例:アドレススプーフィングおよびレイヤー 2 DoS 攻撃からの保護
スイッチのアクセス インターフェイスに DHCP スヌーピング、DAI(Dynamic ARP Inspection)、および MAC 制限を設定することで、アドレス スプーフィングやレイヤー 2 サービス拒否(DoS)攻撃からスイッチとイーサネット LAN を保護できます。これらの機能の基本設定を取得するには、ポート セキュリティに関するスイッチのデフォルト設定を使用し、MAC 制限を構成し、VLAN で DHCP スヌーピングと DAI を有効にします。これらの機能は、DHCP クライアント(ネットワーク デバイス)が接続されているスイッチとは異なるスイッチに DHCP サーバーが接続されている場合に設定できます。
この例では、ホストが2番目のスイッチに接続されたDHCPサーバーからIPアドレスとリース時間を取得するスイッチで、ポートセキュリティ機能を設定する方法を説明します。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
1 つの EX シリーズ スイッチまたは QFX3500 スイッチ—この例ではスイッチ 1 。
追加のEXシリーズスイッチまたはQFX3500スイッチ—この例ではスイッチ2 。この 2 番目のスイッチではポート セキュリティを設定しません。
EX シリーズ スイッチの場合は Junos OS リリース 9.0 以降、QFX シリーズの場合は Junos OS リリース 12.1 以降。
スイッチ 2 に接続された DHCP サーバー。スイッチ 1 に接続されたネットワーク デバイスに IP アドレスを提供するには、サーバを使用します。
スイッチ 1 のアクセス インターフェイスに接続する少なくとも 2 つのネットワーク デバイス(ホスト)。これらのデバイスは DHCP クライアントです。
DHCP スヌーピング、DAI、および MAC 制限ポート セキュリティ機能を設定する前に、以下が完了していることを確認してください。
DHCPサーバーをスイッチ2に接続していること。
スイッチ1でVLANを設定。お使いのプラットフォームのタスクを参照してください。
概要とトポロジー
イーサネットLANは、ネットワークデバイスに対するアドレススプーフィングやDoS攻撃に対して脆弱です。このような攻撃からデバイスを保護するために、以下を設定できます。
DHCPサーバメッセージを検証するためのDHCPスヌーピング
ARPスプーフィングから保護するDAI
スイッチが MAC アドレス キャッシュに追加する MAC アドレスの数を制限する MAC 制限
この例では、スイッチ 1 でこれらのポート セキュリティ機能を設定する方法を示します。スイッチ 1 は、ポート セキュリティ機能が設定されていない別のスイッチ(スイッチ 2)に接続されています。スイッチ2はDHCPサーバーに接続されています( 図1を参照)。スイッチ 1 に接続されているネットワーク デバイス(ホスト)は、IP アドレスの要求を送信します(これらのネットワーク デバイスは DHCP クライアントです)。これらの要求は、スイッチ 1 からスイッチ 2 に送信され、次にスイッチ 2 に接続された DHCP サーバーに送信されます。要求に対する応答は、要求が続くパスの逆のパスに沿って送信されます。
この例のセットアップには、両方のスイッチの VLAN employee-vlan
が含まれています。
図 1 に、この例のネットワーク トポロジを示します。
位相幾何学
この例のトポロジーのコンポーネントを 表 1 に示します。
プロパティ | 設定 |
---|---|
スイッチ ハードウェア |
1 つの EX シリーズ スイッチまたは 1 つのQFX3500 スイッチ(スイッチ 1)、および追加の EX シリーズ スイッチまたは QFX3500 スイッチ(スイッチ 2) |
VLAN 名および ID |
|
VLANサブネット |
|
両方のスイッチのトランク インターフェイス |
ge-0/0/11 |
スイッチ 1 のアクセス インターフェイス |
ge-0/0/1、ge-0/0/2、および ge-0/0/3 |
スイッチ 2 のアクセス インターフェイス |
ge-0/0/1 |
DHCP サーバーのインターフェイス |
スイッチ 2 の ge-0/0/1 |
スイッチ 1 は、最初はデフォルトのポート セキュリティ設定で設定されています。スイッチのデフォルト設定では、次の手順を実行します。
スイッチでセキュアポートアクセスがアクティブになります。
スイッチは、デフォルト設定であるパケットをドロップしません。
DHCP スヌーピングと DAI は、すべての VLAN で無効になっています。
すべてのアクセス インターフェイスは信頼されず、トランク インターフェイスは信頼されます。これらは既定の設定です。
この例の設定タスクでは、両方のスイッチに VLAN を設定します。
VLAN の設定に加えて、スイッチ 1 で DHCP スヌーピングをイネーブルにします。この例では、スイッチ 1 の DAI と MAC 制限 5
も有効にします。
スイッチ 2 からスイッチ 1 に接続するインターフェイスはトランク インターフェイスであるため、このインターフェイスを信頼できるように設定する必要はありません。前述のように、トランク インターフェイスは自動的に信頼されるため、DHCP サーバからスイッチ 2 に送信され、その後スイッチ 1 に送信される DHCP メッセージは信頼されます。
スイッチ 1 での VLAN、インターフェイス、およびポート セキュリティ機能の設定
プロシージャ
CLIクイック構成
