EN ESTA PÁGINA
Ejemplo: configuración de IP source Guard en una VLAN de datos que comparte una interfaz con una VLAN de voz
Los conmutadores LAN Ethernet son vulnerables a ataques que implican suplantación (falsificación) de direcciones IP de origen o direcciones MAC de origen. Estos paquetes falsificados se envían desde hosts conectados a interfaces de acceso que no son de confianza en el conmutador. Puede habilitar la función de seguridad del puerto de protección de origen IP en los conmutadores de la serie EX para mitigar los efectos de dichos ataques. Si la protección de origen IP determina que una dirección IP de origen y una dirección MAC de origen en un enlace en un paquete entrante no son válidas, el conmutador no reenvía el paquete.
Si dos VLAN comparten una interfaz, puede configurar la protección de origen IP en solo una de las VLAN; en este ejemplo, se configura la protección de origen IP en una VLAN de datos sin etiquetar, pero no en la VLAN de voz etiquetada. Puede utilizar la autenticación de usuario 802.1X para validar las conexiones de dispositivo en la VLAN de datos.
En este ejemplo se describe cómo configurar la protección de origen IP con autenticación de usuario 802.1X en una VLAN de datos, con una VLAN de voz en la misma interfaz:
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Un conmutador de la serie EX
Junos OS versión 9.2 o posterior para conmutadores serie EX
Un servidor DHCP para proporcionar direcciones IP a los dispositivos de red en el conmutador
Un servidor RADIUS para proporcionar autenticación 802.1X
Antes de configurar la protección de origen IP para las VLAN de datos, asegúrese de tener:
Conectó el servidor DHCP al conmutador.
Conectó el servidor RADIUS al conmutador y configuró la autenticación de usuario en el servidor. Consulte Ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX.
Configuró las VLAN. Consulte Ejemplo: Configuración de puentes con varias VLAN para conmutadores serie EX para obtener información detallada sobre la configuración de VLAN.
Descripción general y topología
La protección de origen IP comprueba la dirección IP de origen y la dirección de origen MAC en un paquete enviado desde un host conectado a una interfaz de acceso que no es de confianza en el conmutador. Si la protección de origen IP determina que el encabezado del paquete contiene una dirección IP o una dirección MAC de origen no válidas, se asegura de que el conmutador no reenvíe el paquete, es decir, que el paquete se descarte.
Cuando configura IP source guard, se habilita en él en una o más VLAN. IP source guard aplica sus reglas de comprobación a interfaces de acceso que no son de confianza en esas VLAN. De forma predeterminada, en los conmutadores de la serie EX, las interfaces de acceso no son de confianza y las interfaces troncales son de confianza. La protección de origen IP no comprueba los paquetes enviados al conmutador por dispositivos conectados a interfaces troncales o de acceso de confianza, es decir, interfaces configuradas con dhcp-trusted para que un servidor DHCP pueda conectarse a esa interfaz para proporcionar direcciones IP dinámicas.
El protector de origen IP obtiene información sobre los enlaces de dirección IP/dirección MAC/VLAN de la base de datos de espionaje DHCP. Hace que el conmutador valide los paquetes IP entrantes con las entradas de esa base de datos.
Topología
La topología de este ejemplo incluye un conmutador EX-3200-24P, un equipo y un teléfono IP conectados en la misma interfaz, una conexión a un servidor DHCP y una conexión a un servidor RADIUS para la autenticación de usuarios.
La autenticación de usuario 802.1X aplicada en este ejemplo es para suplicantes individuales.
También puede utilizar IP source guard con autenticación de usuario 802.1X para el modo suplicante seguro único o múltiple. Si va a implementar la protección de origen IP con autenticación 802.1X en modo suplicante seguro único o suplicante múltiple, debe usar las siguientes instrucciones de configuración:
Si la interfaz 802.1X forma parte de una VLAN basada en MAC sin etiquetar y desea habilitar la protección de origen IP y el espionaje DHCP en esa VLAN, debe habilitar la protección de origen IP y la supervisión DHCP en todas las VLAN dinámicas en las que la interfaz tenga pertenencia sin etiquetar.
Si la interfaz 802.1X forma parte de una VLAN basada en MAC etiquetada y desea habilitar la protección de origen IP y el espionaje DHCP en esa VLAN, debe habilitar la protección de origen IP y la supervisión DHCP en todas las VLAN dinámicas en las que la interfaz haya etiquetado la pertenencia.
