예: 음성 VLAN과 인터페이스를 공유하는 데이터 VLAN에서 IP Source Guard 구성
이더넷 LAN 스위치는 소스 IP 주소 또는 소스 MAC 주소의 스푸핑(위조)과 관련된 공격에 취약합니다. 이러한 스푸핑된 패킷은 스위치의 신뢰할 수 없는 액세스 인터페이스에 연결된 호스트에서 전송됩니다. EX 시리즈 스위치에서 IP 소스 가드 포트 보안 기능을 활성화하여 이러한 공격의 영향을 완화할 수 있습니다. IP 소스 가드가 들어오는 패킷의 바인딩에 있는 소스 IP 주소와 소스 MAC 주소가 유효하지 않다고 판단하면 스위치는 패킷을 전달하지 않습니다.
두 VLAN이 인터페이스를 공유하는 경우 VLAN 중 하나에서만 IP 소스 가드를 구성할 수 있습니다. 이 예에서는 태그가 지정되지 않은 데이터 VLAN에서 IP 소스 가드를 구성하지만 태그가 지정된 음성 VLAN에서는 구성하지 않습니다. 802.1X 사용자 인증을 사용하여 데이터 VLAN에서 디바이스 연결을 검증할 수 있습니다.
다음 예에서는 동일한 인터페이스의 음성 VLAN을 사용하여 데이터 VLAN에서 802.1X 사용자 인증으로 IP 소스 가드를 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
EX 시리즈 스위치 1개
EX 시리즈 스위치용 Junos OS 릴리스 9.2 이상
스위치의 네트워크 디바이스에 IP 주소를 제공하는 DHCP 서버
802.1X 인증을 제공하는 RADIUS 서버
데이터 VLAN에 대한 IP 소스 가드를 구성하기 전에 다음을 수행해야 합니다.
DHCP 서버를 스위치에 연결했습니다.
RADIUS 서버를 스위치에 연결하고 서버에서 사용자 인증을 구성했습니다. 예: 802.1X용 RADIUS 서버를 EX 시리즈 스위치에 연결하는 것을 참조하십시오.
VLAN을 구성했습니다. VLAN 구성에 대한 자세한 내용은 예: EX 시리즈 스위치용 다중 VLAN으로 브리징 설정을 참조하십시오.
개요 및 토폴로지
IP 소스 가드는 스위치의 신뢰할 수 없는 액세스 인터페이스에 연결된 호스트에서 전송된 패킷에서 IP 소스 주소 및 MAC 소스 주소를 확인합니다. IP 소스 가드가 패킷 헤더에 잘못된 소스 IP 주소 또는 소스 MAC 주소가 포함되어 있다고 판단하면 스위치가 패킷을 전달하지 않도록 하여 패킷이 삭제되도록 합니다.
IP 소스 가드를 구성할 때 하나 이상의 VLAN에서 IP 소스 가드를 사용하도록 설정합니다. IP 소스 가드는 해당 VLAN의 신뢰할 수 없는 액세스 인터페이스에 검사 규칙을 적용합니다. 기본적으로 EX 시리즈 스위치에서 액세스 인터페이스는 신뢰할 수 없으며 트렁크 인터페이스는 신뢰할 수 있습니다. IP 소스 가드는 트렁크 인터페이스 또는 신뢰할 수 있는 액세스 인터페이스, 즉 DHCP 서버를 해당 인터페이스에 연결하여 동적 IP 주소를 제공할 수 있도록 dhcp-trusted 로 구성된 인터페이스에 연결된 디바이스에서 스위치로 보낸 패킷을 확인하지 않습니다.
IP 소스 가드는 DHCP 스누핑 데이터베이스에서 IP 주소/MAC 주소/VLAN 바인딩에 대한 정보를 가져옵니다. 이로 인해 스위치는 해당 데이터베이스의 항목에 대해 수신 IP 패킷의 유효성을 검사합니다.
위상수학
이 예의 토폴로지에는 EX-3200-24P 스위치 1개, 동일한 인터페이스에 연결된 PC 및 IP 전화, DHCP 서버에 대한 연결, 사용자 인증을 위한 RADIUS 서버에 대한 연결이 포함됩니다.
이 예에서 적용된 802.1X 사용자 인증은 단일 신청자를 위한 것입니다.
단일 보안 요청자 또는 다중 요청자 모드에 대해 802.1X 사용자 인증과 함께 IP 소스 가드를 사용할 수도 있습니다. 단일 보안 요청자 또는 다중 요청자 모드에서 802.1X 인증을 사용하여 IP 소스 가드를 구현하는 경우 다음 구성 지침을 사용해야 합니다.
802.1X 인터페이스가 태그가 지정되지 않은 MAC 기반 VLAN의 일부이고 해당 VLAN에서 IP 소스 가드 및 DHCP 스누핑을 활성화하려면 인터페이스에 태그가 지정되지 않은 멤버십이 있는 모든 동적 VLAN에서 IP 소스 가드 및 DHCP 스누핑을 활성화해야 합니다.
