EN ESTA PÁGINA
Ejemplo: configuración de la inspección de detección de vecinos y protección de origen IPv6 para proteger un conmutador de la suplantación de direcciones IPv6
En este ejemplo se utiliza Junos OS compatible con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software que no admite ELS, consulte Ejemplo: Protección contra ataques de suplantación de ARP. Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
En este ejemplo se describe cómo habilitar la inspección de detección de vecinos y protección de origen IPv6 en una VLAN especificada para proteger el conmutador contra ataques de suplantación de direcciones IPv6. Cuando habilita la inspección de detección de vecinos o protección de origen IPv6, la supervisión de DHCPv6 se habilita automáticamente en la misma VLAN.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Este ejemplo también se aplica a los conmutadores QFX5100, QFX5110 y QFX5200.
Un conmutador de la serie EX compatible con el estilo de configuración Enhanced Layer 2 Software.
Junos OS versión 13.2X51-D20 o posterior para conmutadores serie EX
Un servidor DHCPv6 para proporcionar direcciones IPv6 a los dispositivos de red en el conmutador
Antes de configurar la inspección de detección de vecinos y protección de origen IPv6 para evitar ataques de suplantación de direcciones IPv6, asegúrese de haber hecho lo siguiente:
Conectó el servidor DHCPv6 al conmutador.
Configuró la VLAN a la que está agregando características de seguridad DHCPv6. Consulte la documentación que describe la configuración de puentes básicos y una VLAN para el conmutador.
Descripción general y topología
Los conmutadores LAN Ethernet son vulnerables a ataques a la seguridad que implican suplantación (falsificación) de direcciones MAC de origen o direcciones IPv6 de origen. Estos paquetes falsificados se envían desde hosts conectados a interfaces de acceso que no son de confianza en el conmutador. Para obtener más información acerca de los ataques de suplantación de direcciones IPv6, consulte Inspección de detección de vecinos IPv6.
Mediante el uso de la tabla de espionaje DHCPv6, también conocida como tabla de enlace, la inspección de detección de vecinos y protección de origen IPv6 mitiga el riesgo de ataques de suplantación de identidad de IPv6. La tabla de espionaje DHCPv6 contiene la dirección IP, la dirección MAC, la VLAN y el ID de interfaz para cada host asociado con la VLAN. Cuando se envía un paquete desde un host conectado a una interfaz de acceso que no es de confianza en el conmutador, la protección de origen IPv6 lo compara con las entradas de la tabla de espionaje DHCPv6. Si no hay ninguna coincidencia en la tabla, el conmutador no reenvía el paquete, es decir, el paquete se descarta. La inspección de detección de vecinos verifica los mensajes de detección de vecinos enviados entre nodos IPv6 en el mismo vínculo de red con la tabla de espionaje DHCPv6, y también descarta el paquete si no se encuentra ninguna coincidencia.
En este ejemplo se muestra cómo configurar estas importantes funciones de seguridad de puerto en un conmutador que está conectado a un servidor DHCPv6. La configuración de este ejemplo incluye las ventas de VLAN en el conmutador. La figura 1 ilustra la topología de este ejemplo.
La interfaz troncal que se conecta a la interfaz del servidor DHCPv6 es un puerto de confianza de forma predeterminada.
Topología
básica de puertos
Los componentes de la topología de este ejemplo se muestran en la tabla 1.
| Configuración de propiedades | |
|---|---|
Hardware del conmutador |
Un conmutador de la serie EX compatible con el estilo de configuración Enhanced Layer 2 Software. |
Nombre e ID de VLAN |
ventas, etiquetar |
Subredes VLAN |
192.0.2.16/28 192.0.2.17 hasta 192.0.2.30 192.0.2.31 es la dirección de difusión de la subred |
Interfaces en |
|
Interfaz que se conecta al servidor DHCPv6 |
|
En este ejemplo, el conmutador ya se ha configurado de la siguiente manera:
Todos los puertos de acceso no son de confianza, que es la configuración predeterminada.
El puerto de troncalización (ge-0/0/8) es de confianza, que es la configuración predeterminada.