Puede establecer el indicador ip-source-guard en la traceoptions (Access Port Security) instrucción con fines de depuración.
En este ejemplo se muestra cómo configurar una dirección IP estática para agregarla a la base de datos de espionaje DHCP.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la protección de origen IP en una VLAN de datos, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
set ethernet-switching-options voip interface ge-0/0/14.0 vlan voice set ethernet-switching-options secure-access-port interface ge-0/0/24.0 dhcp-trusted set ethernet-switching-options secure-access-port interface ge-0/0/14 static-ip 10.1.1.1 mac 00:11:11:11:11:11 vlan data set ethernet-switching-options secure-access-port vlan data examine-dhcp set ethernet-switching-options secure-access-port vlan data ip-source-guard set interfaces ge-0/0/24 unit 0 family ethernet-switching vlan members data set vlans voice vlan-id 100 set protocols lldp-med interface ge-0/0/14.0 set protocols dot1x authenticator authentication-profile-name profile52 set protocols dot1x authenticator interface ge-0/0/14.0 supplicant single
Procedimiento paso a paso
Para configurar la protección de origen IP en la VLAN de datos:
Configure la interfaz VoIP:
[edit ethernet-switching-options] user@switch# set voip interface ge-0/0/14.0 vlan voice
Configure la interfaz en la que el servidor DHCP está conectado al conmutador como interfaz de confianza y agregue esa interfaz a la VLAN de datos:
[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/24.0 dhcp-trusted [edit interfaces] user@switch# set ge-0/0/24 unit 0 family ethernet-switching vlan members data
Configurar una dirección IP estática en una interfaz de la VLAN de datos (opcional)
[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/14 static-ip 10.1.1.1 mac 00:11:11:11:11:11 vlan data
Configure el espionaje DHCP y la protección del origen IP en la VLAN de datos:
[edit ethernet-switching-options] user@switch# set secure-access-port vlan data examine-dhcp user@switch# set secure-access-port vlan data ip-source-guard
Configure la autenticación de usuario 802.1X y LLDP-MED en la interfaz compartida por la VLAN de datos y la VLAN de voz:
[edit protocols] user@switch# set lldp-med interface ge-0/0/14.0 user@switch# set dot1x authenticator authentication-profile-name profile52 user@switch# set dot1x authenticator interface ge-0/0/14.0 supplicant single
Establezca el ID de VLAN para la VLAN de voz:
[edit vlans] user@switch# set voice vlan-id 100
Resultados
Compruebe los resultados de la configuración:
[edit ethernet-switching-options]
user@switch# show
voip {
interface ge-0/0/14.0 {
vlan voice;
}
}
secure-access-port {
interface ge-0/0/14.0 {
static-ip 10.1.1.1 vlan data mac 00:11:11:11:11:11;
}
interface ge-0/0/24.0 {
dhcp-trusted;
}
vlan data {
examine-dhcp;
ip-source-guard;
}
}
[edit interfaces]
ge-0/0/24 {
unit 0 {
family ethernet-switching {
vlan {
members data;
}
}
}
}
[edit vlans]
voice {
vlan-id 100;
}
[edit protocols]
lldp-med {
interface ge-0/0/14.0;
}
dot1x {
authenticator {
authentication-profile-name profile52;
interface {
ge-0/0/14.0 {
supplicant single;
}
}
}
}
Si desea configurar la protección de origen IP en la VLAN de voz, así como en la VLAN de datos, debe configurar la supervisión de DHCP y la protección de origen IP exactamente como lo hizo para la VLAN de datos. El resultado de la configuración de la VLAN de voz en el puerto de acceso seguro sería el siguiente:
secure-access-port {
vlan voice {
examine-dhcp;
ip-source-guard;
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Comprobación de que la autenticación de usuario 802.1X funciona en la interfaz
- Verificación de la asociación de VLAN con la interfaz
- Comprobación de que el espionaje DHCP y la protección de origen IP funcionan en la VLAN de datos
Comprobación de que la autenticación de usuario 802.1X funciona en la interfaz
Propósito
Verifique la configuración de 802.1X en la interfaz ge-0/0/14.
Acción
Verifique la configuración de 802.1X con el comando show dot1x interfacedel modo operativo:
user@switch> show dot1x interface ge-0/0/14.0 detail
ge-0/0/14.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: <not configured>
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
Significado
El campo de salida Modo suplicante muestra el modo administrativo configurado para cada interfaz. La interfaz ge-0/0/14.0 muestra el modo suplicante único .
