示例:使用其他 EX 系列交换机功能配置 IP 源保护,以减轻对不受信任接入接口的地址欺骗攻击
以太网 LAN 交换机容易受到涉及欺骗(伪造)源 IP 地址或源 MAC 地址的攻击。这些欺骗性数据包是从连接到交换机上不受信任接入接口的主机发送的。您可以在 EX 系列交换机上启用 IP 源保护端口安全功能,以减轻此类攻击的影响。如果 IP 源保护确定传入数据包中绑定中的源 IP 地址和源 MAC 地址无效,则交换机不会转发数据包。
您可以将 IP 源保护与其他 EX 系列交换机功能结合使用,以减轻对不受信任接入接口的地址欺骗攻击。此示例显示两种配置方案:
要求
此示例使用以下硬件和软件组件:
EX 系列交换机
适用于 EX 系列交换机的 Junos OS 9.2 或更高版本
DHCP 服务器,用于向交换机上的网络设备提供 IP 地址
提供 802.1X 身份验证的 RADIUS 服务器
在为此示例中相关的方案配置 IP 源保护之前,请确保已:
已将DHCP服务器连接到交换机。
已将RADIUS服务器连接到交换机,并在RADIUS服务器上配置用户身份验证。请参阅 示例:将 802.1X 的 RADIUS 服务器连接到 EX 系列交换机。
交换机上已配置的 VLAN。在此示例中,我们有两个 VLAN,分别命名
DATA为 和GUEST.DATAVLAN 配置有vlan-id300.VLANGUEST(用作访客 VLAN)配置了vlan-id 100。有关配置 VLAN 的详细信息,请参阅 示例:为 EX 系列交换机设置与多个 VLAN 的桥接 。
概述和拓扑
IP 源保护检查从连接到交换机上不受信任接入接口的主机发送的数据包中的 IP 源地址和 MAC 源地址。如果 IP 源保护确定数据包标头包含无效的源 IP 地址或源 MAC 地址,则会确保交换机不会转发数据包,即丢弃数据包。
配置 IP 源保护时,可在一个或多个 VLAN 上启用它。IP 源保护将其检查规则应用于这些 VLAN 上不受信任的接入接口。默认情况下,在 EX 系列交换机上,接入接口不受信任,中继接口受信任。IP 源保护不会检查连接到中继接口或可信接入接口(即配置了 的 dhcp-trusted接口)的设备发送到交换机的数据包。可以将 DHCP 服务器连接到 dhcp-trusted 接口以提供动态 IP 地址。
IP 源保护从 DHCP 侦听数据库中获取有关 IP 地址、MAC 地址或 VLAN 绑定的信息,从而使交换机能够根据该数据库中的条目验证传入的 IP 数据包。
拓扑学
此示例的拓扑包括一个 EX 系列交换机,该交换机同时连接到 DHCP 服务器和 RADIUS 服务器。
此示例中应用的 802.1X 用户身份验证适用于单一请求模式。
您可以将 IP 源保护与 802.1X 用户身份验证结合使用,以实现单安全请求方或多请求方模式。如果要在单安全请求方或多请求方模式下实施具有 802.1X 身份验证的 IP 源保护,则必须使用以下配置准则:
如果 802.1X 接口是未标记的基于 MAC 的 VLAN 的一部分,并且您希望在该 VLAN 上启用 IP 源保护和 DHCP 侦听,则必须在该接口具有未标记成员资格的所有动态 VLAN 上启用 IP 源保护和 DHCP 侦听。
如果 802.1X 接口是基于 MAC 的标记 VLAN 的一部分,并且您希望在该 VLAN 上启用 IP 源保护和 DHCP 侦听,则必须在该接口已标记成员资格的所有动态 VLAN 上启用 IP 源保护和 DHCP 侦听。
在第一个配置示例中,两个客户端(网络设备)连接到接入交换机。您可以配置 IP 源保护和 802.1X 用户身份验证,并结合两个接入端口安全功能:DHCP 侦听和动态 ARP 检查 (DAI)。此设置旨在保护交换机免受 IP 攻击,例如 ping 死亡 攻击、DHCP 资源不足和 ARP 欺骗。
在第二个配置示例中,交换机配置为 802.1X 用户身份验证。如果客户端身份验证失败,交换机会将客户端重定向到允许此客户端访问一组受限网络功能的访客 VLAN。您可以在访客 VLAN 上配置 IP 源保护,以减轻源 IP 欺骗的影响。
可以在语句中traceoptions 设置 ip-source-guard标志以进行调试。
使用 802.1X 身份验证、DHCP 侦听和动态 ARP 检查配置 IP 源保护
程序
CLI 快速配置
要使用 802.1X 身份验证和其他接入端口安全功能快速配置 IP 源保护,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit] set ethernet-switching-options secure-access-port interface ge-0/0/24 dhcp-trusted set ethernet-switching-options secure-access-port vlan DATA examine-dhcp set ethernet-switching-options secure-access-port vlan DATA arp-inspection set ethernet-switching-options secure-access-port vlan DATA ip-source-guard set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members DATA set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members DATA set interfaces ge-0/0/24 unit 0 family ethernet-switching vlan members DATA set protocols lldp-med interface ge-0/0/0.0 set protocols dot1x authenticator authentication-profile-name profile52 set protocols dot1x authenticator interface ge-0/0/0.0 supplicant single set protocols lldp-med interface ge-0/0/1.0 set protocols dot1x authenticator interface ge-0/0/1.0 supplicant single
分步过程
要使用 802.1X 身份验证和各种端口安全功能配置 IP 源保护,请执行以下操作:
将 DHCP 服务器连接到交换机的接口配置为可信接口,并将该接口
DATA添加到 VLAN:[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/24 dhcp-trusted user@switch# set set ge-0/0/24 unit 0 family ethernet-switching vlan members DATA
将另外两个接入接口(不受信任)与 DATA VLAN 关联:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching vlan members DATA user@switch# set ge-0/0/1 unit 0 family ethernet-switching vlan members DATA
在与 DATA VLAN 关联的两个接口上配置 802.1X 用户身份验证和 LLDP-MED:
