- play_arrow Segurança de porta
- play_arrow Visão geral da segurança de porta
-
- play_arrow IPSec
- play_arrow Entendendo as associações de IPsec e segurança
- play_arrow Configurações e exemplos de IPsec
- Considerando problemas gerais de IPsec
- Configuração de IPsec para uma visão geral do ES PIC
- Configuração de associações de segurança para IPsec em um PIC ES
- Configuração de associações de segurança IPsec
- Configuração de uma política de IKE
- Configuração de uma proposta de IPsec para um ES PIC
- Configuração de uma política de IPsec
- play_arrow Configuração de associações de segurança IPsec
- play_arrow Usando certificados digitais para IPsec
- play_arrow Opções adicionais de IPsec
- play_arrow Configuração de endpoints dinâmicos IPsec
- Configuração de um perfil de acesso IKE para túneis de endpoint dinâmicos IPsec
- Configuração do conjunto de serviços para túneis de endpoint dinâmicos IPsec
- Configuração do identificador de interface para túneis de endpoint dinâmico IPsec
- Configuração de um perfil de acesso IKE para túneis de endpoint dinâmicos IPsec
- play_arrow Exemplos adicionais de configuração de ES e AS PIC
- Exemplo: Configuração de SA manual ES PIC
- Exemplo: Configuração DE SA manual DO PIC
- Exemplo: Configuração dinâmica de SA ES PIC IKE
- Exemplo: AS PIC IKE Configuração dinâmica de SA
- Exemplo: SA dinâmica do IKE entre um AS PIC e uma configuração ES PIC
- Exemplo: AS PIC IKE Dynamic SA com configuração de certificados digitais
- Exemplo: Configuração dinâmica de tunelamento de endpoint
-
- play_arrow Certificados digitais
- play_arrow Configuração de certificados digitais
- Criptografia de chave pública
- Configuração de certificados digitais
- Configuração de certificados digitais para um ES PIC
- Política de IKE para certificados digitais em um ES PIC
- Configuração de certificados digitais para interfaces de serviços adaptativos
- Configuração do autoenrollamento de um certificado de roteador
- Configuração de tráfego de túnel IPsec
- Operações de rastreamento para serviços de segurança
- play_arrow Configuração do acesso a SSH e roteador SSL
-
- play_arrow Módulo de plataforma confiável
- play_arrow MACsec
- play_arrow Entendendo o MACsec
- play_arrow Exemplos de MACsec
-
- play_arrow Limitação e limitação de movimento MAC
- play_arrow Mac Limiting e movem limitações de configurações e exemplos
- Entender a limitação do MAC e a limitação de movimento MAC
- Entender a limitação do MAC em interfaces de roteamento de camada 3
- Entender e usar o aprendizado MAC persistente
- Configuração da limitação do MAC
- Exemplo: Configuração da limitação do MAC
- Verificar se a limitação do MAC está funcionando corretamente
- Substitua um limite MAC aplicado a todas as interfaces
- Configuração do mac move limiting (ELS)
- Verificar se a limitação de movimento MAC está funcionando corretamente
- Verificar se a configuração de desativação de erro da porta está funcionando corretamente
-
- play_arrow Proteção de origem IP
- play_arrow Entendendo o IP Source Guard
- play_arrow Exemplos da Proteção de Origem IP
- Exemplo: configuração do IP Source Guard em uma VLAN de dados que compartilha uma interface com uma VLAN de voz
- Exemplo: configuração do ip source guard com outros recursos do switch da Série EX para mitigar ataques de spoofing de endereços em interfaces de acesso não confiáveis
- Exemplo: configuração do IP Source Guard e inspeção dinâmica de ARP para proteger o switch contra spoofing ip e spoofing de ARP
- Exemplo: configuração do IPv6 Source Guard e da inspeção de descoberta de vizinhos para proteger um switch da spoofing de endereçoS IPv6
- Configuração do IP Source Guard para mitigar os efeitos da spoofing de endereços IP de origem e spoofing de endereço MAC de origem
- Exemplo: configuração do ip source guard e inspeção dinâmica de ARP em um domínio de ponte especificado para proteger os dispositivos contra ataques
- Exemplo: configuração do IPv6 Source Guard e da inspeção de descoberta de vizinhos para proteger um switch da spoofing de endereçoS IPv6
-
- play_arrow Segurança de acesso IPv6
- play_arrow Protocolo de descoberta de vizinhos
- play_arrow SLAAC Snooping
- play_arrow Guarda de anúncios de roteador
-
