端口安全概述
端口安全功能
以太网 LAN 容易受到网络设备上的地址欺骗(伪造)和第 2 层拒绝服务 (DoS) 等攻击。端口安全功能有助于保护设备上的接入端口,防止此类攻击可能导致的信息丢失和工作效率。
Junos OS 通过控制转发和服务平面的分离得到了强化,每个功能都在受保护的内存中运行。控制平面 CPU 受到速率限制、路由策略和防火墙过滤器的保护,即使在遭受严重攻击的情况下也能确保交换机正常运行。
Junos OS 提供的功能有助于保护设备上的端口。端口可分为受信任或不受信任。您可以应用适用于每个类别的策略,以保护端口免受各种类型的攻击。
动态地址解析协议 (ARP) 检测、DHCP 侦听和 MAC 限制等访问端口安全功能通过单个 Junos OS CLI 命令进行控制。基本端口安全功能在设备的默认配置中启用。您可以使用最少的配置步骤配置其他功能。根据特定功能,您可以在 VLAN 或桥接域接口上配置该功能。
从 Junos OS 18.4R1 版开始,以下瞻博网络系列交换机(EX2300、EX4600 和 QFX5K)的可信端口上会发生 DHCP 侦听。在 Junos OS 18.4R1 版之前,对于这些设备,仅对 DHCPv6 侦听适用。此外,运行 Junos OS 19.1R1 及更高版本的 EX9200 系列交换机和 Fusion Enterprise 的可信端口上会发生 DHCP 侦听。
瞻博网络 EX 系列以太网交换机提供以下硬件和软件安全功能:
Console Port— 允许使用控制台端口通过 RJ-45 电缆连接到路由引擎。然后,使用命令行界面 (CLI) 配置交换机。
Out-of-Band Management—后面板上的专用管理以太网端口可实现带外管理。
Software Images—所有 Junos OS 映像均由瞻博网络证书颁发机构 (CA) 使用公钥基础架构 (PKI) 进行签名。
User Authentication, Authorization, and Accounting (AAA)—功能包括:
具有密码加密和身份验证功能的用户帐户和组帐户。
可为登录类和用户模板配置访问权限级别。
RADIUS 身份验证和/或 TACACS+ 身份验证,用于对尝试访问交换机的用户进行身份验证。
通过系统日志记录或 RADIUS/TACACS+ 审核配置更改。
802.1X Authentication— 提供网络访问控制。请求方(主机)在最初连接到 LAN 时进行身份验证。在请求方从 DHCP 服务器接收 IP 地址之前对其进行身份验证可防止未经授权的请求方访问 LAN。EX 系列交换机支持可扩展身份验证协议 (EAP) 方法,包括 EAP-MD5、EAP-TLS、EAP-TTLS 和 EAP-PEAP。
Port Security—交换设备支持的接入端口安全功能包括:
DHCP 侦听 — 过滤和阻止不受信任端口上的入口动态主机配置协议 (DHCP) 服务器消息,并构建和维护 DHCP 租用信息数据库,该数据库称为 DHCP 侦听数据库。
注意:在交换设备的默认配置中未启用 DHCP 侦听。在 VLAN 或网桥域上启用了 DHCP 侦听。启用 DHCP 侦听的详细信息取决于特定设备。
可信 DHCP 服务器 — 在可信端口上配置 DHCP 服务器可防止恶意 DHCP 服务器发送租约。您可以在接口(端口)上启用此功能。默认情况下,接入端口不受信任,中继端口受信任。(接入端口是连接到以太网端点(如用户 PC 和笔记本电脑、服务器和打印机)的交换机端口。中继端口是将以太网交换机连接到其他交换机或路由器的交换机端口。)
DHCPv6 侦听 — 适用于 IPv6 的 DHCP 侦听。
DHCP 选项 82 — 也称为“DHCP 中继代理信息”选项。此 DHCPv4 功能有助于保护交换设备免受攻击,例如 IP 地址和 MAC 地址欺骗以及 DHCP IP 地址资源不足。Option 82 提供有关 DHCP 客户端网络位置的信息,DHCP 服务器使用此信息为客户端实现 IP 地址或其他参数。
DHCPv6 选项 37 — 选项 37 是 DHCPv6 的远程 ID 选项,用于将有关远程主机网络位置的信息插入到 DHCPv6 数据包中。您可以在 VLAN 上启用选项 37。
注意:MX 系列不支持使用选项 37 进行 DHCPv6 侦听。
