예: 주소 스푸핑 및 레이어 2 DoS 공격으로부터 보호
스위치의 액세스 인터페이스에서 DHCP 스누핑, 동적 ARP 검사(DAI) 및 MAC 제한을 구성하여 주소 스푸핑 및 레이어 2 DoS(Denial-of-Service) 공격으로부터 스위치와 이더넷 LAN을 보호할 수 있습니다. 이러한 기능에 대한 기본 설정을 얻기 위해 포트 보안을 위한 스위치의 기본 구성을 사용하고, MAC 제한을 구성하고, VLAN에서 DHCP 스누핑 및 DAI를 활성화할 수 있습니다. DHCP 서버가 DHCP 클라이언트(네트워크 디바이스)가 연결된 스위치와 다른 스위치에 연결된 경우 이러한 기능을 구성할 수 있습니다.
이 예에서는 호스트가 두 번째 스위치에 연결된 DHCP 서버로부터 IP 주소 및 리스 시간을 가져오는 스위치에서 포트 보안 기능을 구성하는 방법을 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
EX 시리즈 스위치 1개 또는 QFX3500 스위치 - 이 예에서는 스위치 1 입니다.
추가 EX 시리즈 스위치 또는 QFX3500 스위치(이 예에서는 스위치 2 )입니다. 이 두 번째 스위치에서는 포트 보안을 구성하지 않습니다.
EX 시리즈 스위치의 경우 Junos OS 릴리스 9.0 이상, QFX 시리즈의 경우 Junos OS 릴리스 12.1 이상.
스위치 2에 연결된 DHCP 서버. 서버를 사용하여 스위치 1에 연결된 네트워크 디바이스에 IP 주소를 제공합니다.
스위치 1의 액세스 인터페이스에 연결하는 최소 2개의 네트워크 디바이스(호스트). 이러한 디바이스는 DHCP 클라이언트입니다.
DHCP 스누핑, DAI 및 MAC 제한 포트 보안 기능을 구성하기 전에 다음을 확인하십시오.
DHCP 서버를 스위치 2에 연결했습니다.
스위치 1에서 VLAN을 구성했습니다. 플랫폼에 대한 작업을 참조하십시오.
개요 및 토폴로지
이더넷 LAN은 네트워크 디바이스에 대한 스푸핑 및 DoS 공격에 취약합니다. 이러한 공격으로부터 디바이스를 보호하기 위해 다음을 구성할 수 있습니다.
DHCP 서버 메시지 유효성을 검사하기 위한 DHCP 스누핑
ARP 스푸핑으로부터 보호하기 위한 DAI
스위치가 MAC 주소 캐시에 추가하는 MAC 주소 수를 제한하기 위한 MAC 제한
이 예에서는 스위치 1에서 이러한 포트 보안 기능을 구성하는 방법을 보여 줍니다. 스위치 1이 포트 보안 기능으로 구성되지 않은 다른 스위치(스위치 2)에 연결되어 있습니다. 스위치 2는 DHCP 서버에 연결됩니다( 그림 1 참조). 스위치 1에 연결된 네트워크 디바이스(호스트)는 IP 주소에 대한 요청을 보냅니다(이러한 네트워크 디바이스는 DHCP 클라이언트임). 이러한 요청은 스위치 1에서 스위치 2로 전송된 다음 스위치 2에 연결된 DHCP 서버로 전송됩니다. 요청에 대한 응답은 요청의 역방향 경로를 따라 전송됩니다.
이 예의 설정에는 두 스위치의 VLAN employee-vlan 이 모두 포함됩니다.
그림 1 은 예제의 네트워크 토폴로지를 보여줍니다.
위상수학
이 예의 토폴로지 구성 요소는 표 1에 표시되어 있습니다.
| 속성 | 설정 |
|---|---|
스위치 하드웨어 |
EX 시리즈 스위치 1개 또는 QFX3500 스위치 1개(스위치 1) 및 추가 EX 시리즈 스위치 또는 QFX3500 스위치(스위치 2) |
VLAN 이름 및 ID |
|
VLAN 서브넷 |
|
두 스위치의 트렁크 인터페이스 |
ge-0/0/11 |
스위치 1의 액세스 인터페이스 |
ge-0/0/1, ge-0/0/2 및 ge-0/0/3 |
스위치 2의 액세스 인터페이스 |
ge-0/0/1 |
DHCP 서버용 인터페이스 |
스위치 2의 ge-0/0/1 |
스위치 1은 처음에 기본 포트 보안 설정으로 구성됩니다. 스위치의 기본 구성:
스위치에서 보안 포트 액세스가 활성화됩니다.