802.1X 인터페이스가 태그가 지정된 MAC 기반 VLAN의 일부이고 해당 VLAN에서 IP 소스 가드 및 DHCP 스누핑을 활성화하려면 인터페이스에 태그 멤버십이 있는 모든 동적 VLAN에서 IP 소스 가드 및 DHCP 스누핑을 활성화해야 합니다.
디버깅을 위해 명령문에 ip-source-guard 플래그를 traceoptions (Access Port Security) 설정할 수 있습니다.
이 예는 DHCP 스누핑 데이터베이스에 추가할 정적 IP 주소를 구성하는 방법을 보여줍니다.
구성
절차
CLI 빠른 구성
데이터 VLAN에서 IP 소스 가드를 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.
set ethernet-switching-options voip interface ge-0/0/14.0 vlan voice set ethernet-switching-options secure-access-port interface ge-0/0/24.0 dhcp-trusted set ethernet-switching-options secure-access-port interface ge-0/0/14 static-ip 10.1.1.1 mac 00:11:11:11:11:11 vlan data set ethernet-switching-options secure-access-port vlan data examine-dhcp set ethernet-switching-options secure-access-port vlan data ip-source-guard set interfaces ge-0/0/24 unit 0 family ethernet-switching vlan members data set vlans voice vlan-id 100 set protocols lldp-med interface ge-0/0/14.0 set protocols dot1x authenticator authentication-profile-name profile52 set protocols dot1x authenticator interface ge-0/0/14.0 supplicant single
단계별 절차
데이터 VLAN에서 IP 소스 가드를 구성하려면 다음을 수행합니다.
VoIP 인터페이스를 구성합니다.
[edit ethernet-switching-options] user@switch# set voip interface ge-0/0/14.0 vlan voice
DHCP 서버가 스위치에 연결된 인터페이스를 신뢰할 수 있는 인터페이스로 구성하고 해당 인터페이스를 데이터 VLAN에 추가합니다.
[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/24.0 dhcp-trusted [edit interfaces] user@switch# set ge-0/0/24 unit 0 family ethernet-switching vlan members data
데이터 VLAN의 인터페이스에서 고정 IP 주소를 구성합니다(선택 사항).
[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/14 static-ip 10.1.1.1 mac 00:11:11:11:11:11 vlan data
데이터 VLAN에서 DHCP 스누핑 및 IP 소스 가드를 구성합니다.
[edit ethernet-switching-options] user@switch# set secure-access-port vlan data examine-dhcp user@switch# set secure-access-port vlan data ip-source-guard
데이터 VLAN 및 음성 VLAN이 공유하는 인터페이스에서 802.1X 사용자 인증 및 LLDP-MED를 구성합니다.
[edit protocols] user@switch# set lldp-med interface ge-0/0/14.0 user@switch# set dot1x authenticator authentication-profile-name profile52 user@switch# set dot1x authenticator interface ge-0/0/14.0 supplicant single
음성 VLAN에 대한 VLAN ID를 설정합니다.
[edit vlans] user@switch# set voice vlan-id 100
결과
구성 결과를 확인합니다.
[edit ethernet-switching-options]
user@switch# show
voip {
interface ge-0/0/14.0 {
vlan voice;
}
}
secure-access-port {
interface ge-0/0/14.0 {
static-ip 10.1.1.1 vlan data mac 00:11:11:11:11:11;
}
interface ge-0/0/24.0 {
dhcp-trusted;
}
vlan data {
examine-dhcp;
ip-source-guard;
}
}
[edit interfaces]
ge-0/0/24 {
unit 0 {
family ethernet-switching {
vlan {
members data;
}
}
}
}
[edit vlans]
voice {
vlan-id 100;
}
[edit protocols]
lldp-med {
interface ge-0/0/14.0;
}
dot1x {
authenticator {
authentication-profile-name profile52;
interface {
ge-0/0/14.0 {
supplicant single;
}
}
}
}
음성 VLAN과 데이터 VLAN에서 IP 소스 가드를 구성하려면 데이터 VLAN과 똑같이 DHCP 스누핑 및 IP 소스 가드를 구성합니다. secure-access-port 아래의 음성 VLAN에 대한 컨피그레이션 결과는 다음과 같습니다.
secure-access-port {
vlan voice {
examine-dhcp;
ip-source-guard;
}
}
확인
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행합니다.
인터페이스에서 802.1X 사용자 인증이 작동하는지 확인
목적
인터페이스 ge-0/0/14에서 802.1X 구성을 확인합니다.