DHCPv6 选项 18 — 选项 18 是 DHCPv6 的电路 ID 选项,用于将有关客户端端口的信息插入 DHCPv6 数据包中。此选项包括可以选择配置的其他详细信息,例如前缀和接口说明。
DHCPv6 选项 16 — 选项 16 是 DHCPv6 的供应商 ID 选项,用于将有关客户端硬件供应商的信息插入 DHCPv6 数据包中。
动态 ARP 检查 (DAI) — 防止地址解析协议 (ARP) 欺骗攻击。将 ARP 请求和回复与 DHCP 侦听数据库中的条目进行比较,并根据这些比较结果做出过滤决策。您可以在 VLAN 上启用 DAI。
IPv6 邻居发现检查 — 防止 IPv6 地址欺骗攻击。将邻居发现请求和回复与 DHCPv6 侦听数据库中的条目进行比较,并根据这些比较结果做出过滤决策。您可以在 VLAN 上启用邻居发现检查。
IP 源保护 — 减轻 IP 地址欺骗攻击对以太网 LAN 的影响。启用 IP 源保护后,将根据 DHCP 侦听数据库验证从不受信任的访问接口发送的数据包中的源 IP 地址。如果无法验证数据包,则会将其丢弃。您可以在 VLAN 或网桥域上启用 IP 源保护。
IPv6 源保护 — IPv6 的 IP 源保护。
MAC 限制 — 防止以太网交换表(也称为 MAC 转发表或第 2 层转发表)泛洪。您可以在接口上启用 MAC 限制。
MAC 移动限制 — 跟踪 MAC 移动并检测接入端口上的 MAC 欺骗。您可以在 VLAN 或网桥域上启用此功能。
持久 MAC 学习 — 也称为粘性 MAC。持久 MAC 学习使接口能够在交换机重新启动时保留动态学习的 MAC 地址。您可以在接口上启用此功能。
无限制代理 ARP — 交换机使用自己的 MAC 地址响应所有 ARP 消息。连接到交换机接口的主机无法直接与其他主机通信。相反,主机之间的所有通信都通过交换机。
受限代理 ARP — 如果 ARP 请求的源和目标的物理网络相同,交换机不会响应 ARP 请求。目标主机的 IP 地址与传入接口相同,还是具有不同的(远程)IP 地址,这并不重要。对广播地址的 ARP 请求不会引发任何回复。
Device Security— 风暴控制允许交换机监控未知单播和广播流量,并在超过指定流量级别时丢弃数据包、关闭或暂时禁用接口,从而防止数据包扩散和降级 LAN。您可以在接入接口或中继接口上启用风暴控制。
Encryption Standards—支持的标准包括:
128 位、192 位和 256 位高级加密标准 (AES)
56 位数据加密标准 (DES) 和 168 位 3DES
参见
了解如何保护接入端口免受常见攻击
端口安全功能可以保护瞻博网络 EX 系列和 QFX10000 以太网交换机免受各种类型的攻击。针对一些常见攻击的保护方法包括:
- 缓解以太网交换表溢出攻击
- 缓解恶意 DHCP 服务器攻击
- 防范 ARP 欺骗攻击(不适用于 QFX10000 系列交换机)
- 防范 DHCP 侦听数据库变更攻击(不适用于 QFX10000 系列交换机)
- 针对 DHCP 资源不足攻击的防护
缓解以太网交换表溢出攻击
在以太网交换表上的溢出攻击中,入侵者从新的 MAC 地址发送了如此多的请求,以至于该表无法学习所有地址。当交换机无法再使用表中的信息转发流量时,将强制广播消息。交换机上的流量中断,数据包被发送到网络上的所有主机。除了使网络过载流量外,攻击者还可能嗅探该广播流量。
要缓解此类攻击,请为获知的 MAC 地址和一些特定的允许 MAC 地址配置 MAC 限制。使用 MAC 限制功能可以控制可添加到以太网交换表中的一个或多个指定接口的 MAC 地址总数。通过设置明确允许的 MAC 地址,可以确保其网络访问至关重要的网络设备的地址能够保证包含在以太网交换表中。请参阅 示例:防范以太网交换表溢出攻击。
您还可以将学习的 MAC 地址配置为保留在每个接口上。这种持久的 MAC 学习与配置的 MAC 限制结合使用,有助于防止重启或接口关闭事件后流量丢失,还可以通过限制接口上允许的 MAC 地址来提高端口安全性。
缓解恶意 DHCP 服务器攻击
如果攻击者在 LAN 上设置恶意 DHCP 服务器来模拟合法的 DHCP 服务器,则该恶意服务器可以开始向网络的 DHCP 客户端发出租约。此恶意服务器提供给客户端的信息可能会中断其网络访问,从而导致 DoS。恶意服务器也可能将自己指定为网络的默认网关设备。然后,攻击者可以嗅探网络流量并实施中间人攻击,也就是说,它将用于合法网络设备的流量错误地定向到其选择的设备。
