示例:配置 MAC 限制
示例:防范 DHCP 资源不足攻击
在 DHCP 资源匮乏攻击中,攻击者使用来自欺骗(伪造)MAC 地址的 DHCP 请求淹没以太网 LAN,导致交换机过度工作的 DHCP 服务器停止向交换机上的合法 DHCP 客户端分配 IP 地址和租用时间(因此得名饥饿)。来自这些客户端的请求要么被丢弃,要么被定向到攻击者设置的恶意 DHCP 服务器。
此示例介绍如何配置 MAC 限制(一种端口安全功能)以保护交换机免受 DHCP 资源不足攻击:
要求
此示例使用以下硬件和软件组件:
一台 EX 系列或 QFX3500 台交换机
EX 系列交换机为 Junos OS 9.0 或更高版本,QFX 系列交换机为 Junos OS 12.1 或更高版本
DHCP 服务器,用于向交换机上的网络设备提供 IP 地址
在配置 MAC 限制(一项端口安全功能)以缓解 DHCP 资源不足攻击之前,请确保您已:
已将DHCP服务器连接到交换机。
已在交换机上配置 VLAN 员工 VLAN 。
概述和拓扑
以太网 LAN 容易受到网络设备上的地址欺骗和 DoS 攻击。此示例介绍如何保护交换机免受一种常见类型的攻击,即 DHCP 资源不足攻击。
此示例说明如何在连接到 DHCP 服务器的交换机上配置端口安全功能。此示例的设置包括交换机上的 VLAN 员工 VLAN 。在 EX 系列交换机上创建该 VLAN 的过程在示例 :为 EX 系列交换机设置与多个 VLAN 的桥接中介绍。此处不再重复该过程。
图 1 说明了此示例的拓扑结构。
拓扑学
的网络拓扑
此示例的拓扑组件如 表 1 所示。
| 属性 | 设置 |
|---|---|
交换机硬件 |
QFX3500交换机 |
VLAN 名称和 ID |
员工-VLAN |
员工 VLAN 中的接口 |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
DHCP 服务器接口 |
ge-0/0/8 |
在此示例中,交换机已配置如下:
交换机上的安全端口访问已激活。
未在任何接口上设置 MAC 限制。
VLAN 员工 VLAN 上的 DHCP 侦听已禁用。
所有接入接口都是不受信任的,这是默认设置。
配置
要配置 MAC 限制端口安全功能以保护交换机免受 DHCP 资源不足攻击,请执行以下操作:
程序
CLI 快速配置
要快速配置 MAC 限制,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 3 action drop set interface ge-0/0/2 mac-limit 3 action drop
分步过程
配置 MAC 限制:
在 ge-0/0/1 上配置 MAC 限制 3,并指定在接口上超出限制时丢弃具有新地址的数据包:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge–0/0/1mac-limit 3 action drop
在 ge-0/0/2 上配置 MAC 限制 3,并指定在接口上超出限制时丢弃具有新地址的数据包:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 mac-limit 3 action drop
结果
检查配置结果:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 3 action drop;
}
interface ge-0/0/2.0 {
mac-limit 3 action drop;
}
验证
要确认配置工作正常,请执行以下操作:
验证交换机上的 MAC 限制是否正常工作
目的
验证交换机上的 MAC 限制是否正常工作。
行动
从连接到交换机的网络设备(此处为 DHCP 客户端)发送一些 DHCP 请求。
显示从 ge-0/0/1 上的主机和 ge-0/0/2 上的主机发送 DHCP 请求时获知的 MAC 地址,两个接口的 MAC 限制都设置为 3,并删除操作:
user@switch> show ethernet-switching table Ethernet-switching table: 7 entries, 6 learned VLAN MAC address Type Age Interfaces default * Flood - ge-0/0/2.0 default 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 default 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 default 00:05:85:3A:82:80 Learn 0 ge-0/0/1.0 default 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 default 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 default 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0
意义
示例输出显示,如果每个接口的 MAC 限制为 3 ,则 ge-0/0/2 上第四个 MAC 地址的 DHCP 请求因超出 MAC 限制而被丢弃。
由于在两个接口中的每一个接口上只能获知 3 个 MAC 地址,因此尝试的 DHCP 资源不足攻击将会失败。
示例:防范恶意 DHCP 服务器攻击
在恶意 DHCP 服务器攻击中,攻击者将恶意服务器引入网络,允许它向网络的 DHCP 客户端提供 IP 地址租约,并将自己分配为网关设备。
此示例介绍如何将 DHCP 服务器接口配置为不受信任,以保护交换机免受恶意 DHCP 服务器的侵害:
要求
此示例使用以下硬件和软件组件:
一台 EX 系列交换机或一台 QFX3500 交换机
对于 EX 系列交换机,Junos OS 9.0 或更高版本,或者对于 QFX 系列,Junos OS 12.1 或更高版本
DHCP 服务器,用于向交换机上的网络设备提供 IP 地址
在配置不受信任的 DHCP 服务器接口以减轻恶意 DHCP 服务器攻击之前,请确保您已:
已将DHCP服务器连接到交换机。
已在 VLAN 上启用 DHCP 侦听。
已在交换机上配置VLAN。查看适用于您平台的任务:
概述和拓扑
以太网 LAN 容易受到网络设备上的地址欺骗和 DoS 攻击。此示例介绍如何保护交换机免受恶意 DHCP 服务器攻击。
此示例说明如何在 EX3200-24P 交换机和 QFX3500 交换机上显式配置不受信任的接口。 图 2 说明了此示例的拓扑结构。
拓扑学
的网络拓扑
表 2 显示了此示例的拓扑组件。
| 属性 | 设置 |
|---|---|
交换机硬件 |
一台 EX3200-24P、24 个端口(8 个 PoE 端口)或一台 QFX3500 交换机 |
VLAN 名称和 ID |
员工 VLAN,标记 20 |
VLAN 子网 |