스위치는 패킷을 삭제하지 않으며, 이것이 기본 설정입니다.
DHCP 스누핑 및 DAI는 모든 VLAN에서 비활성화됩니다.
모든 액세스 인터페이스는 신뢰할 수 없으며 트렁크 인터페이스는 신뢰할 수 있습니다. 기본 설정입니다.
이 예의 구성 작업에서는 두 스위치 모두에서 VLAN을 구성합니다.
VLAN을 구성하는 것 외에도 스위치 1에서 DHCP 스누핑을 활성화할 수 있습니다. 이 예에서는 스위치 1에서 DAI 및 MAC 제한 5 도 활성화합니다.
스위치 2를 스위치 1에 연결하는 인터페이스는 트렁크 인터페이스이므로 이 인터페이스를 신뢰할 수 있도록 구성할 필요가 없습니다. 위에서 언급했듯이 트렁크 인터페이스는 자동으로 신뢰되므로 DHCP 서버에서 스위치 2로 수신된 다음 스위치 1로 수신되는 DHCP 메시지를 신뢰할 수 있습니다.
스위치 1에서 VLAN, 인터페이스 및 포트 보안 기능 구성
절차
CLI 빠른 구성
VLAN, 인터페이스 및 포트 보안 기능을 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.
[edit] set vlans employee-vlan vlan-id 20 set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members 20 set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members 20 set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members 20 set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members 20 set ethernet-switching-options secure-access-port interface ge-0/0/1 mac-limit 5 action drop set ethernet-switching-options secure-access-port vlan employee-vlan arp-inspection set ethernet-switching-options secure-access-port vlan employee-vlan examine-dhcp clear ethernet-switching table interface ge-0/0/1
단계별 절차
스위치 1에서 MAC 제한, VLAN 및 인터페이스를 구성하고 VLAN에서 DAI 및 DHCP를 활성화하려면 다음을 수행합니다.
VLAN ID
20를 사용하여 VLANemployee-vlan을 구성합니다.[edit vlans] user@switch1# set employee-vlan vlan-id 20
스위치 1의 인터페이스를 트렁크 인터페이스로 구성합니다.
[edit interfaces] user@switch1# set ge-0/0/11 unit 0 family ethernet-switching port-mode trunk
VLAN을 인터페이스 ge-0/0/1, ge-0/0/2, ge-0/0/3 및 ge-0/0/11과 연결합니다.
[edit interfaces] user@switch1# set ge-0/0/1 unit 0 family ethernet-switching vlan members 20 user@switch1# set ge-0/0/2 unit 0 family ethernet-switching vlan members 20 user@switch1# set ge-0/0/3 unit 0 family ethernet-switching vlan members 20 user@switch1# set ge-0/0/11 unit 0 family ethernet-switching vlan members 20
VLAN에서 DHCP 스누핑을 활성화합니다.
[edit ethernet-switching-options secure-access-port] user@switch1# set vlan employee-vlan examine-dhcp
VLAN에서 DAI를 활성화합니다.
[edit ethernet-switching-options secure-access-port] user@switch1# set vlan employee-vlan arp-inspection
ge-0/0/1에서 MAC 제한을
5구성하고 기본 작업을drop사용합니다(제한을 초과하면 새 주소를 가진 패킷이 손실됨).[edit ethernet-switching-options secure-access-port] user@switch1# set interface ge-0/0/1 mac-limit 5 drop
인터페이스 ge-0/0/1에서 기존 MAC 주소 테이블 항목을 지웁니다.
user@switch1# clear ethernet-switching table interface ge-0/0/1
결과
구성 결과를 표시합니다.
[edit]
user@switch1# show
ethernet-switching-options {
secure-access-port {
interface ge-0/0/1.0{
mac-limit 5 action drop;
}
vlan employee-vlan {
arp-inspection;
examine-dhcp;
}
}
}
interfaces {
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members 20;
}
}
}
}
ge-0/0/2 {
unit 0 {
family ethernet-switching {
vlan {
members 20;
}
}
}
}
ge-0/0/3 {
unit 0 {
family ethernet-switching {
vlan {
port-mode trunk;
members 20;
}
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members 20;
}
}
}
}
}
vlans {
employee-vlan {
vlan-id 20;
}
}
스위치 2에서 VLAN 및 인터페이스 구성
스위치 2에서 VLAN 및 인터페이스를 구성하려면:
절차
CLI 빠른 구성
스위치 2에서 VLAN 및 인터페이스를 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣으십시오.