要减轻恶意 DHCP 服务器攻击,请将该恶意服务器连接到的接口设置为不受信任。该操作将阻止来自该接口的所有入口 DHCP 服务器消息。请参阅 示例:防范恶意 DHCP 服务器攻击。
交换机会记录在不受信任端口上接收的所有 DHCP 服务器数据包,例如:
收到 5 个不受信任的 DHCPOFFER,接口 ge-0/0/0.0[65],VLAN v1[10] 服务器 IP/MAC 12.12.12.1/00:00:00:00:01:12 提供 IP/客户端 MAC 12.12.12.253/00:AA:BB:CC:DD:01
您可以使用这些消息检测网络上的恶意 DHCP 服务器。
对于 QFX 系列交换机(包括 QFX10000),如果将 DHCP 服务器连接到接入端口,则必须将该端口配置为可信端口。
防范 ARP 欺骗攻击(不适用于 QFX10000 系列交换机)
在 ARP 欺骗中,攻击者在网络上发送伪造的 ARP 消息。攻击者将自己的 MAC 地址与连接到交换机的网络设备的 IP 地址相关联。发送到该 IP 地址的任何流量都会发送给攻击者。现在,攻击者可以制造各种类型的恶作剧,包括嗅探用于另一台主机的数据包和实施中间人攻击。(在中间人攻击中,攻击者拦截两个主机之间的消息,读取它们,并可能更改它们,所有这些都在原始主机不知道他们的通信已被破坏的情况下。
要防止交换机上的 ARP 欺骗,请同时启用 DHCP 侦听和动态 ARP 检查 (DAI)。DHCP 侦听构建和维护 DHCP 侦听表。该表包含交换机上不受信任接口的 MAC 地址、IP 地址、租用时间、绑定类型、VLAN 信息和接口信息。DAI 使用 DHCP 侦听表中的信息来验证 ARP 数据包。无效的 ARP 数据包将被阻止,当它们被阻止时,将记录一条系统日志消息,其中包括 ARP 数据包的类型以及发送方的 IP 地址和 MAC 地址。
请参阅 示例:防范 ARP 欺骗攻击。
防范 DHCP 侦听数据库变更攻击(不适用于 QFX10000 系列交换机)
在旨在更改 DHCP 侦听数据库的攻击中,入侵者会在交换机的一个不受信任接入接口上引入 DHCP 客户端,该客户端的 MAC 地址与另一个不受信任端口上的客户端相同。入侵者获取 DHCP 租约,从而导致 DHCP 侦听表中的条目发生更改。随后,来自合法客户端的有效 ARP 请求将被阻止。
要防止此类更改 DHCP 侦听数据库,请配置接口上明确允许的 MAC 地址。请参阅 示例:防范 DHCP 侦听数据库攻击。
针对 DHCP 资源不足攻击的防护
在 DHCP 资源不足攻击中,攻击者使用来自欺骗(伪造)MAC 地址的 DHCP 请求淹没以太网 LAN,使交换机的可信 DHCP 服务器无法跟上交换机上合法 DHCP 客户端的请求。这些服务器的地址空间已完全用完,因此它们无法再为客户端分配 IP 地址和租用时间。来自这些客户端的 DHCP 请求要么被丢弃(即结果为拒绝服务 (DoS),要么被定向到攻击者为冒充 LAN 上的合法 DHCP 服务器而设置的恶意 DHCP 服务器。
要保护交换机免受 DHCP 资源不足攻击,请使用 MAC 限制功能。指定交换机可以在这些客户端连接的接入接口上获知的最大 MAC 地址数。然后,交换机的一个或多个 DHCP 服务器将能够向这些客户端提供指定数量的 IP 地址和租约,而不能提供更多。如果在分配了最大数量的 IP 地址后发生 DHCP 资源不足攻击,则攻击将失败。请参阅 示例:防范 DHCP 资源不足攻击。
为了在 EX 系列交换机上提供额外保护,您可以通过启用持久 MAC 学习,将每个接口上的学习 MAC 地址配置为在交换机重新启动后保留。这种持久 MAC 学习既有助于防止重启后流量丢失,又可确保即使在重启或接口关闭事件之后,持久 MAC 地址也会重新输入转发数据库,而不是交换机学习新的 MAC 地址。
参见
配置端口安全 (ELS)
支持增强型第 2 层软件 (ELS) 配置样式的 EX 系列交换机支持上述功能。如果交换机运行的软件不支持 ELS,请参阅 配置端口安全(非 ELS)。有关 ELS 的详细信息,请参阅 使用增强型第 2 层软件 CLI。
以太网 LAN 容易受到网络设备上的地址欺骗和第 2 层拒绝服务 (DoS) 等攻击。DHCP 端口安全功能有助于保护交换机上的接入端口免受此类攻击可能导致的信息损失和生产力损失。