VLAN、インターフェイス、およびポート セキュリティ機能を迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set vlans employee-vlan vlan-id 20 set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members 20 set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members 20 set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members 20 set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members 20 set ethernet-switching-options secure-access-port interface ge-0/0/1 mac-limit 5 action drop set ethernet-switching-options secure-access-port vlan employee-vlan arp-inspection set ethernet-switching-options secure-access-port vlan employee-vlan examine-dhcp clear ethernet-switching table interface ge-0/0/1
手順
スイッチ 1 で MAC 制限、VLAN、およびインターフェイスを設定し、VLAN で DAI と DHCP を有効にするには:
VLAN ID
20
を使用して VLANemployee-vlan
を設定します。[edit vlans] user@switch1# set employee-vlan vlan-id 20
スイッチ 1 のインターフェイスをトランク インターフェイスとして設定します。
[edit interfaces] user@switch1# set ge-0/0/11 unit 0 family ethernet-switching port-mode trunk
VLAN をインターフェイス ge-0/0/1、ge-0/0/2、ge-0/0/3、ge-0/0/11 に関連付けます。
[edit interfaces] user@switch1# set ge-0/0/1 unit 0 family ethernet-switching vlan members 20 user@switch1# set ge-0/0/2 unit 0 family ethernet-switching vlan members 20 user@switch1# set ge-0/0/3 unit 0 family ethernet-switching vlan members 20 user@switch1# set ge-0/0/11 unit 0 family ethernet-switching vlan members 20
VLAN で DHCP スヌーピングを有効にします。
[edit ethernet-switching-options secure-access-port] user@switch1# set vlan employee-vlan examine-dhcp
VLAN で DAI を有効にします。
[edit ethernet-switching-options secure-access-port] user@switch1# set vlan employee-vlan arp-inspection
ge-0/0/1のMAC制限を
5
に設定し、デフォルトのアクションであるdrop
を使用します(制限を超えると、新しいアドレスを持つパケットは破棄されます)。[edit ethernet-switching-options secure-access-port] user@switch1# set interface ge-0/0/1 mac-limit 5 drop
インターフェイス ge-0/0/1 から既存の MAC アドレス テーブルのエントリーをクリアします。
user@switch1# clear ethernet-switching table interface ge-0/0/1
業績
設定の結果の表示:
[edit] user@switch1# show ethernet-switching-options { secure-access-port { interface ge-0/0/1.0{ mac-limit 5 action drop; } vlan employee-vlan { arp-inspection; examine-dhcp; } } } interfaces { ge-0/0/1 { unit 0 { family ethernet-switching { vlan { members 20; } } } } ge-0/0/2 { unit 0 { family ethernet-switching { vlan { members 20; } } } } ge-0/0/3 { unit 0 { family ethernet-switching { vlan { port-mode trunk; members 20; } } } } ge-0/0/11 { unit 0 { family ethernet-switching { port-mode trunk; vlan { members 20; } } } } } vlans { employee-vlan { vlan-id 20; } }
スイッチ 2 での VLAN とインターフェイスの設定
スイッチ 2 で VLAN とインターフェイスを設定するには、次の手順に従います。
プロシージャ
CLIクイック構成
スイッチ2でVLANとインターフェイスを迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set vlans employee-vlan vlan-id 20 set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members 20 set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members 20
