Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

포트 보안 개요

포트 보안 기능

이더넷 LAN은 네트워크 디바이스의 주소 스푸핑(forging) 및 Layer 2 DoS(Denial of Service)와 같은 공격에 취약합니다. 포트 보안 기능은 이러한 공격이 야기할 수 있는 정보 및 생산성 손실로부터 장비의 액세스 포트를 보호할 수 있도록 지원합니다.

Junos OS는 컨트롤 포워딩 플레인과 서비스 플레인의 분리를 통해 강화되었으며 각 기능은 보호되는 메모리에서 실행됩니다. 컨트롤 플레인 CPU는 속도 제한, 라우팅 정책 및 방화벽 필터를 통해 보호되기 때문에 심각한 공격 발생 시에도 스위치 가동 시간을 보장합니다.

Junos OS는 디바이스의 포트 보안을 지원하는 기능을 제공합니다. 포트는 신뢰할 수 있거나 신뢰할 수 없는 포트로 범주화할 수 있습니다. 각 범주에 적합한 정책을 적용하여 다양한 유형의 공격으로부터 포트를 보호합니다.

동적 ARP(Address Resolution Protocol) 검사, DHCP 스누핑 및 MAC 제한과 같은 액세스 포트 보안 기능은 단일 Junos OS CLI 명령을 통해 제어됩니다. 기본 포트 보안 기능은 디바이스의 기본 구성에서 활성화됩니다. 최소 구성 단계를 통해 추가 기능을 구성할 수 있습니다. 특정 기능에 따라 VLAN 또는 브리지 도메인 인터페이스에서 기능을 구성할 수 있습니다.

Junos OS 릴리스 18.4R1부터 DHCP 스누핑은 다음과 같은 주니퍼 시리즈 스위치, EX2300, EX4600 및 QFX5K에 대해 신뢰할 수 있는 포트에서 수행됩니다. 이러한 디바이스의 경우 Junos OS 릴리스 18.4R1 이전에 DHCPv6 스누핑에만 해당되었습니다. 또한 DHCP 스누핑은 Junos OS 릴리스 19.1R1 이상에서 실행되는 EX9200 시리즈 스위치와 Fusion Enterprises를 위한 신뢰할 수 있는 포트에서 실행됩니다.

주니퍼 네트웍스 EX Series 이더넷 스위치는 다음과 같은 하드웨어 및 소프트웨어 보안 기능을 제공합니다.

Console Port—RJ-45 케이블을 통해 콘솔 포트를 사용하여 라우팅 엔진에 연결할 수 있습니다. 그런 다음 CLI(Command-Line Interface)를 사용하여 스위치를 구성합니다.

Out-of-Band Management—후면 패널의 전용 관리 Ethernet 포트를 통해 대역 외 관리를 허용합니다.

Software Images—모든 Junos OS 이미지는 주니퍼 네트웍스 CA(Certificate Authority)와 PKI(Public Key Infrastructure)가 서명합니다.

User Authentication, Authorization, and Accounting (AAA)—특징:

  • 암호 암호화 및 인증을 통해 사용자 및 그룹 계정.

  • 로그인 클래스 및 사용자 템플릿에 대해 구성 가능한 액세스 권한 수준

  • 스위치에 액세스를 시도하는 사용자를 인증하기 위한 RADIUS 인증, TACACS+ 인증 또는 두 가지 모두 지원

  • 시스템 로깅 또는 RADIUS/TACACS+를 통한 구성 변경 감사

802.1X Authentication—네트워크 액세스 제어를 제공합니다. 처음 LAN에 연결할 때 서플리컨트(호스트)가 인증됩니다. DHCP 서버에서 IP 주소를 받기 전에 서플리컨트를 인증하면 인증 받지 않은 신청자가 LAN에 액세스하는 것을 방지합니다. EX 시리즈 스위치는 EAP-MD5, EAP-TLS, EAP-TTLS 및 EAP-PEAP를 비롯한 EAP(Extensible Authentication Protocol) 방법을 지원합니다.

Port Security—스위칭 디바이스에서 지원되는 액세스 포트 보안 기능은 다음과 같습니다.

  • DHCP 스누핑—신뢰할 수 없는 포트에서 수신 DHCP(Dynamic Host Configuration Protocol) 서버 메시지를 필터링 및 차단하고 DHCP 스누핑 데이터베이스라고 하는 DHCP 임대 정보의 데이터베이스를 빌드 및 유지 관리합니다.

    참고:

    DHCP 스누핑은 스위칭 디바이스의 기본 구성에서는 활성화되지 않습니다. DHCP 스누핑은 VLAN 또는 브리지 도메인에서 활성화됩니다. DHCP 스누핑을 활성화하는 세부 사항은 특정 디바이스에 따라 달라집니다.