DHCPv4 支持以下端口安全功能:
DHCP 侦听
动态 ARP 检测 (DAI)
IP 源保护
DHCP 选项 82
DHCPv6 支持以下端口安全功能:
DHCPv6 侦听
IPv6 邻居发现检测
IPv6 源保护
DHCPv6 选项 37、选项 18 和选项 16
默认情况下,DHCP 侦听和 DHCPv6 侦听在任何 VLAN 上处于禁用状态。没有显式 CLI 配置用于启用 DHCP 侦听或 DHCPv6 侦听。在 [edit vlans vlan-name forwarding-options dhcp-security] 层次结构级别为 VLAN 配置任何端口安全功能时,将自动在该 VLAN 上启用 DHCP 侦听和 DHCPv6 侦听。
从 Junos OS 14.1X53-D47 和 15.1R6 版开始,您可以在 VLAN 上启用 DHCP 侦听或 DHCPv6 侦听,而无需配置其他端口安全功能,方法是在 [edit vlans vlan-name forwarding-options] 层次结构级别配置 dhcp-security CLI 语句。
DAI、IPv6 邻居发现检测、IP 源保护、IPv6 源保护、DHCP 选项 82 和 DHCPv6 选项按 VLAN 配置。您必须先配置 VLAN,然后才能配置这些 DHCP 端口安全功能。请参阅为支持 ELS 的 EX 系列交换机配置 VLAN(CLI 过程)。
您为 VLAN 指定的 DHCP 端口安全功能将应用于该 VLAN 中包含的所有接口。但是,您可以为 VLAN 中的一个接入接口或一组接入接口分配不同的属性。必须先使用层次结构级别的语句[edit vlans vlan-name forwarding-options dhcp-security]将group一个或多个接入接口配置为组。一个组必须至少有一个接口。
在 [edit vlans vlan-name forwarding-options dhcp-security] 层次结构级别的 VLAN 上配置一组接入接口会自动为 VLAN 中的所有接口启用 DHCP 侦听。
可以使用该 group 语句为接入接口指定的属性包括:
指定接口具有静态 IP-MAC 地址 (
static-ip or static-ipv6)指定访问接口以充当 DHCP 服务器的可信接口 (
trusted)指定不传输 DHCP 选项 82 (
no-option82) 或 DHCPv6 选项 (no-option37) 的接口
默认情况下,中继接口是受信任的。但是,您可以覆盖此默认行为并将中继接口 untrusted设置为 。
有关其他详细信息,请参阅:
您可以通过在该 VLAN 中配置一组接入接口来覆盖该 VLAN 的常规端口安全设置。有关详细信息,请参阅:
参见
配置端口安全性(非 ELS)
以太网 LAN 容易受到网络设备上的地址欺骗和第 2 层拒绝服务 (DoS) 等攻击。DHCP 侦听、DAI(动态 ARP 检测)、MAC 限制、MAC 移动限制和持久 MAC 学习等端口安全功能以及可信的 DHCP 服务器,有助于保护交换机上的接入端口免受此类攻击可能导致的信息丢失和生产力损失。
根据特定功能,您可以在以下位置配置端口安全功能:
VLAN — 特定 VLAN 或所有 VLAN
接口 - 特定接口或所有接口
如果在所有 VLAN 或所有接口上配置其中一个端口安全功能,交换机软件将在所有 VLAN 以及所有未明确配置其他端口安全功能的接口上启用该端口安全功能。
但是,如果确实在特定 VLAN 或特定接口上显式配置了某个端口安全功能,则必须显式配置要应用于该 VLAN 或接口的任何其他端口安全功能。否则,交换机软件会自动应用该功能的默认值。
例如,如果您在所有 VLAN 上禁用 DHCP 侦听,并决定仅在特定 VLAN 上显式启用 IP 源保护,则还必须在该特定 VLAN 上显式启用 DHCP 侦听。否则,默认值“无 DHCP 侦听”将应用于该 VLAN。
要使用 CLI 配置端口安全功能,请执行以下操作:
- 启用 DHCP 侦听
- 启用动态 ARP 检查 (DAI)
- 启用 IPv6 邻居发现检查
- 限制接口上的动态 MAC 地址
- 在接口上启用持久 MAC 学习