手順
スイッチ 2 で VLAN とインターフェイスを設定するには、次の手順に従います。
VLAN ID
20
を使用して VLANemployee-vlan
を設定します。[edit vlans] user@switch1# set employee-vlan vlan-id 20
スイッチ 2 のインターフェイスをトランク インターフェイスとして設定します。
[edit interfaces] user@switch2# set ge-0/0/11 unit 0 ethernet-switching port-mode trunk
VLAN をインターフェイス ge-0/0/1 および ge-0/0/11 に関連付けます。
[edit interfaces] user@switch2# set ge-0/0/1 unit 0 family ethernet-switching vlan members 20 user@switch2# set ge-0/0/11 unit 0 family ethernet-switching vlan members 20
業績
設定の結果の表示:
[edit] user@switch2# show interfaces { ge-0/0/1 { unit 0 { family ethernet-switching { vlan { members 20; } } } } ge-0/0/11 { unit 0 { family ethernet-switching { port-mode trunk; vlan { members 20; } } } } } vlans { employee-vlan { vlan-id 20; } }
検証
設定が正しく機能していることを確認します。
DHCPスヌーピングがスイッチ1で正常に動作していることの確認
目的
DHCPスヌーピングがスイッチ1で動作していることを確認します。
アクション
スイッチに接続されたネットワークデバイス(ここではDHCPクライアント)からDHCPリクエストを送信します。
スイッチ 2 がスイッチ 1 に接続されたクライアントに DHCP サーバ応答を送信するインターフェイスが信頼できる場合に、 動作モード コマンド show dhcp snooping binding を発行して、DHCP スヌーピング情報を表示します。サーバーは、IP アドレスとリースを提供しています。
user@switch1> show dhcp snooping binding DHCP Snooping Information: MAC Address IP Address Lease Type VLAN Interface ----------------- ---------- ----- ---- ---- --------- 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:90 192.0.2.20 932 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:91 192.0.2.21 1230 dynamic employee—vlan ge-0/0/3.0
意味
出力には、MACアドレスごとに、割り当てられたIPアドレスとリース時間(つまり、リースが期限切れになるまでの残り時間(秒単位)が表示されます。
スイッチ 1 で DAI が正しく動作していることの確認
目的
DAI がスイッチ 1 で動作していることを確認します。
アクション
スイッチに接続されたネットワーク デバイスからARP 要求をいくつか送信する。
動作モード コマンド show arp inspection statistics を発行して、DAI 情報を表示します。
user@switch1> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed ---------- –-------------–- ------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 18 15 3
意味
出力には、インターフェイスごとに受信および検査されたARPパケットの数と、各インターフェイスで検査に合格したパケット数と失敗したパケット数のリストが表示されます。スイッチは、ARP 要求および応答を DHCP スヌーピング データベースのエントリと比較します。ARP パケット内の MAC アドレスまたは IP アドレスがデータベース内の有効なエントリと一致しない場合、パケットはドロップされます。
スイッチ 1 で MAC 制限が正しく動作していることの確認
目的
スイッチ 1 で MAC 制限が機能していることを確認します。
アクション
動作モード コマンド show ethernet-switching table を発行して、ge-0/0/1 上のホストから DHCP 要求が送信されたときに学習された MAC アドレスを表示します。
user@switch1> show ethernet-switching table
Ethernet-switching table: 6 entries, 5 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/1.0 employee-vlan * Flood - ge-0/0/1.0
意味
出力は、インターフェイス ge-0/0/1
に対して 5 つの MAC アドレスが学習されたことを示しています。これは、設定で設定された 5
の MAC 制限に対応します。出力の最後の行は、 MAC address
列のアスタリスク(*)で示されるように、6番目のMACアドレス要求がドロップされたことを示しています。