La VLAN (ventas) se ha configurado para incluir las interfaces especificadas.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la inspección de detección de vecinos y protección de origen IPv6 (y, por lo tanto, también configurar automáticamente la supervisión de DHCPv6), copie los siguientes comandos y péguelos en la ventana de terminal del conmutador:
[edit] set vlans sales forwarding-options dhcp-security ipv6-source-guard set vlans sales forwarding-options dhcp-security neighbor-discovery-inspection
Procedimiento paso a paso
Configure la inspección de detección de vecinos y protección de origen IPv6 (y, por lo tanto, también configure automáticamente la supervisión de DHCPv6) en la VLAN:
Configure la protección de origen IPv6 en la VLAN:
[edit vlans sales forwarding-options dhcp-security] user@switch# set ipv6-source-guard
Habilite la inspección de detección de vecinos en la VLAN:
[edit vlans sales forwarding-options dhcp-security] user@switch# set neighbor-discovery-inspection
Resultados
Compruebe los resultados de la configuración:
user@switch> show vlans sales forwarding-options
dhcp-security {
neighbor-discovery-inspection;
ipv6-source-guard;
}
}
Verificación
Confirme que la configuración funciona correctamente.
- Comprobación de que la supervisión de DHCPv6 funciona correctamente en el conmutador
- Verificar que Neighbor Discovery Inspection funciona correctamente en el conmutador
Comprobación de que la supervisión de DHCPv6 funciona correctamente en el conmutador
Propósito
Compruebe que la supervisión de DHCPv6 funciona en el conmutador.
Acción
Envíe solicitudes DHCPv6 desde dispositivos de red (en este ejemplo, son clientes DHCPv6) conectados al conmutador.
Muestre la información de espionaje de DHCPv6 cuando el puerto en el que el servidor DHCPv6 se conecta al conmutador sea de confianza. El siguiente resultado se produce cuando se envían solicitudes desde las direcciones MAC y el servidor ha proporcionado las direcciones IPv6 y las concesiones:
user@switch> show dhcp-security ipv6 binding IPv6 address MAC address Vlan Expires State Interface 2001:db8:fe10:: 00:10:94:00:55:0b vlan20 3456 BOUND ge-0/0/1.0 fe80::210:94ff:fe00:1 00:10:94:00:55:0b vlan20 3456 BOUND ge-0/0/1.0 2001:db8:fe12:: 00:10:94:00:00:34 vlan20 3456 BOUND ge-0/0/2.0 fe80::210:94ff:fe00:2 00:10:94:00:00:34 vlan20 3456 BOUND ge-0/0/2.0 2001:db8:fe14:: 00:10:94:00:00:55 vlan20 3456 BOUND ge-0/0/3.0 fe80::210:94ff:fe00:3 00:10:94:00:00:55 vlan20 3456 BOUND ge-0/0/3.0
Significado
El resultado muestra las direcciones IPv6 asignadas, la dirección MAC, el nombre de VLAN y el tiempo, en segundos, restante antes de que expire la concesión. Dado que los hosts IPv6 suelen tener más de una dirección IPv6 asignada a cada una de sus interfaces de red habilitadas para IPv6, se agregan dos entradas para cada cliente: una con la dirección IPv6 local del vínculo, que utiliza el cliente para las transacciones DHCP, y otra con la dirección IPv6 asignada por el servidor. La dirección local del vínculo siempre tiene el prefijo fe80::/10.
Verificar que Neighbor Discovery Inspection funciona correctamente en el conmutador
Propósito
Verifique que la inspección de detección del vecino esté funcionando en el conmutador.
Acción
Envíe paquetes de detección de vecinos desde dispositivos de red conectados al conmutador.
Mostrar la información de descubrimiento del vecino:
user@switch> show dhcp-security neighbor-discovery-inspection statistics ND inspection statistics: Interface ND Packets received ND inspection pass ND inspection failed ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
Significado
El resultado de ejemplo muestra el número de paquetes de detección de vecinos recibidos e inspeccionados por interfaz, con una lista del número de paquetes que pasaron y el número de paquetes que no superaron la inspección en cada interfaz. El conmutador compara las solicitudes y respuestas de detección de vecinos con las entradas de la base de datos de espionaje DHCPv6. Si una dirección MAC o una dirección IPv6 en el paquete de detección del vecino no coincide con una entrada válida en la base de datos, el paquete se descarta.