  • 신뢰할 수 있는 DHCP 서버—신뢰할 수 있는 포트에서 DHCP 서버를 구성하여 임대를 보내는 불량 DHCP 서버로부터 보호합니다. 인터페이스(포트)에서 이 기능을 활성화합니다. 기본적으로 액세스 포트는 신뢰할 수 없으며 트렁크 포트는 신뢰할 수 있습니다. (액세스 포트는 사용자 PC, 노트북, 서버, 프린터와 같은 이더넷 엔드포인트에 연결하는 스위치 포트입니다. 트렁크 포트는 이더넷 스위치를 다른 스위치 또는 라우터에 연결하는 스위치 포트입니다.)

  • DHCPv6 스누핑—IPv6용 DHCP 스누핑.

  • DHCP 옵션 82—DHCP Relay Agent 정보 옵션으로도 알려져 있습니다. 이 DHCPv4 기능은 IP 주소 및 MAC 주소 스푸핑, DHCP IP 주소 고충 등의 공격으로부터 스위칭 장치를 보호할 수 있도록 지원합니다. 옵션 82는 DHCP 클라이언트의 네트워크 위치에 대한 정보를 제공하며, DHCP 서버는 이 정보를 사용하여 IP 주소 또는 클라이언트에 대한 기타 매개 변수를 구현합니다.

  • DHCPv6 옵션 37—옵션 37은 DHCPv6를 위한 원격 ID 옵션이며, DHCPv6 패킷에 원격 호스트의 네트워크 위치에 대한 정보를 삽입하는 데 사용됩니다. VLAN에서 옵션 37을 활성화합니다.

    참고:

    옵션 37을 통한 DHCPv6 스누핑은 MX 시리즈에서 지원되지 않습니다.

  • DHCPv6 옵션 18—옵션 18은 DHCPv6를 위한 회선 ID 옵션이며 클라이언트 포트에 대한 정보를 DHCPv6 패킷에 삽입하는 데 사용됩니다. 이 옵션에는 선택적으로 구성할 수 있는 다른 세부 정보(예: 접두사 및 인터페이스 설명)가 포함됩니다.

  • DHCPv6 옵션 16—옵션 16은 DHCPv6를 위한 벤더 ID 옵션이며 클라이언트 하드웨어 공급업체에 대한 정보를 DHCPv6 패킷에 삽입하는 데 사용됩니다.

  • DAI(Dynamic ARP Inspection)—ARP(Address Resolution Protocol) 스푸핑 공격을 방지합니다. ARP 요청 및 회신은 DHCP 스누핑 데이터베이스의 엔트리와 비교되며, 이러한 비교 결과에 따라 필터링 결정이 내려집니다. VLAN에서 DAI를 사용할 수 있습니다.

  • IPv6 인접 검색 검사—IPv6 주소 스푸핑 공격 차단. 인접 검색 요청 및 회신을 DHCPv6 스누핑 데이터베이스의 항목과 비교하며, 이러한 비교 결과에 따라 필터링 결정이 내려집니다. VLAN에서 이웃 탐색 검사를 사용할 수 있습니다.

  • IP 소스 가드—IP 주소 스푸핑 공격이 이더넷 LAN에 미치는 영향을 완화합니다. IP Source Guard를 사용하면 신뢰할 수 없는 액세스 인터페이스에서 전송된 패킷의 소스 IP 주소가 DHCP 스누핑 데이터베이스에 대해 검증됩니다. 패킷의 유효성을 검사할 수 없는 경우 폐기됩니다. VLAN 또는 브리지 도메인에서 IP 소스 보호 기능을 활성화합니다.

  • IPv6 소스 가드—IPv6를 위한 IP 소스 가드.

  • MAC 제한—이더넷 스위칭 테이블(MAC 포워딩 테이블 또는 Layer 2 포워딩 테이블)의 플러딩으로부터 보호합니다. 인터페이스에서 MAC 제한을 사용할 수 있습니다.

  • MAC 이동 제한—MAC 이동을 추적하고 액세스 포트에서 MAC 스푸핑을 감지합니다. VLAN 또는 브리지 도메인에서 이 기능을 활성화합니다.

  • 영구 MAC 학습—스티키 MAC(sticky MAC)라고도 함. 영구 MAC 학습을 통해 인터페이스는 스위치 재부팅에서 동적으로 학습한 MAC 주소를 유지할 수 있습니다. 인터페이스에서 이 기능을 활성화합니다.

  • 무제한 프록시 ARP—스위치는 자체 MAC 주소로 모든 ARP 메시지에 응답합니다. 스위치의 인터페이스에 연결된 호스트는 다른 호스트와 직접 통신할 수 없습니다. 대신 호스트 간의 모든 통신은 스위치를 통과합니다.

