Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:IPv6 アドレス スプーフィングからスイッチを保護するための IPv6 ソース ガードおよびネイバー検出インスペクションの設定

この例では、指定されたVLANでIPv6ソースガードとネイバー検出インスペクションを有効にして、IPv6アドレススプーフィング攻撃からEXシリーズスイッチを保護する方法について説明します。Junos OSリリース14.1X53-D10のEX2200およびEX3300スイッチで導入されたIPv6ソースガードとネイバー検出インスペクションのサポート。

要件

この例では、次のハードウェアおよびソフトウェア コンポーネントを使用します。

  • EX2200またはEX3300スイッチ1台

  • EX シリーズ スイッチ用 Junos OS リリース 14.1X53-D10 以降

  • スイッチ上のネットワーク デバイスに IPv6 アドレスを提供する DHCPv6 サーバー

IPv6 アドレス スプーフィング攻撃を防ぐために IPv6 ソース ガードおよびネイバー検出インスペクションを設定する前に、次の点を確認してください。

概要とトポロジー

イーサネット LAN スイッチは、送信元 MAC アドレスまたはソース IPv6 アドレスのスプーフィング(鍛造)を含むセキュリティ攻撃に対して脆弱です。これらのスプーフィングされたパケットは、スイッチ上の信頼できないアクセス インターフェイスに接続されたホストから送信されます。IPv6 アドレス スプーフィング攻撃の詳細については、「 IPv6 ネイバー検出インスペクション」を参照してください。

IPv6 ソース ガードおよびネイバー検出インスペクションは、DHCPv6 スヌーピング テーブルを使用して、IPv6 スプーフィング攻撃のリスクを軽減します。バインディング テーブルとも呼ばれる DHCPv6 スヌーピング テーブルには、MAC アドレスへの IPv6 アドレスの有効なバインディングが含まれています。スイッチ上の信頼できないアクセス インターフェイスに接続されたホストからパケットが送信されると、IPv6 ソース ガードは、DHCPv6 スヌーピング テーブルに対して、パケットの送信元 IPv6 アドレスと MAC アドレスを検証します。テーブルに一致するものがない場合、スイッチはパケットを転送しません。つまり、パケットは破棄されます。ネイバー検出インスペクションは、同じネットワーク リンク上の IPv6 ノード間で DHCPv6 スヌーピング テーブルに対して送信されたネイバー検出メッセージを検証し、一致するものが見つからない場合はパケットを破棄します。

この例では、DHCPv6 サーバーに接続されているスイッチで、これらの重要なポート セキュリティ機能を設定する方法を示しています。この例の設定には、スイッチの VLAN sales が含まれています。 図 1 は、この例のトポロジーを示しています。

メモ:

DHCPv6 サーバー インターフェイスに接続するトランク インターフェイスは、デフォルトで信頼できるポートです。

トポロジ

図 1:基本的なポート セキュリティ Network Topology for Basic Port Securityのためのネットワーク トポロジー

この例のトポロジーのコンポーネントを 表 1 に示します。

表 1:ポート セキュリティ トポロジのコンポーネント
プロパティ 設定

スイッチ ハードウェア

EX2200またはEX3300スイッチ1台

VLAN 名と ID

セールス、タグ

VLAN サブネット

192.0.2.16/28

192.0.2.17~192.0.2.30

192.0.2.31はサブネットのブロードキャストアドレス

インターフェイス sales

ge-0/0/1、ge-0/0/2、ge-0/0/3、ge-0/0/8

DHCPv6 サーバーへのインターフェイス接続

ge-0/0/8

この例では、スイッチはすでに次のように設定されています。

  • すべてのアクセス ポートは信頼されません。これはデフォルト設定です。

  • トランク ポート(ge-0/0/8)は信頼されており、これがデフォルト設定です。

  • VLAN(sales)は、指定されたインターフェイスを含むように設定されています。

構成

手順

CLI クイック設定

IPv6 ソース ガードとネイバー検出インスペクションを迅速に設定するには、次のコマンドをコピーして、スイッチ端末ウィンドウに貼り付けます。

手順

VLAN 上で IPv6 ソース ガードおよびネイバー検出インスペクションを設定します(これにより、DHCPv6 スヌーピングも自動的に設定されます)。

  1. VLAN で DHCPv6 スヌーピングを有効にします。

  2. VLAN で IPv6 ソース ガードを設定します。

  3. VLAN でネイバー検出インスペクションを設定します。

結果

設定の結果を確認します。

検証

設定が正しく機能していることを確認します。

DHCPv6 スヌーピングがスイッチで正しく機能していることを確認する

目的

DHCPv6 スヌーピングがスイッチで機能していることを確認します。

アクション

スイッチに接続されたネットワーク デバイス(この例では DHCPv6 クライアント)から DHCPv6 要求を送信します。

DHCPv6 サーバーがスイッチに接続するポートが信頼されている場合は、DHCPv6 スヌーピング情報を表示します。次に、MAC アドレスから要求を送信し、サーバーが IPv6 アドレスとリースを提供した場合の出力を示します。

意味

この出力は、割り当てられた IP アドレス、MAC アドレス、VLAN 名、IP アドレスにリースされた時間(秒単位)を示しています。IPv6 ホストには通常、IPv6 対応ネットワーク インターフェイスそれぞれに複数の IP アドレスが割り当てられているため、クライアントごとに 2 つのエントリーが追加されます。1 つは、DHCP トランザクションにクライアントが使用するリンクローカル IP アドレスと、もう 1 つはサーバーによって割り当てられた IP アドレスを持つエントリーです。リンクローカル アドレスには常にプレフィックス fe80::/10があります。

スイッチでネイバー検出インスペクションが正しく機能していることを検証する

目的

スイッチでネイバー検出インスペクションが機能していることを確認します。

アクション

スイッチに接続されたネットワーク デバイスからネイバー検出パケットを送信します。

ネイバー検出情報を表示します。

意味

サンプル出力は、インターフェイスごとに受信および検査されたネイバー検出パケットの数を示し、通過したパケットの数と各インターフェイスのインスペクションに失敗した数を示しています。スイッチは、ネイバー検出要求を比較し、DHCPv6 スヌーピング データベース内のエントリーに対して応答します。ネイバー検出パケットのMACアドレスまたはIPv6アドレスがデータベース内の有効なエントリーと一致しない場合、パケットは破棄されます。

リリース履歴テーブル
リリース
説明
14.1X53-D10
Junos OSリリース14.1X53-D10のEX2200およびEX3300スイッチで導入されたIPv6ソースガードとネイバー検出インスペクションのサポート。