Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:アドレススプーフィングおよびレイヤー 2 DoS 攻撃からの保護

スイッチのアクセス インターフェイスに DHCP スヌーピング、DAI(Dynamic ARP Inspection)、および MAC 制限を設定することで、アドレス スプーフィングやレイヤー 2 サービス拒否(DoS)攻撃からスイッチとイーサネット LAN を保護できます。これらの機能の基本設定を取得するには、ポート セキュリティに関するスイッチのデフォルト設定を使用し、MAC 制限を構成し、VLAN で DHCP スヌーピングと DAI を有効にします。これらの機能は、DHCP クライアント(ネットワーク デバイス)が接続されているスイッチとは異なるスイッチに DHCP サーバーが接続されている場合に設定できます。

この例では、ホストが2番目のスイッチに接続されたDHCPサーバーからIPアドレスとリース時間を取得するスイッチで、ポートセキュリティ機能を設定する方法を説明します。

必要条件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 1 つの EX シリーズ スイッチまたは QFX3500 スイッチ—この例ではスイッチ 1

  • 追加のEXシリーズスイッチまたはQFX3500スイッチ—この例ではスイッチ2 。この 2 番目のスイッチではポート セキュリティを設定しません。

  • EX シリーズ スイッチの場合は Junos OS リリース 9.0 以降、QFX シリーズの場合は Junos OS リリース 12.1 以降。

  • スイッチ 2 に接続された DHCP サーバー。スイッチ 1 に接続されたネットワーク デバイスに IP アドレスを提供するには、サーバを使用します。

  • スイッチ 1 のアクセス インターフェイスに接続する少なくとも 2 つのネットワーク デバイス(ホスト)。これらのデバイスは DHCP クライアントです。

DHCP スヌーピング、DAI、および MAC 制限ポート セキュリティ機能を設定する前に、以下が完了していることを確認してください。

概要とトポロジー

イーサネットLANは、ネットワークデバイスに対するアドレススプーフィングやDoS攻撃に対して脆弱です。このような攻撃からデバイスを保護するために、以下を設定できます。

  • DHCPサーバメッセージを検証するためのDHCPスヌーピング

  • ARPスプーフィングから保護するDAI

  • スイッチが MAC アドレス キャッシュに追加する MAC アドレスの数を制限する MAC 制限

この例では、スイッチ 1 でこれらのポート セキュリティ機能を設定する方法を示します。スイッチ 1 は、ポート セキュリティ機能が設定されていない別のスイッチ(スイッチ 2)に接続されています。スイッチ2はDHCPサーバーに接続されています( 図1を参照)。スイッチ 1 に接続されているネットワーク デバイス(ホスト)は、IP アドレスの要求を送信します(これらのネットワーク デバイスは DHCP クライアントです)。これらの要求は、スイッチ 1 からスイッチ 2 に送信され、次にスイッチ 2 に接続された DHCP サーバーに送信されます。要求に対する応答は、要求が続くパスの逆のパスに沿って送信されます。

この例のセットアップには、両方のスイッチの VLAN employee-vlan が含まれています。

図 1 に、この例のネットワーク トポロジを示します。

位相幾何学

図 1: 同じ VLAN Network Topology for Port Security Setup with Two Switches on the Same VLAN上に 2 つのスイッチを使用したポート セキュリティ設定のネットワーク トポロジ

この例のトポロジーのコンポーネントを 表 1 に示します。

表1:DHCPサーバがスイッチ2に接続されたスイッチ1のポートセキュリティ設定のコンポーネント
プロパティ 設定

スイッチ ハードウェア

1 つの EX シリーズ スイッチまたは 1 つのQFX3500 スイッチ(スイッチ 1)、および追加の EX シリーズ スイッチまたは QFX3500 スイッチ(スイッチ 2)

VLAN 名および ID

employee-vlan、タグ 20

VLANサブネット

192.0.2.16/28192.0.2.17から192.0.2.30192.0.2.31はサブネットのブロードキャストアドレスです

両方のスイッチのトランク インターフェイス

ge-0/0/11

スイッチ 1 のアクセス インターフェイス

ge-0/0/1、ge-0/0/2、および ge-0/0/3

スイッチ 2 のアクセス インターフェイス

ge-0/0/1

DHCP サーバーのインターフェイス

スイッチ 2 の ge-0/0/1

スイッチ 1 は、最初はデフォルトのポート セキュリティ設定で設定されています。スイッチのデフォルト設定では、次の手順を実行します。

  • スイッチでセキュアポートアクセスがアクティブになります。

  • スイッチは、デフォルト設定であるパケットをドロップしません。

  • DHCP スヌーピングと DAI は、すべての VLAN で無効になっています。

  • すべてのアクセス インターフェイスは信頼されず、トランク インターフェイスは信頼されます。これらは既定の設定です。

この例の設定タスクでは、両方のスイッチに VLAN を設定します。

VLAN の設定に加えて、スイッチ 1 で DHCP スヌーピングをイネーブルにします。この例では、スイッチ 1 の DAI と MAC 制限 5 も有効にします。