  • 제한된 프록시 ARP—ARP 요청의 소스 및 대상의 물리적 네트워크가 동일한 경우 스위치는 ARP 요청에 응답하지 않습니다. 대상 호스트가 수신 인터페이스와 동일한 IP 주소인지 아니면 다른(원격) IP 주소인지는 중요하지 않습니다. 브로드캐스트 주소에 대한 ARP 요청으로 응답이 발생하지 않습니다.

Device Security—스톰 컨트롤을 통해 스위치는 알 수 없는 유니캐스트 및 브로드캐스트 트래픽을 모니터링하고 패킷을 드롭하거나, 지정된 트래픽 수준을 초과할 때 인터페이스를 종료하거나 일시적으로 비활성화함으로써 패킷이 LAN의 확산 및 저하를 방지합니다. 액세스 인터페이스 또는 트렁크 인터페이스에서 스톰 제어를 실행할 수 있습니다.

Encryption Standards—지원되는 표준은 다음과 같습니다.

  • 128비트, 192비트 및 256비트 AES(Advanced Encryption Standard)

  • 56비트 DES(Data Encryption Standard) 및 168비트 3DES

일반적인 공격으로부터 액세스 포트를 보호하는 방법 이해

포트 보안 기능은 다양한 유형의 공격으로부터 주니퍼 네트웍스 EX 시리즈 및 QFX10000 이더넷 스위치를 보호할 수 있습니다. 일반적인 공격에 대한 보호 방법은 다음과 같습니다.

이더넷 스위칭 테이블 오버플로우 공격 완화

이더넷 스위칭 테이블에 대한 오버플로우 공격으로 침입자는 새 MAC 주소로부터 너무 많은 요청을 전송하므로 테이블이 모든 주소를 학습할 수 없습니다. 스위치가 더 이상 테이블의 정보를 사용하여 트래픽을 포워딩할 수 없는 경우 메시지를 브로드캐스트해야 합니다. 스위치의 트래픽 흐름이 중단되고 패킷이 네트워크의 모든 호스트로 전송됩니다. 트래픽으로 네트워크를 오버로드하는 것 외에도 공격자는 브로드캐스트 트래픽을 탐지할 수도 있습니다.

이러한 공격을 완화하려면 학습된 MAC 주소에 대한 MAC 제한과 일부 특정 허용 MAC 주소를 모두 구성하십시오. MAC 제한 기능을 사용하여 지정된 인터페이스 또는 인터페이스에 대해 이더넷 스위칭 테이블에 추가할 수 있는 MAC 주소의 총 수를 제어합니다. 명시적으로 허용되는 MAC 주소를 설정함으로써 네트워크 액세스가 중요한 네트워크 디바이스의 주소가 Ethernet 스위칭 테이블에 포함되도록 보장합니다. 예: 이더넷 스위칭 테이블 오버플로우 공격으로부터 보호

참고:

학습한 MAC 주소를 구성하여 각 인터페이스에서 지속할 수도 있습니다. 구성된 MAC 제한과 함께 사용되는 이 영구 MAC 학습은 재시작 또는 인터페이스 다운 이벤트 이후 트래픽 손실을 방지하고 인터페이스에서 허용되는 MAC 주소를 제한하여 포트 보안을 강화합니다.

불량 DHCP 서버 공격 완화

공격자가 LAN에서 합법적인 DHCP 서버를 가장하기 위해 불량 DHCP 서버를 설정하는 경우, 불량 서버가 네트워크의 DHCP 클라이언트에 대한 리스 발행을 시작할 수 있습니다. 이 불량 서버가 클라이언트에 제공한 정보는 네트워크 액세스를 중단시켜 DoS를 야기할 수 있습니다. 또한 불량 서버는 네트워크의 기본 게이트웨이 장치로 스스로를 할당할 수도 있습니다. 그러면 공격자는 네트워크 트래픽을 탐지하여 중간자(man-in-the-middle) 공격을 감행할 수 있습니다. 즉, 합법적인 네트워크 디바이스를 위한 트래픽을 선택한 장치로 잘못 전달합니다.

불량 DHCP 서버 공격을 완화하려면 해당 불량 서버가 신뢰할 수 없는 서버로 연결된 인터페이스를 설정합니다. 해당 조치는 해당 인터페이스의 모든 수신 DHCP 서버 메시지를 차단합니다. 예: 불량 DHCP 서버 공격으로부터 보호

참고:

스위치는 신뢰할 수 없는 포트에서 수신되는 모든 DHCP 서버 패킷을 기록합니다. 예를 들어,

5 신뢰할 수 없는 DHCPOFFER 수신, 인터페이스 ge-0/0/0.0[65], vlan v1[10] 서버 IP/mac 12.12.12.1/00:00:00:01:12 offer ip/client mac 12.12.12.253/00:AA:BB:CC:DD:01

이러한 메시지를 사용하여 네트워크에서 악의적인 DHCP 서버를 탐지할 수 있습니다.