[edit protocols] user@switch# set lldp-med interface ge-0/0/0.0 user@switch# set dot1x authenticator authentication-profile-name profile52 user@switch# set dot1x authenticator interface ge-0/0/0.0 supplicant single user@switch# set lldp-med interface ge-0/0/1.0 user@switch# set dot1x authenticator interface ge-0/0/1.0 supplicant single
在 VLAN 上
DATA配置三种接入端口安全功能:DHCP 侦听、动态 ARP 检测 (DAI) 和 IP 源保护:[edit ethernet-switching-options] user@switch# set secure-access-port vlan DATA examine-dhcp user@switch# set secure-access-port vlan DATA arp-inspection user@switch# set secure-access-port vlan DATA ip-source-guard
结果
检查配置结果:
[edit ethernet-switching-options]
secure-access-port {
interface ge-0/0/24.0 {
dhcp-trusted;
}
vlan DATA {
arp-inspection;
examine-dhcp;
ip-source-guard;
}
}
[edit interfaces]
ge-0/0/0 {
unit 0 {
family ethernet-switching {
vlan {
members DATA;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members DATA;
}
}
}
}
ge-0/0/24 {
unit 0 {
family ethernet-switching {
vlan {
members DATA;
}
}
}
}
[edit protocols]
lldp-med {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
dot1x {
authenticator {
authentication-profile-name profile52;
}
interface {
ge-0/0/0.0 {
supplicant single;
}
ge-0/0/1.0 {
supplicant single;
}
}
}
在访客 VLAN 上配置 IP 源保护
程序
CLI 快速配置
要在访客 VLAN 上快速配置 IP 源保护,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit] set ethernet-switching-options secure-access-port interface ge-0/0/24 dhcp-trusted set interfaces ge-0/0/24 unit 0 family ethernet-switching vlan members GUEST set ethernet-switching-options secure-access-port vlan GUEST examine-dhcp set ethernet-switching-options secure-access-port vlan GUEST ip-source-guard set ethernet-switching-options secure-access-port interface ge-0/0/0 static-ip 10.1.1.1 mac 00:11:11:11:11:11 vlan GUEST set ethernet-switching-options secure-access-port interface ge-0/0/1 static-ip 10.1.1.2 mac 00:22:22:22:22:22 vlan GUEST set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/1 unit 0 family ethernet-switching port-mode access set protocols dot1x authenticator authentication-profile-name profile52 set protocols dot1x authenticator interface ge-0/0/0 supplicant single set protocols dot1x authenticator interface ge-0/0/0 guest-vlan GUEST set protocols dot1x authenticator interface ge-0/0/0 supplicant-timeout 2 set protocols dot1x authenticator interface ge-0/0/1 supplicant single set protocols dot1x authenticator interface ge-0/0/1 guest-vlan GUEST set protocols dot1x authenticator interface ge-0/0/1 supplicant-timeout 2
分步过程
要在访客 VLAN 上配置 IP 源保护,请执行以下操作:
将 DHCP 服务器连接到交换机的接口配置为可信接口,并将该接口
GUEST添加到 VLAN:[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/24 dhcp-trusted user@switch# set ge-0/0/24 unit 0 family ethernet-switching vlan members GUEST
为接入端口模式配置两个接口:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/1 unit 0 family ethernet-switching port-mode access
在 VLAN 上
GUEST配置 DHCP 侦听和 IP 源保护:[edit ethernet-switching-options] user@switch# set secure-access-port vlan GUEST examine-dhcp user@switch# set secure-access-port vlan GUEST ip-source-guard
在 VLAN 上的
GUEST两个(不受信任的)接口上分别配置静态 IP 地址(可选):[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/0 static-ip 10.1.1.1 mac 00:11:11:11:11:11 vlan GUEST
