Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

예: IPv6 주소 스푸핑으로부터 스위치를 보호하기 위한 IPv6 Source Guard 및 Neighbor Discovery 검사 구성

메모:

이 예에서는 ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하는 Junos OS를 사용합니다. 스위치에서 ELS를 지원하지 않는 소프트웨어를 실행하는 경우 예: ARP 스푸핑 공격으로부터 보호를 참조하십시오. ELS에 대한 자세한 내용은 Enhanced Layer 2 Software CLI 사용을 참조하십시오.

이 예에서는 IPv6 주소 스푸핑 공격으로부터 스위치를 보호하기 위해 지정된 VLAN에서 IPv6 source guard 및 neighbor discovery 검사를 활성화하는 방법을 설명합니다. IPv6 소스 가드 또는 neighbor discovery 검사를 활성화하면 동일한 VLAN에서 DHCPv6 스누핑이 자동으로 활성화됩니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

메모:

이 예는 QFX5100, QFX5110 및 QFX5200 스위치에도 적용됩니다.

  • Enhanced Layer 2 소프트웨어 구성 스타일을 지원하는 EX 시리즈 스위치 1개.

  • EX 시리즈 스위치용 Junos OS 릴리스 13.2X51-D20 이상

  • 스위치의 네트워크 디바이스에 IPv6 주소를 제공하는 DHCPv6 서버

IPv6 주소 스푸핑 공격을 방지하기 위해 IPv6 source guard 및 neighbor discovery 검사를 구성하기 전에 다음을 수행해야 합니다.

  • DHCPv6 서버를 스위치에 연결했습니다.

  • DHCPv6 보안 기능을 추가할 VLAN을 구성했습니다. 스위치에 대한 기본 브리징 및 VLAN 설정을 설명하는 문서를 참조하십시오.

개요 및 토폴로지

이더넷 LAN 스위치는 소스 MAC 주소 또는 소스 IPv6 주소의 스푸핑(위조)과 관련된 보안 공격에 취약합니다. 이러한 스푸핑된 패킷은 스위치의 신뢰할 수 없는 액세스 인터페이스에 연결된 호스트에서 전송됩니다. IPv6 주소 스푸핑 공격에 대한 자세한 내용은 IPv6 Neighbor Discovery Inspection을 참조하십시오.

바인딩 테이블이라고도 하는 DHCPv6 스누핑 테이블을 사용하여 IPv6 소스 가드 및 이웃 검색 검사는 IPv6 스푸핑 공격의 위험을 완화합니다. DHCPv6 스누핑 테이블에는 VLAN과 연결된 각 호스트의 IP 주소, MAC 주소, VLAN 및 인터페이스 ID가 포함되어 있습니다. 스위치의 신뢰할 수 없는 액세스 인터페이스에 연결된 호스트에서 패킷이 전송되면 IPv6 소스 가드는 DHCPv6 스누핑 테이블의 항목과 비교하여 패킷을 확인합니다. 테이블에 일치하는 항목이 없으면 스위치는 패킷을 전달하지 않습니다. 즉, 패킷이 삭제됩니다. 이웃 검색 검사는 DHCPv6 스누핑 테이블에 대해 동일한 네트워크 링크의 IPv6 노드 간에 전송된 이웃 발견 메시지를 확인하고, 일치하는 항목이 없으면 패킷도 삭제합니다.

이 예에서는 DHCPv6 서버에 연결된 스위치에서 이러한 중요한 포트 보안 기능을 구성하는 방법을 보여 줍니다. 이 예의 설정에는 스위치의 VLAN 판매가 포함됩니다. 그림 1 은 이 예의 토폴로지를 보여줍니다.

메모:

DHCPv6 서버 인터페이스에 연결하는 트렁크 인터페이스는 기본적으로 신뢰할 수 있는 포트입니다.