スイッチ 2 からスイッチ 1 に接続するインターフェイスはトランク インターフェイスであるため、このインターフェイスを信頼できるように設定する必要はありません。前述のように、トランク インターフェイスは自動的に信頼されるため、DHCP サーバからスイッチ 2 に送信され、その後スイッチ 1 に送信される DHCP メッセージは信頼されます。

スイッチ 1 での VLAN、インターフェイス、およびポート セキュリティ機能の設定

プロシージャ

CLIクイック構成

VLAN、インターフェイス、およびポート セキュリティ機能を迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。

手順

スイッチ 1 で MAC 制限、VLAN、およびインターフェイスを設定し、VLAN で DAI と DHCP を有効にするには:

  1. VLAN ID 20を使用して VLAN employee-vlan を設定します。

  2. スイッチ 1 のインターフェイスをトランク インターフェイスとして設定します。

  3. VLAN をインターフェイス ge-0/0/1、ge-0/0/2、ge-0/0/3、ge-0/0/11 に関連付けます。

  4. VLAN で DHCP スヌーピングを有効にします。

  5. VLAN で DAI を有効にします。

  6. ge-0/0/1のMAC制限を 5 に設定し、デフォルトのアクションである drop を使用します(制限を超えると、新しいアドレスを持つパケットは破棄されます)。

  7. インターフェイス ge-0/0/1 から既存の MAC アドレス テーブルのエントリーをクリアします。

業績

設定の結果の表示:

スイッチ 2 での VLAN とインターフェイスの設定

スイッチ 2 で VLAN とインターフェイスを設定するには、次の手順に従います。

プロシージャ

CLIクイック構成

スイッチ2でVLANとインターフェイスを迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。

手順

スイッチ 2 で VLAN とインターフェイスを設定するには、次の手順に従います。

  1. VLAN ID 20を使用して VLAN employee-vlan を設定します。

  2. スイッチ 2 のインターフェイスをトランク インターフェイスとして設定します。

  3. VLAN をインターフェイス ge-0/0/1 および ge-0/0/11 に関連付けます。

業績

設定の結果の表示:

検証

設定が正しく機能していることを確認します。

DHCPスヌーピングがスイッチ1で正常に動作していることの確認

目的

DHCPスヌーピングがスイッチ1で動作していることを確認します。

アクション

スイッチに接続されたネットワークデバイス(ここではDHCPクライアント)からDHCPリクエストを送信します。

スイッチ 2 がスイッチ 1 に接続されたクライアントに DHCP サーバ応答を送信するインターフェイスが信頼できる場合に、 動作モード コマンド show dhcp snooping binding を発行して、DHCP スヌーピング情報を表示します。サーバーは、IP アドレスとリースを提供しています。

意味

出力には、MACアドレスごとに、割り当てられたIPアドレスとリース時間(つまり、リースが期限切れになるまでの残り時間(秒単位)が表示されます。

スイッチ 1 で DAI が正しく動作していることの確認

目的

DAI がスイッチ 1 で動作していることを確認します。

アクション

スイッチに接続されたネットワーク デバイスからARP 要求をいくつか送信する。

動作モード コマンド show arp inspection statistics を発行して、DAI 情報を表示します。

意味

出力には、インターフェイスごとに受信および検査されたARPパケットの数と、各インターフェイスで検査に合格したパケット数と失敗したパケット数のリストが表示されます。スイッチは、ARP 要求および応答を DHCP スヌーピング データベースのエントリと比較します。ARP パケット内の MAC アドレスまたは IP アドレスがデータベース内の有効なエントリと一致しない場合、パケットはドロップされます。

スイッチ 1 で MAC 制限が正しく動作していることの確認

目的

スイッチ 1 で MAC 制限が機能していることを確認します。

アクション

動作モード コマンド show ethernet-switching table を発行して、ge-0/0/1 上のホストから DHCP 要求が送信されたときに学習された MAC アドレスを表示します。

意味

出力は、インターフェイス ge-0/0/1 に対して 5 つの MAC アドレスが学習されたことを示しています。これは、設定で設定された 5 の MAC 制限に対応します。出力の最後の行は、 MAC address 列のアスタリスク(*)で示されるように、6番目のMACアドレス要求がドロップされたことを示しています。