참고:

QFX10000을 포함한 QFX 시리즈 스위치의 경우 DHCP 서버를 액세스 포트에 연결하는 경우 신뢰할 수 있는 포트를 구성해야 합니다.

ARP 스푸핑 공격 차단(QFX10000 시리즈 스위치에는 적용되지 않음)

ARP 스푸핑에서 공격자는 네트워크에서 가짜 ARP 메시지를 보냅니다. 공격자는 자체 MAC 주소를 스위치에 연결된 네트워크 장치의 IP 주소와 연결합니다. 해당 IP 주소로 전송되는 모든 트래픽은 공격자에게 전송됩니다. 이제 공격자는 다른 호스트를 의도한 패킷을 스니핑하고 중간자 공격을 저지르는 등 다양한 유형의 장난을 만들 수 있습니다. (man-in-the-middle 공격에서 공격자는 통신이 손상되었다는 것을 알고 있는 원래 호스트 없이도 두 호스트 간의 메시지를 가로채 메시지를 읽고 변경합니다. )

스위치에서 ARP 스푸핑으로부터 보호하려면 DHCP 스누핑과 DAI(Dynamic ARP Inspection)를 모두 활성화하십시오. DHCP 스누핑은 DHCP 스누핑 테이블을 빌드하고 유지합니다. 이 테이블에는 스위치에서 신뢰할 수 없는 인터페이스에 대한 MAC 주소, IP 주소, 임대 시간, 바인딩 유형, VLAN 정보 및 인터페이스 정보가 포함되어 있습니다. DAI는 DHCP 스누핑 테이블의 정보를 사용하여 ARP 패킷을 검증합니다. 잘못된 ARP 패킷이 차단되고 차단되면 ARP 패킷 유형과 발신자의 IP 주소 및 MAC 주소를 포함하는 시스템 로그 메시지가 기록됩니다.

예: ARP 스푸핑 공격으로부터 보호

DHCP 스누핑 데이터베이스 변경 공격 차단(QFX10000 시리즈 스위치에는 적용되지 않음)

DHCP 스누핑 데이터베이스를 변경하도록 설계된 공격에서 침입자는 다른 신뢰할 수 없는 포트의 클라이언트와 동일한 MAC 주소를 가진 스위치의 신뢰할 수 없는 액세스 인터페이스 중 하나에 DHCP 클라이언트를 도입합니다. 침입자는 DHCP 리스를 인수하여 DHCP 스누핑 테이블의 항목이 변경됩니다. 이후, 합법적인 클라이언트에서 ARP 요청이 유효한 것은 차단됩니다.

DHCP 스누핑 데이터베이스의 이러한 유형의 변경으로부터 보호하려면 인터페이스에서 명시적으로 허용되는 MAC 주소를 구성하십시오. 예: DHCP 스누핑 데이터베이스 공격으로부터 보호

DHCP 기아 공격으로부터 보호

DHCP 기아 공격에서 공격자는 스푸핑(위조) MAC 주소의 DHCP 요청으로 이더넷 LAN을 플러딩하여 스위치의 신뢰할 수 있는 DHCP 서버가 스위치에서 합법적인 DHCP 클라이언트의 요청을 따라잡을 수 없도록 합니다. 해당 서버의 주소 공간은 완벽하게 사용되기 때문에 더 이상 클라이언트에 IP 주소와 임대 시간을 할당할 수 없습니다. 해당 클라이언트의 DHCP 요청은 삭제되거나, 그 결과 DoS(Denial of Service)가 되거나 공격자가 LAN에서 합법적인 DHCP 서버를 가장하기 위해 설정한 불량 DHCP 서버로 연결됩니다.

DHCP 기아 공격으로부터 스위치를 보호하려면 MAC 제한 기능을 사용하십시오. 스위치가 해당 클라이언트가 연결하는 액세스 인터페이스에서 학습할 수 있는 최대 MAC 주소 수를 지정합니다. 그러면 스위치의 DHCP 서버 또는 서버는 지정된 수의 IP 주소와 임대를 해당 클라이언트에 더 이상 제공할 수 없습니다. 최대 IP 주소 수가 할당된 후에 DHCP 기아 공격이 발생하면 공격에 실패합니다. 예: DHCP 기아 공격으로부터 보호하십시오.

참고:

EX 시리즈 스위치에 대한 추가적인 보호를 위해 각 인터페이스에서 학습한 MAC 주소를 구성하여 영구 MAC 학습을 활성화하여 스위치의 재시작 동안 지속될 수 있습니다. 이러한 지속적인 MAC 학습은 재시작 후 트래픽 손실을 방지하고 재시작 또는 인터페이스 다운 이벤트 이후에도 스위치가 새 MAC 주소를 학습하는 대신 영구 MAC 주소가 포워딩 데이터베이스에 다시 입력되도록 보장합니다.