위상수학

그림 1: 기본 포트 보안을 Network Topology for Basic Port Security 위한 네트워크 토폴로지

이 예의 토폴로지 구성 요소는 표 1에 표시되어 있습니다.

표 1: 포트 보안 토폴로지의 구성 요소
속성 설정

스위치 하드웨어

Enhanced Layer 2 소프트웨어 구성 스타일을 지원하는 EX 시리즈 스위치 1개.

VLAN 이름 및 ID

영업, 태그 20

VLAN 서브넷

192.0.2.16/28

192.0.2.17 부터 192.0.2.30까지

192.0.2.31은 서브넷의 브로드캐스트 주소입니다.

의 인터페이스 sales

ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8

DHCPv6 서버에 연결하는 인터페이스

ge-0/0/8

이 예에서 스위치는 이미 다음과 같이 구성되었습니다.

  • 모든 액세스 포트는 신뢰할 수 없으며, 이것이 기본 설정입니다.

  • 트렁크 포트(ge-0/0/8)는 신뢰할 수 있으며 기본 설정입니다.

  • VLAN(판매)이 지정된 인터페이스를 포함하도록 구성되었습니다.

구성

절차

CLI 빠른 구성

IPv6 소스 가드 및 이웃 검색 검사를 신속하게 구성하려면(이에 따라 DHCPv6 스누핑도 자동으로 구성) 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.

단계별 절차

VLAN에서 IPv6 소스 가드 및 이웃 검색 검사를 구성(이에 따라 DHCPv6 스누핑도 자동으로 구성)합니다.

  1. VLAN에서 IPv6 source guard를 구성합니다.

  2. VLAN에서 neighbor discovery 검사를 활성화합니다.

결과

구성 결과를 확인합니다.

확인

구성이 올바르게 작동하고 있는지 확인합니다.

DHCPv6 스누핑이 스위치에서 올바르게 작동하는지 확인

목적

DHCPv6 스누핑이 스위치에서 작동하는지 확인합니다.

행동

스위치에 연결된 네트워크 디바이스(이 예에서는 DHCPv6 클라이언트)에서 DHCPv6 요청을 보냅니다.

DHCPv6 서버가 스위치에 연결하는 포트를 신뢰할 수 있는 경우 DHCPv6 스누핑 정보를 표시합니다. MAC 주소에서 요청이 전송되고 서버가 IPv6 주소 및 임대를 제공한 경우 다음 출력 결과가 발생합니다.

의미

출력에는 할당된 IPv6 주소, MAC 주소, VLAN 이름 및 리스가 만료되기까지 남은 시간(초)이 표시됩니다. IPv6 호스트에는 일반적으로 IPv6 사용 네트워크 인터페이스 각각에 할당된 IPv6 주소가 두 개 이상 있으므로 각 클라이언트에는 클라이언트가 DHCP 트랜잭션에 사용하는 link-local IPv6 주소가 있는 항목과 서버에서 할당한 IPv6 주소가 있는 항목이 두 개 추가됩니다. link-local 주소에는 항상 접두사 fe80::/10가 있습니다.

스위치에서 Neighbor Discovery Inspection이 올바르게 작동하는지 확인

목적

neighbor discovery 검사가 스위치에서 작동하는지 확인합니다.

행동

스위치에 연결된 네트워크 디바이스에서 인접 검색 패킷을 보냅니다.

인접 검색 정보를 표시합니다.

의미

샘플 출력은 인터페이스당 수신 및 검사된 인접 검색 패킷 수를 보여주며, 통과한 패킷 수 및 각 인터페이스에서 검사에 실패한 패킷 수를 나열합니다. 스위치는 이웃 발견 요청 및 회신을 DHCPv6 스누핑 데이터베이스의 항목과 비교합니다. 인접 검색 패킷의 MAC 주소 또는 IPv6 주소가 데이터베이스의 유효한 항목과 일치하지 않으면 패킷이 삭제됩니다.

관련 문서