Verificación de la asociación de VLAN con la interfaz
Propósito
Muestra el estado de la interfaz y la pertenencia a VLAN.
Acción
user@switch> show ethernet-switching interfaces
Ethernet-switching table: 0 entries, 0 learned
user@switch> show ethernet-switching interfaces
Interface State VLAN members Blocking
ge-0/0/0.0 down default unblocked
ge-0/0/1.0 down employee unblocked
ge-0/0/2.0 down employee unblocked
ge-0/0/12.0 down default unblocked
ge-0/0/13.0 down default unblocked
ge-0/0/13.0 down vlan100 unblocked
ge-0/0/14.0 up voice unblocked
data unblocked
ge-0/0/17.0 down employee unblocked
ge-0/0/23.0 down default unblocked
ge-0/0/24.0 down data unblocked
employee unblocked
vlan100 unblocked
voice unblocked
Significado
El campo VLAN members muestra que la interfaz ge-0/0/14.0 admite tanto la VLAN de datos como la VLAN de voz . El campo Estado muestra que la interfaz está activa.
Comprobación de que el espionaje DHCP y la protección de origen IP funcionan en la VLAN de datos
Propósito
Compruebe que el espionaje DHCP y la protección de origen IP estén habilitados y funcionando en la VLAN de datos.
Acción
Envíe algunas solicitudes DHCP desde dispositivos de red (aquí son clientes DHCP) conectados al conmutador.
Muestre la información de espionaje DHCP cuando la interfaz en la que el servidor DHCP se conecta al conmutador sea de confianza. El siguiente resultado se produce cuando se envían solicitudes desde las direcciones MAC y el servidor ha proporcionado las direcciones IP y las concesiones:
user@switch> show dhcp snooping binding
DHCP Snooping Information:
MAC address IP address Lease (seconds) Type VLAN Interface
00:05:85:3A:82:77 192.0.2.17 600 dynamic employee ge-0/0/1.0
00:05:85:3A:82:79 192.0.2.18 653 dynamic employee ge-0/0/1.0
00:05:85:3A:82:80 192.0.2.19 720 dynamic employee ge-0/0/2.0
00:05:85:3A:82:81 192.0.2.20 932 dynamic employee ge-0/0/2.0
00:30:48:92:A5:9D 10.10.10.7 720 dynamic vlan100 ge-0/0/13.0
00:30:48:8D:01:3D 10.10.10.9 720 dynamic data ge-0/0/14.0
00:30:48:8D:01:5D 10.10.10.8 1230 dynamic voice ge-0/0/14.0
00:11:11:11:11:11 10.1.1.1 — static data ge-0/0/14.0
00:05:85:27:32:88 192.0.2.22 — static employee ge-0/0/17.0
00:05:85:27:32:89 192.0.2.23 — static employee ge-0/0/17.0
00:05:85:27:32:90 192.0.2.27 — static employee ge-0/0/17.0
Vea la información de protección de origen IP para la VLAN de datos.
user@switch> show ip-source-guard IP source guard information: Interface Tag IP Address MAC Address VLAN ge-0/0/13.0 0 10.10.10.7 00:30:48:92:A5:9D vlan100 ge-0/0/14.0 0 10.10.10.9 00:30:48:8D:01:3D data ge-0/0/14.0 0 10.1.1.1 00:11:11:11:11:11 data ge–0/0/13.0 100 * * voice
Significado
Cuando la interfaz en la que el servidor DHCP se conecta al conmutador se ha establecido en de confianza, el resultado (consulte la salida de ejemplo anterior para show dhcp snooping binding) muestra, para cada dirección MAC, la dirección IP asignada y el tiempo de concesión, es decir, el tiempo, en segundos, restante antes de que expire la concesión. Las direcciones IP estáticas no tienen tiempo de concesión asignado. Las entradas configuradas estáticamente nunca caducan.
La tabla de base de datos de protección de origen IP contiene las VLAN habilitadas para la protección de origen IP, las interfaces de acceso que no son de confianza en esas VLAN, los ID de etiqueta VLAN 802.1Q, si los hay, y las direcciones IP y direcciones MAC que están enlazadas entre sí. Si una interfaz de conmutador está asociada a varias VLAN y algunas de esas VLAN están habilitadas para la protección de origen IP y otras no, las VLAN que no están habilitadas para la protección de origen IP tienen una estrella (*) en los campos Dirección IP y Dirección MAC . Consulte la entrada para la VLAN de voz en la salida de ejemplo anterior.