192.0.2.16/28 192.0.2.17 到 192.0.2.30192.0.2.31 是子网的广播地址 |
员工 VLAN 中的接口 |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
DHCP 服务器接口 |
ge-0/0/8 |
在此示例中,交换机已配置如下:
交换机上的安全端口访问已激活。
VLAN 员工 VLAN 上已启用 DHCP 侦听。
恶意 DHCP 服务器连接到交换机的接口(端口)当前受信任。
配置
要将 DHCP 服务器接口配置为不受信任,因为该接口正由恶意 DHCP 服务器使用,请执行以下操作:
程序
CLI 快速配置
要快速将恶意 DHCP 服务器接口设置为不受信任,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/8 no-dhcp-trusted
分步过程
要将 DHCP 服务器接口设置为不受信任:
指定不允许从哪个接口(端口)发送 DHCP 响应:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 no-dhcp-trusted
结果
检查配置结果:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/8.0 {
no-dhcp-trusted;
}
示例:防范以太网交换表溢出攻击
在以太网交换表溢出攻击中,入侵者从新的 MAC 地址发送大量请求,以致以太网交换表填满然后溢出,迫使交换机广播所有消息。
此示例介绍如何配置 MAC 限制和允许的 MAC 地址这两个端口安全功能,以保护交换机免受以太网交换表攻击:
要求
此示例使用以下硬件和软件组件:
一台 EX 系列交换机或 QFX3500 台交换机
EX 系列交换机为 Junos OS 9.0 或更高版本,QFX 系列为 Junos OS 12.1 或更高版本。
DHCP 服务器,用于向交换机上的网络设备提供 IP 地址
在配置特定端口安全功能以缓解常见接入接口攻击之前,请确保您已:
已将DHCP服务器连接到交换机。
已在交换机上配置VLAN。查看适用于您平台的任务:
概述和拓扑
以太网 LAN 容易受到网络设备上的地址欺骗和 DoS 攻击。此示例介绍如何保护交换机免受以太网交换表的攻击,这种攻击会导致表溢出,从而强制交换机广播所有消息。
此示例说明如何在连接到 DHCP 服务器的交换机上配置端口安全功能。
此示例的设置包括交换机上的 VLAN 员工 VLAN 。主题 示例:为 EX 系列交换机设置与多个 VLAN 的桥接 和示例:为 QFX 系列设置 与多个 VLAN 的桥接 中介绍了创建该 VLAN 的过程。此处不再重复这一过程。 图 3 说明了此示例的拓扑结构。
拓扑学
的网络拓扑
表 3 显示了此示例拓扑的组件。
| 属性 | 设置 |
|---|---|
交换机硬件 |
一台 EX 系列交换机或一台 QFX3500 交换机 |
VLAN 名称和 ID |
员工 VLAN,标记 20 |
VLAN 子网 |
192.0.2.16/28192.0.2.17 到 192.0.2.30 192.0.2.31 是子网的广播地址 |
员工 VLAN 中的接口 |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
DHCP 服务器接口 |
ge-0/0/8 |
在此示例中,使用 MAC 限制功能可以控制可以添加到指定接口的以太网交换表中的 MAC 地址总数。使用允许的 MAC 地址功能可确保将网络访问至关重要的网络设备的地址包含在以太网交换表中。
在此示例中,交换机已配置如下:
交换机上的安全端口访问已激活。
未在任何接口上设置 MAC 限制。
所有接入接口都是不受信任的,这是默认设置。
配置
要配置 MAC 限制和一些允许的 MAC 地址,以保护交换机免受以太网交换表溢出攻击:
程序
CLI 快速配置
要快速配置 MAC 限制,请清除 MAC 转发表并配置一些允许的 MAC 地址,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 4 action drop set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 exit exit clear ethernet-switching-table interface ge-0/0/1
分步过程
配置 MAC 限制和一些允许的 MAC 地址:
在 ge-0/0/1 上配置 MAC 限制 4,并指定在接口上超过限制后丢弃具有不同地址的传入数据包:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 mac-limit (Access Port Security) 4 action drop
从 MAC 地址转发表中清除接口 ge-0/0/1 的当前条目:
user@switch# clear ethernet-switching-table interface ge-0/0/1
在 ge-0/0/2 上配置允许的 MAC 地址:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85
结果
检查配置结果:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 4 action drop;
}
interface ge-0/0/2.0 {
allowed-mac [ 00:05:85:3a:82:80 00:05:85:3a:82:81 00:05:85:3a:82:83 00:05:85
:3a:82:85 ];
}
验证
要确认配置工作正常,请执行以下操作:
验证交换机上的 MAC 限制是否正常工作
目的
验证交换机上的 MAC 限制是否正常工作。
行动
从 ge-0/0/1 上的主机发送 DHCP 请求后,将接口设置为 MAC 限制 4 并删除 操作,以及在接口 ge/0/0/2 上配置了四个允许的 MAC 地址后,显示 MAC 缓存信息:
user@switch> show ethernet-switching table Ethernet-switching table: 5 entries, 4 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:71 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:74 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 employee-vlan * Flood 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
意义
示例输出显示,当接口的 MAC 限制为 4 时, 对 ge-0/0/1 上第五个 MAC 地址的 DHCP 请求被丢弃,因为它超出了 MAC 限制,并且只在 ge-0/0/2 接口上学习了指定的允许 MAC 地址。