- 限制 MAC 地址移动
- 限制 VoIP VLAN 中的 VoIP 客户端 MAC 地址
- 在接口上配置可信 DHCP 服务器
启用 DHCP 侦听
您可以配置 DHCP 侦听,使设备能够监控收到的 DHCP 消息,确保主机仅使用分配给它们的 IP 地址,并仅允许访问授权的 DHCP 服务器。
要启用 DHCP 侦听,请执行以下操作:
在特定 VLAN 上:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name examine-dhcp
在所有 VLAN 上:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all examine-dhcp
要启用 DHCPv6 侦听,请执行以下操作:
在特定 VLAN 上:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name examine-dhcpv6
在所有 VLAN 上:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all examine-dhcpv6
启用动态 ARP 检查 (DAI)
您可以启用 DAI 来防止 ARP 侦听。要启用 DAI:
在单个 VLAN 上:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name arp-inspection
在所有 VLAN 上:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all arp-inspection
启用 IPv6 邻居发现检查
您可以启用邻居发现检查以防止 IPv6 地址欺骗。
要在单个 VLAN 上启用邻接方发现,请执行以下操作:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name neighbor-discovery-inspection
要在所有 VLAN 上启用邻接方发现,请执行以下操作:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all neighbor-discovery-inspection
限制接口上的动态 MAC 地址
限制接口上允许的动态 MAC 地址数量,并指定超出限制时要执行的操作:
在单个界面上:
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name mac-limit limit action action
在所有接口上:
[edit ethernet-switching-options secure-access-port] user@switch# set interface all mac-limit limit action action
在接口上启用持久 MAC 学习
您可以将获知的 MAC 地址配置为在交换机重新启动后保留在接口上:
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name persistent-learning
限制 MAC 地址移动
您可以限制 MAC 地址在 1 秒内从其原始接口移动的次数:
在单个 VLAN 上:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name mac-move-limit limit action action
在所有 VLAN 上:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all mac-move-limit limit action action
限制 VoIP VLAN 中的 VoIP 客户端 MAC 地址
要限制在配置的 VoIP VLAN 中获知 VoIP 客户端 MAC 地址,请执行以下操作:
[edit ethernet-switching-options secure-access-port] user@switch# set interfaceinterface-name voip-mac-exlusive