- play_arrow Proteção de negação de serviço distribuída (DDoS) de plano de controle e detecção de fluxo
- play_arrow Proteção contra DDoS do plano de controle
- Visão geral da proteção contra negação de serviço distribuída (DDoS) do plano de controle
- Configuração da proteção contra DDoS do plano de controle
- Operações de proteção contra DDoS do plano de controle de rastreamento
- Exemplo: Configuração da proteção contra DDoS do plano de controle
- Exemplo: Configuração da proteção contra DDoS do plano de controle em switches da Série QFX
- play_arrow Detecção de fluxos e fluxos culpados
-
- play_arrow Encaminhamento unicast
- play_arrow Encaminhamento de caminho reverso da Unicast
- play_arrow Encaminhamento unicast desconhecido
-
- play_arrow Controle de tempestade
- play_arrow Entender e usar o controle de tempestade
-
- play_arrow Proteção contra malwares
- play_arrow Ferramenta de remoção de malware da Juniper
-
- play_arrow Declarações de configuração e comandos operacionais
Exemplo: configuração da opção DHCP 82 (sem retransmissão)
Você pode usar a opção DHCP 82, também conhecida como opção de informações de agente de transmissão DHCP, para ajudar a proteger o switch contra ataques como spoofing (forjação) de endereços IP e endereços MAC, e endereço IP DHCP. A opção 82 fornece informações sobre a localização da rede de um cliente DHCP, e o servidor DHCP usa essas informações para implementar endereços IP ou outros parâmetros para o cliente.
A opção DHCP 82 não é suportada nos switches QFX10000.
Você pode configurar a opção DHCP 82 em várias topologias:
O switch, os clientes DHCP e o servidor DHCP estão todos na mesma VLAN. O switch encaminha as solicitações dos clientes para o servidor e encaminha as respostas do servidor aos clientes. Este tópico descreve essa configuração.
O switch funciona como um agente de retransmissão quando os clientes DHCP ou o servidor DHCP são conectados ao switch através de uma interface de Camada 3. Isso significa que o agente de retransmissão e o servidor podem estar em diferentes redes — ou seja, o agente de transmissão pode ser externo. No switch, essas interfaces são configuradas como interfaces VLAN roteadas (RVIs) ou, as interfaces são configuradas como interfaces integradas de roteamento e ponte (IRB). Em ambos os casos, o switch transmite as solicitações dos clientes para o servidor e depois encaminha as respostas do servidor aos clientes. Essas configurações são descritas em Exemplo: Configuração da opção DHCP 82.
Antes de configurar a opção DHCP 82 no switch, execute essas tarefas:
Conecte e configure o servidor DHCP.
Nota:Seu servidor DHCP deve ser configurado para aceitar a opção DHCP 82. Se o servidor não estiver configurado para a opção DHCP 82, o servidor não usará as informações da opção DHCP 82 nas solicitações enviadas a ele quando formula suas mensagens de resposta.
Configure uma VLAN no switch e associe as interfaces nas quais os clientes e o servidor se conectam ao switch com essa VLAN. Veja a configuração de VLANs para switches da Série EX com suporte a ELS (procedimento CLI)
Configuração da opção DHCP 82 no switch sem retransmissão (ELS)
Essa tarefa usa o Junos OS para switches da Série EX com suporte para o estilo de configuração de Software de Camada 2 (ELS). Se o seu switch executa um software que não oferece suporte ao ELS, veja configuração da opção DHCP 82 no switch sem retransmissão (não-ELS). Para obter detalhes do ELS, veja Usando a CLI de software de camada 2 aprimorada.
Para configurar a opção DHCP 82:
Veja também
Configuração da opção DHCP 82 no switch sem retransmissão (sem ELS)
Essa tarefa usa o Junos OS para switches da Série EX que não incluem suporte ao estilo de configuração do Software de Camada 2 (ELS). Se o seu switch executa um software que oferece suporte ao ELS, veja configuração da opção DHCP 82 no switch sem retransmissão (ELS). Para obter detalhes do ELS, veja Usando a CLI de software de camada 2 aprimorada.
Para configurar a opção DHCP 82:
Substitua os valores exibidos em itálico por valores para a sua configuração.
Para visualizar os resultados das etapas de configuração antes de comprometer a configuração, digite o show
comando no prompt do usuário.
Para comprometer essas mudanças na configuração ativa, digite o commit
comando no prompt do usuário.