ELS(Configuring Port Security)

참고:

설명된 기능은 ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하는 EX 시리즈 스위치에서 지원됩니다. 스위치에서 ELS를 지원하지 않는 소프트웨어를 실행하는 경우 포트 보안 구성(비 ELS)을 참조하십시오. ELS에 대한 자세한 내용은 Enhanced Layer 2 소프트웨어 CLI를 사용하는 것을 참조하십시오.

이더넷 LAN은 네트워크 디바이스에서 주소 스푸핑 및 Layer 2 DoS(Denial of Service)와 같은 공격에 취약합니다. DHCP 포트 보안 기능은 이러한 공격으로 인해 발생할 수 있는 정보 및 생산성의 손실로부터 스위치의 액세스 포트를 보호할 수 있도록 지원합니다.

DHCPv4는 다음과 같은 포트 보안 기능을 지원합니다.

  • DHCP 스누핑

  • DAI(Dynamic ARP Inspection)

  • IP 소스 가드

  • DHCP 옵션 82

DHCPv6는 다음과 같은 포트 보안 기능을 지원합니다.

  • DHCPv6 스누핑

  • IPv6 인접 검색 검사

  • IPv6 소스 가드

  • DHCPv6 옵션 37, 옵션 18 및 옵션 16

DHCP 스누핑 및 DHCPv6 스누핑은 기본적으로 모든 VLAN에서 비활성화됩니다. DHCP 스누핑 또는 DHCPv6 스누핑을 활성화하기 위해 명시적 CLI 구성은 사용되지 않습니다. 계층 수준에서 VLAN에 대한 포트 보안 기능을 구성하면 해당 VLAN에서 [edit vlans vlan-name forwarding-options dhcp-security] DHCP 스누핑 및 DHCPv6 스누핑이 자동으로 활성화됩니다.

참고:

Junos OS 릴리스 14.1X53-D47 및 15.1R6부터 [edit vlans vlan-name forwarding-options] 계층 수준에서 CLI 명령문을 구성dhcp-security 하여 다른 포트 보안 기능을 구성하지 않고도 VLAN에서 DHCP 스누핑 또는 DHCPv6 스누핑을 활성화할 수 있습니다.

DAI, IPv6 인접 검색 검사, IP 소스 가드, IPv6 소스 가드, DHCP 옵션 82 및 DHCPv6 옵션이 VLAN에 따라 구성됩니다. 이러한 DHCP 포트 보안 기능을 구성하기 전에 VLAN을 구성해야 합니다. ELS 지원(CLI Procedure)을 사용하는 EX 시리즈 스위치용 VLAN 구성을 참조하십시오.

VLAN에 대해 사용자가 지정한 DHCP 포트 보안 기능은 VLAN에 포함된 모든 인터페이스에 적용됩니다. 그러나 VLAN 내의 액세스 인터페이스 또는 액세스 인터페이스 그룹에 서로 다른 속성을 할당할 수 있습니다. 액세스 인터페이스 또는 인터페이스는 먼저 계층 수준에서 명령문을 [edit vlans vlan-name forwarding-options dhcp-security] 사용하는 group 그룹으로 구성되어야 합니다. 그룹에는 하나 이상의 인터페이스가 있어야 합니다.

참고:

계층 수준에서 VLAN에서 액세스 인터페이스 그룹을 구성하면 VLAN [edit vlans vlan-name forwarding-options dhcp-security] 의 모든 인터페이스에 대한 DHCP 스누핑이 자동으로 이루어집니다.

명령문을 사용하는 group 액세스 인터페이스에 대해 지정할 수 있는 속성은 다음과 같습니다.

  • 인터페이스에 정적 IP-MAC 주소가 있음을 지정(static-ip or static-ipv6)

  • DHCP 서버에 대한 신뢰할 수 있는 인터페이스 역할을 할 수 있는 액세스 인터페이스 지정(trusted)

  • DHCP 옵션을 전송하지 않는 인터페이스 지정 82(no-option82) 또는 DHCPv6 옵션(no-option37)

참고:

트렁크 인터페이스는 기본적으로 신뢰할 수 있습니다. 그러나 이 기본 동작을 무효화하고 트렁크 인터페이스 untrusted를 로 설정할 수 있습니다.

자세한 내용은 다음을 참조하십시오.

VLAN 내에서 액세스 인터페이스 그룹을 구성하여 VLAN의 일반 포트 보안 설정을 무시할 수 있습니다. 자세한 내용은 다음을 참조하십시오.