在该接口上获知的 VoIP VLAN 的任何 MAC 地址都不会在具有相同接口的数据 VLAN 上获知。如果在数据 VLAN 接口上获知了 MAC 地址,然后在具有相同接口的 VoIP VLAN 上获知了该 MAC 地址,则该 MAC 地址将从数据 VLAN 接口中移除。
在接口上配置可信 DHCP 服务器
在接口上配置可信的 DHCP 服务器:
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name dhcp-trusted
示例:配置端口安全性(非 ELS)
您可以在交换机的不可信端口上配置 DHCP 侦听、动态 ARP 检测 (DAI)、MAC 限制、持久 MAC 学习和 MAC 移动限制,以保护交换机和以太网 LAN 免受地址欺骗和第 2 层拒绝服务 (DoS) 攻击。您还可以为交换机接口配置可信的 DHCP 服务器和特定(允许的)MAC 地址。
此示例中使用的交换机不支持 ELS 配置样式。有关在 ELS 交换机上配置端口安全的信息,请参阅配置端口安全 (ELS)。
此示例介绍如何在交换机上配置基本端口安全功能:
要求
此示例使用以下硬件和软件组件:
一个 EX 系列或 QFX 系列。
对于 EX 系列交换机,Junos OS 11.4 或更高版本,或者对于 QFX 系列,Junos OS 版本 12.1 或更高版本
DHCP 服务器,用于向交换机上的网络设备提供 IP 地址
在配置基本端口安全功能之前,请确保您已:
已将DHCP服务器连接到交换机。
已在交换机上配置VLAN。查看适用于您平台的任务:
在此示例中,DHCP 服务器及其客户端都是交换机上单个 VLAN 的成员。
概述和拓扑
以太网 LAN 容易受到网络设备上的地址欺骗和 DoS 攻击。要保护设备免受此类攻击,您可以配置:
DHCP 侦听以验证 DHCP 服务器消息
DAI 可防止 MAC 欺骗
MAC 限制,用于限制交换机添加到其 MAC 地址缓存的 MAC 地址数量
MAC 移动限制有助于防止 MAC 欺骗
持久 MAC 学习(粘性 MAC),用于将接口上可获知的 MAC 地址限制为第一个获知的 MAC 地址,即使在交换机重新启动后也是如此
在受信任端口上配置的可信 DHCP 服务器,以防止恶意 DHCP 服务器发送租约
此示例说明如何在连接到 DHCP 服务器的交换机上配置这些安全功能。
此示例的设置包括交换机上的 VLAN 员工 VLAN 。 图 1 说明了此示例的拓扑结构。
拓扑学
的网络拓扑
此示例的拓扑组件如 表 1 所示。
| 属性 | 设置 |
|---|---|
交换机硬件 |
一台 EX 系列或 QFX 系列交换机 |
VLAN 名称和 ID |
员工 VLAN,标记 20 |
VLAN 子网 |
192.0.2.16/28 192.0.2.17 到 192.0.2.30 192.0.2.31 是子网的广播地址 |
员工 VLAN 中的接口 |
ge-0/0/1, ge-0/0/2, ge-0/0/3, ge-0/0/8 |
DHCP 服务器接口 |
ge-0/0/8 |
在此示例中,交换机最初配置了默认端口安全设置。在默认交换机配置中:
交换机上的安全端口访问已激活。
DHCP 侦听和 DAI 在所有 VLAN 上均处于禁用状态。
所有接入端口均不受信任,并且所有中继端口均受信任以进行 DHCP 侦听。
在此示例的配置任务中,您将 DHCP 服务器设置为受信任;在 VLAN 上启用 DHCP 侦听、DAI 和 MAC 移动限制;在某些接口上设置 MAC 限制值;您在接口上配置一些特定的(允许的)MAC 地址;您可以在接口上配置持久 MAC 学习。
配置
要在 DHCP 服务器和客户端端口位于单个 VLAN 中的交换机上配置基本端口安全:
程序
CLI 快速配置
要在交换机上快速配置基本端口安全,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 4 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88 set interface ge-0/0/2 mac-limit 4 set interface ge-0/0/1 persistent-learning set interface ge-0/0/8 dhcp-trusted set vlan employee-vlan arp-inspection set vlan employee-vlan examine-dhcp set vlan employee-vlan mac-move-limit 5