[edit ethernet-switching-options] user@switch# set secure-access-port interface ge-0/0/1 static-ip 10.1.1.2 mac 00:22:22:22:22:22 vlan GUEST
配置 802.1X 用户身份验证:
[edit protocols] user@switch# set dot1x authenticator authentication-profile-name profile52 user@switch# set dot1x authenticator interface ge-0/0/0 supplicant single user@switch# set dot1x authenticator interface ge-0/0/1 supplicant single user@switch# set dot1x authenticator interface ge-0/0/0 supplicant-timeout 2 user@switch# set dot1x authenticator interface ge-0/0/1 supplicant-timeout 2
结果
检查配置结果:
[edit protocols]
dot1x {
authenticator {
authentication-profile-name profile52;
}
interface {
ge-0/0/0.0 {
guest-vlan GUEST;
supplicant single;
supplicant-timeout 2;
}
ge-0/0/1.0 {
guest-vlan GUEST;
supplicant single;
supplicant-timeout 2;
}
}
}
}
[edit vlans]
GUEST {
vlan-id 100;
}
[edit interfaces]
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/24 {
unit 0 {
family ethernet-switching {
vlan {
members GUEST;
}
}
}
}
[edit ethernet-switching-options]
secure-access-port {
interface ge-0/0/0.0 {
static-ip 10.1.1.1 vlan GUEST mac 00:11:11:11:11:11;
}
interface ge-0/0/1.0 {
static-ip 10.1.1.2 vlan GUEST mac 00:22:22:22:22:22;
}
interface ge-0/0/24.0 {
dhcp-trusted;
}
vlan GUEST {
examine-dhcp;
ip-source-guard;
}
}
验证
要确认配置工作正常,请执行以下任务:
验证接口上的 802.1X 用户身份验证是否正常工作
目的
验证接口上的 802.1X 配置是否正常工作。
行动
user@switch> show dot1x interface ge/0/0/0.0 detail
ge-0/0/0.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 2
Quiet period: 30 seconds
Transmit period: 15 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 2 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 1
Guest VLAN member: GUEST
Number of connected supplicants: 1
Supplicant: md5user01, 00:30:48:90:53:B7
Operational state: Authenticated
Backend Authentication state: Idle
Authentcation method: Radius
Authenticated VLAN: DATA
Session Reauth interval: 3600 seconds
Reauthentication due in 3581 seconds
意义
该 Supplicant mode 字段显示为每个接口配置的管理方式。该 Guest VLAN member 字段显示当请求方使用访客 VLAN 进行身份验证时,请求方连接到的 VLAN。该 Authenticated VLAN 字段显示请求方连接到的 VLAN。
验证 VLAN 与接口的关联
目的
验证接口状态和 VLAN 成员资格。
行动
user@switch> show ethernet-switching interfaces Interface State VLAN members Tag Tagging Blocking ge-0/0/0.0 up DATA 101 untagged unblocked ge-0/0/1.0 up DATA 101 untagged unblocked ge-0/0/24 up DATA 101 untagged unblocked
意义
该 VLAN members 字段显示 VLAN 和接口之间的关联。该 State 字段显示接口是打开还是关闭。
对于访客 VLAN 配置,当请求方未通过 802.1X 用户身份验证时,接口将与访客 VLAN 关联。
验证 DHCP 侦听是否在 VLAN 上正常工作
目的
验证 DHCP 侦听已启用且在 VLAN 上正常工作。从连接到交换机的网络设备(DHCP 客户端)发送一些 DHCP 请求。
行动
user@switch> show dhcp snooping binding DHCP Snooping Information: MAC address IP address Lease (seconds) Type VLAN Interface 00:30:48:90:53:B7 192.0.2.1 86392 dynamic DATA ge-0/0/24.0
意义
当 DHCP 服务器连接到交换机 dhcp-trusted的接口设置为 时,输出将显示每个 MAC 地址、分配的 IP 地址和租用时间,即租约到期前剩余的时间(以秒为单位)。静态 IP 地址没有分配租用时间。静态配置的条目永不过期。
验证 IP 源保护是否在 VLAN 上正常工作
目的
验证 IP 源保护已启用且在 VLAN 上工作正常。
行动
user@switch> show ip-source-guard IP source guard information: Interface Tag IP Address MAC Address VLAN ge-0/0/0.0 0 192.0.2.2 00:30:48:90:63:B7 DATA ge-0/0/1.0 0 192.0.2.3 00:30:48:90:73:B7 DATA
意义
IP 源保护数据库表包含启用了 IP 源保护的 VLAN、这些 VLAN 上的不受信任接入接口、VLAN 802.1Q 标记 ID(如果有)以及相互绑定的 IP 地址和 MAC 地址。如果交换机接口与多个 VLAN 关联,并且其中一些 VLAN 已启用(或配置)IP 源保护,而其他 VLAN 未启用 IP 源保护,则未启用 IP 源保护的 VLAN 在和MAC Address字段中会显示IP Address星号 (*)。