행동
작동 모드 명령을 show dot1x interface사용하여 802.1X 구성을 확인합니다.
user@switch> show dot1x interface ge-0/0/14.0 detail
ge-0/0/14.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: <not configured>
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
의미
서플리컨트 모드 출력 필드에는 각 인터페이스에 대해 구성된 관리 모드가 표시됩니다. 인터페이스 ge-0/0/14.0은 단일 서플리컨트 모드를 표시합니다.
인터페이스와 VLAN 연결 확인
목적
인터페이스 상태 및 VLAN 멤버십을 표시합니다.
행동
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee unblocked
ge-0/0/2.0 down employee unblocked
ge-0/0/12.0 down default unblocked
ge-0/0/13.0 down default unblocked
ge-0/0/13.0 down vlan100 unblocked
ge-0/0/14.0 up voice unblocked
data unblocked
ge-0/0/17.0 down employee unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/24.0 down data unblocked
employee unblocked
vlan100 unblocked
voice unblocked
의미
필드 VLAN 멤버 는 ge-0/0/14.0 인터페이스가 데이터 VLAN과 음성 VLAN을 모두 지원함을 보여줍니다. State(상태 ) 필드는 인터페이스가 작동 중임을 보여줍니다.
DHCP 스누핑 및 IP Source Guard가 데이터 VLAN에서 작동하는지 확인
목적
DHCP 스누핑 및 IP 소스 가드가 활성화되어 있고 데이터 VLAN에서 작동하는지 확인합니다.
행동
스위치에 연결된 네트워크 디바이스(여기서는 DHCP 클라이언트)에서 일부 DHCP 요청을 보냅니다.
DHCP 서버가 스위치에 연결하는 인터페이스를 신뢰할 수 있는 경우 DHCP 스누핑 정보를 표시합니다. MAC 주소에서 요청이 전송되고 서버가 IP 주소 및 임대를 제공한 경우 다음 출력 결과가 발생합니다.
user@switch> show dhcp snooping binding
DHCP Snooping Information:
MAC address IP address Lease (seconds) Type VLAN Interface
00:05:85:3A:82:77 192.0.2.17 600 dynamic employee ge-0/0/1.0
00:05:85:3A:82:79 192.0.2.18 653 dynamic employee ge-0/0/1.0
00:05:85:3A:82:80 192.0.2.19 720 dynamic employee ge-0/0/2.0
00:05:85:3A:82:81 192.0.2.20 932 dynamic employee ge-0/0/2.0
00:30:48:92:A5:9D 10.10.10.7 720 dynamic vlan100 ge-0/0/13.0
00:30:48:8D:01:3D 10.10.10.9 720 dynamic data ge-0/0/14.0
00:30:48:8D:01:5D 10.10.10.8 1230 dynamic voice ge-0/0/14.0
00:11:11:11:11:11 10.1.1.1 — static data ge-0/0/14.0
00:05:85:27:32:88 192.0.2.22 — static employee ge-0/0/17.0
00:05:85:27:32:89 192.0.2.23 — static employee ge-0/0/17.0
00:05:85:27:32:90 192.0.2.27 — static employee ge-0/0/17.0
데이터 VLAN에 대한 IP 소스 가드 정보를 봅니다.
user@switch> show ip-source-guard IP source guard information: Interface Tag IP Address MAC Address VLAN ge-0/0/13.0 0 10.10.10.7 00:30:48:92:A5:9D vlan100 ge-0/0/14.0 0 10.10.10.9 00:30:48:8D:01:3D data ge-0/0/14.0 0 10.1.1.1 00:11:11:11:11:11 data ge–0/0/13.0 100 * * voice
의미
DHCP 서버가 스위치에 연결하는 인터페이스가 신뢰할 수 있음으로 설정된 경우, 출력(에 대한 show dhcp snooping binding이전 샘플 출력 참조)은 각 MAC 주소에 대해 할당된 IP 주소 및 임대 시간, 즉 임대가 만료되기까지 남은 시간(초 단위)을 표시합니다. 고정 IP 주소에는 할당된 임대 시간이 없습니다. 정적으로 구성된 항목은 만료되지 않습니다.
IP 소스 가드 데이터베이스 테이블에는 IP 소스 가드에 사용할 수 있는 VLAN, 해당 VLAN의 신뢰할 수 없는 액세스 인터페이스, VLAN 802.1Q 태그 ID(있는 경우), 서로 바인딩된 IP 주소 및 MAC 주소가 포함되어 있습니다. 스위치 인터페이스가 여러 VLAN과 연결되어 있고 이러한 VLAN 중 일부는 IP 소스 가드에 사용하도록 설정되어 있고 다른 VLAN은 그렇지 않은 경우 IP 소스 가드에 대해 사용하도록 설정되지 않은 VLAN은 IP 주소 및 MAC 주소 필드에 별표(*)가 표시됩니다. 이전 샘플 출력에서 음성 VLAN에 대한 항목을 참조하십시오.