ELS가 아닌 포트 보안 구성

이더넷 LAN은 네트워크 디바이스에서 주소 스푸핑 및 Layer 2 DoS(Denial of Service)와 같은 공격에 취약합니다. DHCP 스누핑, DAI(동적 ARP 검사), MAC 제한, MAC 이동 제한 및 영구 MAC 학습과 같은 포트 보안 기능은 물론 신뢰할 수 있는 DHCP 서버는 이러한 공격이 야기할 수 있는 정보 및 생산성 손실로부터 스위치의 액세스 포트를 보호할 수 있도록 지원합니다.

특정 기능에 따라 다음과 같은 포트 보안 기능을 구성할 수 있습니다.

  • VLAN—특정 VLAN 또는 모든 VLAN

  • 인터페이스—특정 인터페이스 또는 모든 인터페이스

참고:

모든 VLAN 또는 모든 인터페이스에서 포트 보안 기능 중 하나를 구성하면 스위치 소프트웨어는 다른 포트 보안 기능으로 명시적으로 구성되지 않은 모든 VLAN 및 모든 인터페이스에서 해당 포트 보안 기능을 지원합니다.

그러나 특정 VLAN 또는 특정 인터페이스에서 포트 보안 기능 중 하나를 명시적으로 구성하려면 VLAN 또는 인터페이스에 적용할 추가 포트 보안 기능을 명시적으로 구성해야 합니다. 그렇지 않으면 스위치 소프트웨어가 자동으로 기능의 기본값을 적용합니다.

예를 들어, 모든 VLAN에서 DHCP 스누핑을 비활성화하고 특정 VLAN에서만 IP 소스 가드를 명시적으로 사용하도록 설정하는 경우 해당 VLAN에서 DHCP 스누핑을 명시적으로 활성화해야 합니다. 그렇지 않으면 DHCP 스누핑이 없는 기본값이 해당 VLAN에 적용됩니다.

CLI를 사용하여 포트 보안 기능을 구성하려면 다음을 수행합니다.

DHCP 스누핑 지원

DHCP 스누핑을 구성하여 디바이스가 수신된 DHCP 메시지를 모니터링하고, 호스트가 할당된 IP 주소만 사용하도록 보장하며, 승인된 DHCP 서버에만 액세스를 허용할 수 있습니다.

DHCP 스누핑을 사용하려면 다음을 수행합니다.

  • 특정 VLAN에서:

  • 모든 VLAN에서:

DHCPv6 스누핑을 사용하려면 다음을 수행합니다.

  • 특정 VLAN에서:

  • 모든 VLAN에서:

DAI(Dynamic ARP Inspection) 지원

DAI를 통해 ARP 스누핑으로부터 보호할 수 있습니다. DAI를 사용하려면 다음을 수행합니다.

  • 단일 VLAN에서:

  • 모든 VLAN에서:

IPv6 인접 검색 검사 실행

인접 검색 검사를 통해 IPv6 주소 스푸핑으로부터 보호할 수 있습니다.

  • 단일 VLAN에서 인접 탐색을 사용하려면 다음을 수행합니다.

  • 모든 VLAN에서 인접 검색을 사용하려면 다음을 수행합니다.

인터페이스에서 동적 MAC 주소 제한

인터페이스에서 허용되는 동적 MAC 주소의 수를 제한하고 한계를 초과하는 경우 취할 조치를 지정합니다.

  • 단일 인터페이스에서:

  • 모든 인터페이스에서:

인터페이스에서 영구 MAC 학습 지원

학습한 MAC 주소를 구성하여 스위치의 재시작 시 인터페이스에서 지속할 수 있습니다.

MAC 주소 이동 제한

MAC 주소가 원래 인터페이스에서 이동할 수 있는 횟수를 1초로 제한할 수 있습니다.

  • 단일 VLAN에서:

  • 모든 VLAN에서:

VoIP VLAN에서 VoIP 클라이언트 MAC 주소 제한

VoIP 클라이언트 MAC 주소가 구성된 VoIP VLAN에서 학습되지 않도록 제한하려면 다음을 수행합니다.

VoIP VLAN을 위해 해당 인터페이스에서 학습한 MAC 주소는 동일한 인터페이스를 사용하는 데이터 VLAN에서 학습되지 않습니다. 데이터 VLAN 인터페이스에서 MAC 주소를 학습한 다음 동일한 인터페이스를 사용하는 VoIP VLAN에서 MAC 주소를 학습하면 MAC 주소는 데이터 VLAN 인터페이스에서 제거됩니다.

인터페이스에서 신뢰할 수 있는 DHCP 서버 구성

인터페이스에서 신뢰할 수 있는 DHCP 서버를 구성합니다.

예: ELS가 아닌 포트 보안 구성

DHCP 스누핑, DAI(Dynamic ARP Inspection), MAC 제한, 영구 MAC 학습 및 MAC 이동 제한을 스위치의 언트러스트 포트에서 구성하여 주소 스푸핑 및 Layer 2 DoS(Denial-of-Service) 공격으로부터 스위치와 이더넷 LAN을 보호할 수 있습니다. 또한 스위치 인터페이스에 대해 신뢰할 수 있는 DHCP 서버 및 특정(허용) MAC 주소를 구성할 수도 있습니다.