Veja também
Exemplo: configuração da opção DHCP 82 usando a mesma VLAN
Este exemplo descreve como configurar a opção DHCP 82 em um switch com clientes DHCP, servidor DHCP e switch todos no mesmo VLAN:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um switch da Série EX ou da Série QFX
Junos OS Versão 9.3 ou posterior para switches da Série EX ou Junos OS Versão 12.1 ou posterior para a Série QFX
Um servidor DHCP para fornecer endereços IP a dispositivos de rede no switch
Visão geral e topologia
Se a opção DHCP 82 estiver habilitada no switch e, em seguida, quando um dispositivo de rede — um cliente DHCP — conectado ao switch em uma interface não confiável envia uma solicitação DHCP, o switch insere informações sobre a localização da rede do cliente no cabeçalho do pacote dessa solicitação. Em seguida, o switch envia a solicitação ao servidor DHCP. O servidor DHCP lê as informações da opção 82 no cabeçalho do pacote e as usa para implementar o endereço IP ou outro parâmetro para o cliente.
A opção DHCP 82 está habilitada em uma VLAN individual ou em todas as VLANs no switch.
Quando a opção 82 é habilitada no switch, essa sequência de eventos ocorre quando um cliente DHCP envia uma solicitação de DHCP:
O switch recebe a solicitação e insere a opção 82 informações no cabeçalho do pacote.
O switch encaminha a solicitação ao servidor DHCP.
O servidor usa as informações da opção DHCP 82 para formular sua resposta e envia uma resposta de volta ao switch. Ele não altera as informações da opção 82.
O switch tira as informações da opção 82 do pacote de resposta.
O switch encaminha o pacote de resposta ao cliente.
A Figura 1 ilustra a topologia para este exemplo.
Topologia
Neste exemplo, você configura a opção DHCP 82 no switch. O switch se conecta ao servidor DHCP na interface ge-0/0/8. Os clientes DHCP se conectam ao switch em interfaces ge-0/0/1, ge-0/0/2 e ge-0/0/3.
O switch, o servidor e os clientes são todos membros da VLAN do funcionário – certifique-se de configurar a VLAN do funcionário no switch e associou as interfaces nas quais os clientes e o servidor se conectam ao switch com a VLAN do funcionário .
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente a opção DHCP 82, copie os seguintes comandos e cole-os na janela de terminal do switch:
set ethernet-switching-options secure-access-port vlan employee dhcp-option82 set ethernet-switching-options secure-access-port vlan employee dhcp-option82 circuit-id prefix hostname set ethernet-switching-options secure-access-port vlan employee dhcp-option82 circuit-id use-vlan-id set ethernet-switching-options secure-access-port vlan employee dhcp-option82 remote-id set ethernet-switching-options secure-access-port vlan employee dhcp-option82 remote-id prefix mac set ethernet-switching-options secure-access-port vlan employee dhcp-option82 remote-id use-string employee-switch1 set ethernet-switching-options secure-access-port vlan employee dhcp-option82 vendor-id
Procedimento passo a passo
Para configurar a opção DHCP 82:
Especifique a opção DHCP 82 para a VLAN do funcionário :
content_copy zoom_out_map[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee dhcp-option82
Configure um prefixo para a subopção de ID do circuito (o prefixo é sempre o nome de host do switch):
content_copy zoom_out_map[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee dhcp-option82 circuit-id prefix hostname
Especifique que o valor de subopção de ID do circuito contém o ID VLAN em vez do nome VLAN (o padrão):
content_copy zoom_out_map[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee dhcp-option82 circuit-id use-vlan-id
Especifique que a subopção remota de ID seja incluída na opção DHCP 82 informações:
content_copy zoom_out_map[edit ethernet-switching-options secure-accesswitch# set vlan employee dhcp-option82 remote-id
Configure um prefixo para a subopção de ID remota (aqui, o prefixo é o endereço MAC do switch):
content_copy zoom_out_map[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee dhcp-option82 remote-id prefix mac
Especifique que o valor de subopção de ID remoto contém uma seqüência de caracteres (aqui, a corda é o switch-funcionário1):
content_copy zoom_out_map[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee dhcp-option82 remote-id use-string employee-switch1
Configure um valor de subopção de ID de um fornecedor e use o valor padrão. Para usar o valor padrão, não digite uma seqüência de caracteres após a palavra-chave da opção de id do fornecedor :
content_copy zoom_out_map[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee dhcp-option82 vendor-id
Resultados
Confira os resultados da configuração:
[edit ethernet-switching-options secure-access-port] user@switch# show vlan employee { dhcp-option82 { circuit-id { prefix hostname; use-vlan-id; } remote-id { prefix mac; use-string employee-switch1; } vendor-id; } }
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.