーク インターフェイスに複数の IP アドレスが割り当てられているため、クライアントごとに 2 つのエントリが追加されます。1 つはクライアントが DHCP トランザクションに使用するリンクローカル IP アドレスを持ち、もう 1 つはサーバーによって割り当てられた IP アドレスを持ちます。リンクローカル アドレスのプレフィックスは常に fe80::/10 になります。
近隣探索インスペクションがスイッチ上で正しく動作していることの確認
目的
スイッチでネイバー探索インスペクションが動作していることを確認します。
アクション
スイッチに接続されたネットワーク デバイスからネイバー探索パケットを送信します。
ネイバー探索情報を表示します。
user@switch> show neighbor-discovery-inspection statistics ND inspection statistics: Interface Packets received ND inspection pass ND inspection failed ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
意味
サンプル出力には、インターフェイスごとに受信および検査されたネイバー探索パケットの数が表示され、各インターフェイスで合格したパケットの数と検査に失敗した数が一覧表示されます。スイッチは、ネイバー探索要求および応答を DHCPv6 スヌーピング データベースのエントリと比較します。ネイバー探索パケットの MAC アドレスまたは IPv6 アドレスがデータベース内の有効なエントリと一致しない場合、パケットはドロップされます。
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。