참고:

이 예제에 사용된 스위치는 ELS 구성 스타일을 지원하지 않습니다. ELS 스위치에서 포트 보안 구성에 대한 자세한 내용은 ELS(Port Security) 구성을 참조하십시오.

이 예에서는 스위치에서 기본 포트 보안 기능을 구성하는 방법을 설명합니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.

  • 하나의 EX 시리즈 또는 QFX 시리즈.

  • QFX 시리즈용 EX 시리즈 스위치 또는 Junos OS 릴리스 12.1 이상용 Junos OS 릴리스 11.4 이상

  • 스위치의 네트워크 디바이스에 IP 주소를 제공하는 DHCP 서버

기본 포트 보안 기능을 구성하기 전에 다음 사항을 확인해야 합니다.

참고:

이 예에서는 DHCP 서버와 해당 클라이언트가 모두 스위치상의 단일 VLAN 멤버입니다.

개요 및 토폴로지

이더넷 LAN은 네트워크 디바이스의 스푸핑 및 DoS 공격을 해결하기에 취약합니다. 이러한 공격으로부터 장비를 보호하기 위해 다음과 같은 기능을 구성할 수 있습니다.

  • DHCP 스누핑을 통해 DHCP 서버 메시지 검증

  • DAI를 통해 MAC 스푸핑으로부터 보호

  • 스위치가 MAC 주소 캐시에 추가하는 MAC 주소의 수를 제한하기 위한 MAC 제한

  • MAC 스푸핑 방지를 위한 MAC 이동 제한

  • 영구 MAC 학습(스티키 MAC)으로 인터페이스에서 학습할 수 있는 MAC 주소를 스위치 재부팅 후에도 학습한 첫 번째 주소로 제한

  • 리스를 보내는 불량 DHCP 서버로부터 보호하기 위해 신뢰할 수 있는 포트에 구성된 신뢰할 수 있는 DHCP 서버

이 예에서는 DHCP 서버에 연결된 스위치에서 이러한 보안 기능을 구성하는 방법을 보여줍니다.

이 예제의 설정에는 스위치의 VLAN 직원 vlan 이 포함됩니다. 그림 1 은 이 예제의 토폴로지를 보여주고 있습니다.

토폴로지

그림 1: 기본 포트 보안을 Network Topology for Basic Port Security 위한 네트워크 토폴로지

이 예제의 토폴로지 구성 요소는 표 1에 나와 있습니다.

표 1: 포트 보안 토폴로지의 구성 요소
속성 설정

스위치 하드웨어

EX 시리즈 또는 QFX 시리즈 스위치 1개

VLAN 이름 및 ID

직원 vlan, 태그 20

VLAN 서브넷

192.0.2.16/28 192.0.2.17 ~ 192.0.2.30 192.0.2.31 은 서브넷의 브로드캐스트 주소입니다.

직원 vlan 인터페이스

ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8

DHCP 서버용 인터페이스

ge-0/0/8

이 예에서는 스위치가 처음에 기본 포트 보안 설정과 함께 구성됩니다. 기본 스위치 구성에서는 다음을 수행합니다.

  • 스위치에서 안전한 포트 액세스가 활성화됩니다.

  • DHCP 스누핑 및 DAI는 모든 VLAN에서 비활성화됩니다.

  • 모든 액세스 포트는 신뢰할 수 없으며 모든 트렁크 포트는 DHCP 스누핑을 위해 신뢰할 수 있습니다.

이 예의 구성 작업에서 DHCP 서버를 신뢰할 수 있는 것으로 설정합니다. VLAN에서 DHCP 스누핑, DAI 및 MAC 이동 제한 기능을 사용할 수 있습니다. 일부 인터페이스에서 MAC 한도에 값을 설정합니다. 인터페이스에서 일부 특정(허용된) MAC 주소를 구성하고, 인터페이스에서 영구 MAC 학습을 구성할 수 있습니다.

구성

DHCP 서버 및 클라이언트 포트가 단일 VLAN에 있는 스위치에서 기본 포트 보안을 구성하려면 다음을 수행합니다.

절차

CLI 빠른 구성

스위치에서 기본 포트 보안을 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.