分步过程
在交换机上配置基本端口安全:
在 VLAN 上启用 DHCP 侦听:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan examine-dhcp
指定允许从中发出 DHCP 响应的接口(端口):
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 dhcp-trusted
在 VLAN 上启用动态 ARP 检测 (DAI):
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan arp-inspection
将 MAC 限制配置为 4 ,并使用默认操作 drop。(数据包将被丢弃,如果接口上的 MAC 超出限制,则不会将 MAC 地址添加到以太网交换表中):
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 mac-limit 4 user@switch# set interface ge-0/0/2 mac-limit 4
通过启用持久 MAC 学习,允许特定接口的学习 MAC 地址在交换机重新启动和接口关闭事件后持续存在:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 persistent-learning
将 MAC 移动限制配置为 5 ,并使用默认操作 drop 。(数据包将被丢弃,如果 MAC 地址超过 MAC 移动限制,则不会将 MAC 地址添加到以太网交换表中):
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan mac-move-limit 5
配置允许的 MAC 地址:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
结果
检查配置结果:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 4;
persistent-learning;
}
interface ge-0/0/2.0 {
allowed-mac [ 00:05:85:3a:82:80 00:05:85:3a:82:81 00:05:85:3a:82:83 00:05:85:3a:82:85 00:05:85:3a:82:88 ];
mac-limit 4;
}
interface ge-0/0/8.0 {
dhcp-trusted;
}
vlan employee-vlan {
arp-inspection
examine-dhcp;
mac-move-limit 5;
}
验证
要确认配置工作正常,请执行以下操作:
- 验证交换机上的 DHCP 侦听是否正常工作
- 验证交换机上的 DAI 是否正常工作
- 验证交换机上的 MAC 限制、MAC 移动限制和持久 MAC 学习是否正常工作
- 验证允许的 MAC 地址在交换机上是否正常工作
验证交换机上的 DHCP 侦听是否正常工作
目的
验证交换机上的 DHCP 侦听是否正常工作。
行动
从连接到交换机的网络设备(此处为 DHCP 客户端)发送一些 DHCP 请求。
当 DHCP 服务器连接到交换机的接口受信任时,显示 DHCP 侦听信息。当从 MAC 地址发送请求并且服务器已提供 IP 地址和租约时,将产生以下输出:
user@switch> show dhcp snooping binding DHCP Snooping Information: MAC Address IP Address Lease Type VLAN Interface ----------------- ---------- ----- ---- ---- --------- 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee—vlan ge-0/0/2.0 00:05:85:27:32:88 192.0.2.22 3200 dynamic employee—vlan ge-0/0/2.0
