Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

예: 스누핑 및 검사된 패킷 우선 순위 지정

EX 시리즈 스위치에서는 CoS(Class of Service)를 사용하여 네트워크 혼잡 및 지연 기간 동안 중요한 애플리케이션의 패킷이 삭제되지 않도록 보호해야 할 수 있으며, 이러한 중요한 패킷이 들어오고 나가는 동일한 포트에서 DHCP 스누핑 및 DAI(Dynamic ARP Inspection)의 포트 보안 기능이 필요할 수도 있습니다. CoS 포워딩 클래스와 큐를 사용하여 스누핑 및 검사된 패킷의 우선순위를 지정함으로써 이 두 기능의 장점을 결합할 수 있습니다. 이러한 유형의 구성은 스누핑 및 검사된 패킷을 원하는 송신 대기열에 배치하여 보안 절차가 이 높은 우선 순위 트래픽의 전송을 방해하지 않도록 합니다. 이는 음성 트래픽과 같이 지터 및 지연에 민감한 트래픽에 특히 중요합니다.

이 예는 과도한 네트워크 트래픽에서 스누핑 및 검사된 패킷의 우선순위를 지정하도록 스위치를 구성하는 방법을 보여줍니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • EX 시리즈 스위치 1개

  • EX 시리즈 스위치용 Junos OS 릴리스 11.2 이상

  • 스위치의 네트워크 디바이스에 IP 주소를 제공하는 DHCP 서버

스누핑 및 검사된 패킷에 대한 CoS 포워딩 클래스를 지정하기 전에 다음을 확인하십시오.

개요 및 토폴로지

이더넷 LAN은 네트워크 디바이스에 대한 스푸핑 및 DoS 공격에 취약합니다. 이러한 공격으로부터 디바이스를 보호하기 위해 DHCP 스누핑을 구성하여 DHCP 서버 메시지를 검증하고 DAI를 구성하여 MAC 스푸핑으로부터 보호할 수 있습니다. 네트워크 혼잡이 심한 기간에 대처해야 하고 민감한 트래픽이 중단되지 않도록 하려면 포트 보안 기능을 CoS 포워딩 클래스와 결합하여 스누핑 및 검사된 보안 패킷 처리의 우선 순위를 지정할 수 있습니다.

기본 스위치 구성에서:

  • 스위치에서 보안 포트 액세스가 활성화됩니다.

  • DHCP 스누핑 및 DAI는 모든 VLAN에서 비활성화됩니다.

  • 모든 액세스 포트는 신뢰할 수 없으며 모든 트렁크 포트는 DHCP 스누핑에 대해 신뢰할 수 있습니다.

이 예는 DHCP 스누핑 및 DAI 보안 기능을 스누핑 및 검사된 패킷의 우선순위 포워딩과 결합하는 방법을 보여줍니다.

이 예의 설정에는 스위치의 VLAN VLAN200 포함됩니다. 그림 1 은 이 예의 토폴로지를 보여줍니다.

위상수학

그림 1: CoS 포워딩 클래스를 사용하여 스누핑 및 검사된 패킷 Network Topology for Using CoS Forwarding Classes to Prioritize Snooped and Inspected Packets 의 우선순위 지정을 위한 네트워크 토폴로지

이 예의 토폴로지 구성 요소는 표 1에 표시되어 있습니다.

표 1: CoS 포워딩 클래스를 사용하여 스누핑 및 검사된 패킷의 우선순위 지정을 위한 토폴로지 구성 요소
속성 설정

스위치 하드웨어

EX 시리즈 스위치

VLAN 이름

VLAN200

VLAN200의 인터페이스

ge-0/0/1,ge-0/0/2,ge-0/0/3,ge-0/0/8

DHCP 서버용 인터페이스

ge-0/0/8

이 예의 구성 작업에서는 사용자 정의 포워딩 클래스 c1을 생성하고, VLAN200에서 DHCP 스누핑 및 DAI를 활성화하며, 스누핑 및 검사된 패킷을 포워딩 클래스 c1 및 대기열 6에 할당합니다. 대기열 6과 대기열 7은 우선 순위가 높은 제어 패킷을 위해 예약되어 있습니다. DHCP 스누핑 및 DAI의 대상이 되는 패킷은 제어(데이터가 아님) 패킷입니다. 따라서 이러한 스누핑 및 검사된 높은 우선 순위 제어 패킷을 대기열 6에 배치하는 것이 적절합니다. (대기열 7은 대기열 6보다 우선 순위가 높으며 이 용도로도 사용할 수 있습니다.)

구성

VLAN200에서 DHCP 스누핑 및 DAI를 구성하고 스누핑 및 검사된 패킷의 우선 순위를 지정하려면 다음을 수행합니다.

절차

CLI 빠른 구성

스누핑 및 검사된 패킷의 우선순위 포워딩으로 DHCP 스누핑 및 DAI를 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣으십시오.

단계별 절차

스누핑 및 검사된 패킷의 우선순위 포워딩을 통해 DHCP 및 DAI를 구성합니다.

  1. 스누핑 및 검사된 패킷의 우선 순위를 지정하는 데 사용할 사용자 정의 포워딩 클래스를 생성합니다.

  2. VLAN에서 DHCP 스누핑을 활성화하고 스누핑된 패킷에 포워딩 클래스 c1 을 적용합니다.

  3. VLAN에서 DAI를 활성화하고 검사된 패킷에 포워딩 클래스 c1 을 적용합니다.

결과

구성 결과를 확인합니다.

확인

구성이 제대로 작동하는지 확인하려면 다음 작업을 수행합니다.

스누핑된 패킷에서 우선순위 포워딩이 올바르게 작동하는지 확인

목적

DHCP 스누핑 패킷에서 우선순위 포워딩이 작동하는지 확인합니다.

행동

네트워크 디바이스에서 스위치로 일부 DHCP 요청을 보냅니다. VLAN200의 인터페이스 중 하나에 대한 출력 대기열을 표시하여 패킷이 지정된 대기열에서 전송되고 있는지 확인합니다.

의미

명령 출력은 패킷이 포워딩 클래스 c1 대기열 6에서 전송되었음을 보여줍니다.

best-effort와 같은 기본 대기열 중 하나를 사용하도록 examine-dhcp forwarding-class 설정을 변경하여 테스트를 계속하고 명령을 반복 show interfaces 하여 출력의 차이를 비교합니다. 포워딩 클래스 c1 대기열 6에 대해 보고된 전송 패킷 수의 차이를 확인하여 설정이 올바르게 작동하고 있음을 알 수 있습니다.

DAI 검사 패킷에서 우선 순위 포워딩이 올바르게 작동하는지 확인

목적

우선 순위가 지정된 포워딩이 DAI 검사 패킷에서 작동하는지 확인합니다.

행동

네트워크 디바이스에서 스위치로 일부 ARP 요청을 보냅니다. VLAN200의 인터페이스 중 하나에 대한 출력 대기열을 표시하여 패킷이 지정된 대기열에서 전송되고 있는지 확인합니다.

의미

명령 출력은 패킷이 포워딩 클래스 c1 대기열 6에서 전송되었음을 보여줍니다.

best-effort와 같은 기본 대기열 중 하나를 사용하도록 arp-inspection forwarding-class 설정을 변경하여 테스트를 계속하고 명령을 반복 show interfaces 하여 출력의 차이를 비교합니다. 포워딩 클래스 c1 대기열 6에 대해 보고된 전송 패킷 수의 차이를 확인하여 설정이 올바르게 작동하고 있음을 알 수 있습니다.

관련 문서