[edit] set vlans employee-vlan vlan-id 20 set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members 20 set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members 20
단계별 절차
스위치 2에서 VLAN 및 인터페이스를 구성하려면:
VLAN ID
20를 사용하여 VLANemployee-vlan을 구성합니다.[edit vlans] user@switch1# set employee-vlan vlan-id 20
스위치 2의 인터페이스를 트렁크 인터페이스로 구성합니다.
[edit interfaces] user@switch2# set ge-0/0/11 unit 0 ethernet-switching port-mode trunk
VLAN을 인터페이스 ge-0/0/1 및 ge-0/0/11과 연결합니다.
[edit interfaces] user@switch2# set ge-0/0/1 unit 0 family ethernet-switching vlan members 20 user@switch2# set ge-0/0/11 unit 0 family ethernet-switching vlan members 20
결과
구성 결과를 표시합니다.
[edit]
user@switch2# show
interfaces {
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members 20;
}
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members 20;
}
}
}
}
}
vlans {
employee-vlan {
vlan-id 20;
}
}
확인
구성이 제대로 작동하는지 확인합니다.
DHCP 스누핑이 스위치 1에서 올바르게 작동하는지 확인
목적
DHCP 스누핑이 스위치 1에서 작동하는지 확인합니다.
행동
스위치에 연결된 네트워크 디바이스(여기서는 DHCP 클라이언트)에서 일부 DHCP 요청을 보냅니다.
스위치 2가 DHCP 서버를 보내는 인터페이스를 스위치 1에 연결된 클라이언트에 응답하는 인터페이스를 신뢰할 수 있는 경우 작동 모드 명령을 show dhcp snooping binding 실행하여 DHCP 스누핑 정보를 표시합니다. 서버가 IP 주소 및 임대를 제공했습니다.
user@switch1> show dhcp snooping binding DHCP Snooping Information: MAC Address IP Address Lease Type VLAN Interface ----------------- ---------- ----- ---- ---- --------- 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:90 192.0.2.20 932 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:91 192.0.2.21 1230 dynamic employee—vlan ge-0/0/3.0
의미
출력은 각 MAC 주소에 대해 할당된 IP 주소와 리스 시간, 즉 리스가 만료되기까지 남은 시간(초 단위)을 보여줍니다.
스위치 1에서 DAI가 올바르게 작동하는지 확인
목적
DAI가 스위치 1에서 작동하는지 확인합니다.
행동
스위치에 연결된 네트워크 디바이스에서 일부 ARP 요청을 보냅니다.
작동 모드 명령을 show arp inspection statistics 실행하여 DAI 정보를 표시합니다.
user@switch1> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed ---------- –-------------–- ------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 18 15 3
의미
출력은 인터페이스당 수신 및 검사된 ARP 패킷 수를 보여주며, 각 인터페이스에서 통과된 패킷 수와 검사에 실패한 패킷 수를 나열합니다. 스위치는 ARP 요청 및 응답을 DHCP 스누핑 데이터베이스의 항목과 비교합니다. ARP 패킷의 MAC 주소 또는 IP 주소가 데이터베이스의 유효한 항목과 일치하지 않으면 패킷이 삭제됩니다.
MAC 제한이 스위치 1에서 올바르게 작동하는지 확인
목적
MAC 제한이 스위치 1에서 작동하는지 확인합니다.
행동
운영 모드 명령을 show ethernet-switching table 실행하여 DHCP 요청이 ge-0/0/1의 호스트에서 전송될 때 학습된 MAC 주소를 표시합니다.
user@switch1> show ethernet-switching table
Ethernet-switching table: 6 entries, 5 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/1.0 employee-vlan * Flood - ge-0/0/1.0
의미
출력은 인터페이스에 ge-0/0/1대해 5개의 MAC 주소가 학습되었음을 보여주며, 이는 구성에 설정된 MAC 제한 5 에 해당합니다. 출력의 마지막 줄은 열의 별표(*) MAC address 로 표시된 대로 여섯 번째 MAC 주소 요청이 삭제되었음을 보여줍니다.