단계별 절차

스위치에서 기본 포트 보안 구성:

  1. VLAN에서 DHCP 스누핑 사용:

  2. DHCP 응답이 허용되는 인터페이스(포트)를 지정합니다.

  3. VLAN에서 DAI(Dynamic ARP Inspection) 사용:

  4. MAC 제한을 4 로 구성하고 기본 작업을 드롭합니다. (인터페이스에서 MAC 제한을 초과하는 경우 패킷이 드롭되고 MAC 주소는 이더넷 스위칭 테이블에 추가되지 않습니다.

  5. 영구 MAC 학습을 활성화하여 스위치 및 인터페이스 다운 이벤트의 재시작 동안 특정 인터페이스에 대해 학습된 MAC 주소를 지속할 수 있도록 지원:

  6. MAC 이동 제한을 5 로 구성하고 기본 작업을 사용해 드롭합니다. (패킷은 드롭되고 MAC 주소가 MAC 이동 제한을 초과하면 MAC 주소가 이더넷 스위칭 테이블에 추가되지 않습니다.)

  7. 허용 MAC 주소 구성:

결과

구성 결과를 확인합니다.

확인

구성이 올바르게 작동하는지 확인하려면 다음을 수행합니다.

스위치에서 DHCP 스누핑이 올바르게 작동하는지 검증

목적

DHCP 스누핑이 스위치에서 작동하는지 확인합니다.

작업

스위치에 연결된 네트워크 디바이스(여기에 DHCP 클라이언트)에서 일부 DHCP 요청을 보냅니다.

DHCP 서버가 스위치에 연결하는 인터페이스를 신뢰할 수 있을 때 DHCP 스누핑 정보를 표시합니다. 요청이 MAC 주소에서 전송되고 서버가 IP 주소와 임대를 제공한 경우 다음 출력 결과:

의미

DHCP 서버가 스위치에 연결하는 인터페이스가 신뢰할 수 있도록 설정되면 출력(앞 샘플 참조)은 각 MAC 주소, 할당된 IP 주소 및 리스 시간을 보여 줍니다. 이는 리스가 만료되기 전에 남은 시간입니다.

DHCP 서버가 신뢰할 수 없는 서버로 구성되었다면 DHCP 스누핑 데이터베이스에 항목이 추가되지 않으며 명령의 show dhcp snooping binding 출력에 아무 것도 표시되지 않습니다.

스위치에서 DAI가 올바르게 작동하는지 검증

목적

DAI가 스위치에서 작동하는지 확인합니다.

작업

스위치에 연결된 네트워크 디바이스에서 ARP 요청을 보냅니다.

DAI 정보 표시:

의미

샘플 출력은 각 인터페이스별로 수신 및 검사되는 ARP 패킷의 수와 통과한 패킷 수, 각 인터페이스에서 검사에 실패한 패킷 수의 목록을 보여줍니다. 이 스위치는 ARP 요청 및 회신을 DHCP 스누핑 데이터베이스의 엔트리와 비교합니다. ARP 패킷의 MAC 주소 또는 IP 주소가 데이터베이스의 유효한 엔트리와 일치하지 않으면 패킷이 삭제됩니다.

MAC 제한, MAC Move Limiting 및 영구 MAC 학습이 스위치에서 올바르게 작동하는지 검증

목적

MAC 제한, MAC 이동 제한 및 영구 MAC 학습이 스위치에서 작동하는지 확인합니다.

작업

ge-0/0/1의 호스트와 ge-0/0/2상의 호스트로부터 5개의 패킷이 전송되었다고 가정해 보십시오. 두 인터페이스 모두 지속적인 MAC 학습을 위해 기본 작업 드롭ge-0/0/1을 활성화하여 MAC 한도 4로 설정되어 있습니다.

학습한 MAC 주소를 표시합니다.

이제 패킷이 1초에 5회 이상 다른 인터페이스로 이동한 후 ge-0/0/2의 호스트 중 2개에서 전송되었다고 가정합니다. 직원 vlan은 기본 작업 드롭과 함께 MAC 이동 제한을 5로 설정합니다.

테이블에 MAC 주소를 표시합니다.

의미

첫 번째 샘플 출력은 각 인터페이스에 대해 MAC 한도가 4 인 경우, ge-0/0/2 상의 5번째 MAC 주소가 MAC 제한을 초과했기 때문에 학습되지 않았다는 것을 보여줍니다. 두 번째 샘플 출력은 호스트가 1초에 5회 이상 이동했기 때문에 ge-/0/0/2 상의 호스트 3개에 대한 MAC 주소가 학습되지 않았다는 것을 보여줍니다.

인터페이스 ge-0/0/1.0은 영구 MAC 학습을 위해 활성화되었기 때문에 이 인터페이스와 연관된 MAC 주소는 영구 유형입니다.

허용된 MAC 주소가 스위치에서 올바르게 작동하는지 검증

목적

허용된 MAC 주소가 스위치에서 작동하는지 확인합니다.

작업

인터페이스 ge-0/0/2에 5개의 허용 MAC 주소가 구성된 후에 MAC 캐시 정보를 표시합니다.

의미

이 인터페이스에 대한 MAC 제한 값이 4로 설정되었기 때문에 구성된 5개 허용 주소 중 4개만 학습됩니다.