意义
当 DHCP 服务器连接到交换机的接口设置为受信任时,输出(请参阅前面的示例)会显示每个 MAC 地址的分配 IP 地址和租用时间,即租约到期前剩余的时间(以秒为单位)。
如果 DHCP 服务器已配置为不受信任,则不会将任何条目添加到 DHCP 侦听数据库中,并且命令输出 show dhcp snooping binding 中也不会显示任何内容。
验证交换机上的 DAI 是否正常工作
目的
验证 DAI 是否在交换机上工作。
行动
从连接到交换机的网络设备发送一些 ARP 请求。
显示 DAI 信息:
user@switch> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed --------------- --------------- -------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
意义
示例输出显示每个接口接收和检查的 ARP 数据包数,并列出了每个接口上通过检查的数据包数和未通过检测的数据包数。交换机会将 ARP 请求和回复与 DHCP 侦听数据库中的条目进行比较。如果 ARP 数据包中的 MAC 地址或 IP 地址与数据库中的有效条目不匹配,则会丢弃该数据包。
验证交换机上的 MAC 限制、MAC 移动限制和持久 MAC 学习是否正常工作
目的
验证交换机上的 MAC 限制、MAC 移动限制和持久 MAC 学习是否正常工作。
行动
假设从 ge-0/0/1 上的主机发送了两个数据包,从 ge-0/0/2 上的主机发送了五个数据包,两个接口的 MAC 限制都设置为 4 ,并启用了默认操作 丢弃 和 ge-0/0/1 以实现持久 MAC 学习。
显示获知的 MAC 地址:
user@switch> show ethernet-switching table Ethernet-switching table: 7 entries, 4 learned, 2 persistent entries VLAN MAC address Type Age Interfaces employee-vlan * Flood - All-members employee-vlan 00:05:85:3A:82:77 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0
现在假设数据包在 1 秒内移动到其他接口超过 5 次后,从 ge-0/0/2 上的两台主机发送, 员工 VLAN 的 MAC 移动限制设置为 5 ,默认操作 丢弃。
显示表中的 MAC 地址:
user@switch> show ethernet-switching table
Ethernet-switching table: 7 entries, 2 learned, 2 persistent entries VLAN MAC address Type Age Interfaces employee-vlan * Flood - All-members employee-vlan 00:05:85:3A:82:77 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
意义
第一个示例输出显示,当每个接口的 MAC 限制为 4 时, 未学习 ge-0/0/2 上的第五个 MAC 地址,因为它超出了 MAC 限制。第二个示例输出显示,未学习 ge-/0/0/2 上三个主机的 MAC 地址,因为这些主机在 1 秒内被移回五次以上。
接口 ge-0/0/1.0 已启用持久 MAC 学习,因此与此接口关联的 MAC 地址类型为 持久。
验证允许的 MAC 地址在交换机上是否正常工作
目的
验证交换机上允许的 MAC 地址是否正常工作。
行动
在接口 ge-0/0/2 上配置五个允许的 MAC 地址后,显示 MAC 缓存信息:
user@switch> show ethernet-switching table Ethernet-switching table: 5 entries, 4 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
意义
由于此接口的 MAC 限制值已设置为 4,因此仅获知五个已配置的允许地址中的四个。