ポート セキュリティの概要
ポート セキュリティ機能
イーサネットLANは、ネットワークデバイス上のアドレススプーフィング(偽造)やレイヤー2サービス拒否(DoS)などの攻撃に対して脆弱です。ポート セキュリティ機能は、このような攻撃による情報の損失や生産性の損失から、デバイスのアクセス ポートを保護するのに役立ちます。
Junos OSは、制御転送プレーンとサービスプレーンを分離することで強化されており、各機能は保護されたメモリで実行されます。コントロールプレーンCPUは、レート制限、ルーティングポリシー、ファイアウォールフィルターによって保護され、厳しい攻撃下でもスイッチの稼働時間を確保します。
Junos OS には、デバイスのポートを保護するのに役立つ機能が用意されています。ポートは、信頼できるポートまたは信頼できないポートに分類できます。各カテゴリに適したポリシーを適用して、さまざまな種類の攻撃からポートを保護します。
動的アドレス解決プロトコル(ARP)インスペクション、DHCPスヌーピング、MAC制限などのアクセスポートのセキュリティ機能を、1つのJunos OS CLIコマンドで制御します。基本的なポート セキュリティ機能は、デバイスのデフォルト設定で有効になっています。最小限の構成手順で追加機能を構成できます。特定の機能に応じて、VLAN またはブリッジ ドメイン インターフェイスで機能を設定できます。
Junos OS Release 18.4R1以降、DHCPスヌーピングは、次のジュニパーシリーズスイッチ、EX2300、EX4600、およびQFX5Kの信頼できるポートで発生します。Junos OS リリース 18.4R1 以前では、これらのデバイスでは、DHCPv6 スヌーピングにのみ当てはまりました。さらに、DHCP スヌーピングは、Junos OS リリース 19.1R1 以降を実行している EX9200 シリーズ スイッチおよび Fusion Enterprise の信頼できるポートでも発生します。
ジュニパーネットワークスEXシリーズイーサネットスイッチは、次のハードウェアおよびソフトウェアセキュリティ機能を提供します。
Console Port- コンソール ポートを使用して、RJ-45 ケーブルを介してルーティング エンジンに接続できます。その後、CLI(コマンドライン インターフェイス)を使用してスイッチを設定します。
Out-of-Band Management—背面パネルの専用の管理イーサネットポートにより、アウトオブバンド管理が可能です。
Software Images—すべてのJunos OSイメージは、ジュニパーネットワークス認証局(CA)により公開鍵基盤(PKI)を使用して署名されています。
User Authentication, Authorization, and Accounting (AAA)—特長:
パスワードの暗号化と認証を使用するユーザー アカウントとグループ アカウント。
ログインクラスとユーザーテンプレートで設定可能なアクセス権限レベル。
スイッチへのアクセスを試みるユーザーを認証するためのRADIUS認証、TACACS+認証、またはその両方。
システム ロギングまたは RADIUS/TACACS+ による設定変更の監査。
802.1X Authentication- ネットワークアクセス制御を提供します。サプリカント(ホスト)は、最初にLANに接続するときに認証されます。サプリカントがDHCPサーバーからIPアドレスを受信する前に認証しておくと、承認されていないサプリカントがLANにアクセスすることを防ぐことができます。EX シリーズ スイッチは、EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAP などの拡張認証プロトコル(EAP)方式をサポートしています。
Port Security—スイッチング デバイスでサポートされているアクセス ポート セキュリティ機能は次のとおりです。
DHCP スヌーピング - 信頼できないポートで入力ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)サーバー メッセージをフィルタリングおよびブロックし、DHCP スヌーピング データベースと呼ばれる DHCP リース情報のデータベースを構築および維持します。
手記:DHCP スヌーピングは、スイッチング デバイスのデフォルト設定で有効になっていません。DHCP スヌーピングは、VLAN またはブリッジ ドメインでイネーブルになっています。DHCP スヌーピングのイネーブル化の詳細は、デバイスによって異なります。
信頼できるDHCPサーバー:信頼できるポートにDHCPサーバーを設定すると、リースを送信する不正なDHCPサーバーから保護します。インターフェイス(ポート)でこの機能を有効にします。デフォルトでは、アクセス ポートは信頼できず、トランク ポートは信頼されます。(アクセスポートとは、ユーザーのPCやラップトップ、サーバー、プリンターなどのイーサネットエンドポイントに接続するスイッチポートです。トランク ポートとは、イーサネット スイッチを他のスイッチまたはルーターに接続するスイッチ ポートです。)
DHCPv6スヌーピング—IPv6のDHCPスヌーピング。
DHCP オプション 82:DHCP リレー エージェント情報オプションとも呼ばれます。この DHCPv4 機能は、IP アドレスや MAC アドレスのスプーフィング、DHCP IP アドレスのスターベーションなどの攻撃からスイッチング デバイスを保護するのに役立ちます。オプション 82 は、DHCP クライアントのネットワーク ロケーションに関する情報を提供し、DHCP サーバーはこの情報を使用して、クライアントの IP アドレスまたはその他のパラメーターを実装します。
DHCPv6 オプション 37:オプション 37 は DHCPv6 のリモート ID オプションで、リモート ホストのネットワーク ロケーションに関する情報を DHCPv6 パケットに挿入するために使用されます。VLAN でオプション 37 を有効にします。
手記:オプション37を使用したDHCPv6スヌーピングは、MXシリーズではサポートされていません。
DHCPv6 オプション 18:オプション 18 は DHCPv6 の回線 ID オプションで、クライアント ポートに関する情報を DHCPv6 パケットに挿入するために使用されます。このオプションには、プレフィックスやインターフェイスの説明など、オプションで設定できるその他の詳細が含まれます。
DHCPv6 オプション 16:オプション 16 は DHCPv6 のベンダー ID オプションで、クライアント ハードウェアのベンダーに関する情報を DHCPv6 パケットに挿入するために使用されます。
動的ARPインスペクション(DAI)—アドレス解決プロトコル(ARP)スプーフィング攻撃を防止します。ARP 要求と応答は DHCP スヌーピング データベースのエントリと比較され、フィルタリングの決定はそれらの比較の結果に基づいて行われます。VLAN で DAI を有効にします。
IPv6 近隣探索インスペクション - IPv6 アドレス スプーフィング攻撃を防止します。ネイバー探索要求と応答は DHCPv6 スヌーピング データベースのエントリと比較され、フィルタリングの決定はそれらの比較の結果に基づいて行われます。VLAN で近隣探索インスペクションを有効にするとします。
IPソース ガード - イーサネット LAN に対する IP アドレス スプーフィング攻撃の影響を軽減します。IP ソース ガードをイネーブルにすると、信頼できないアクセス インターフェイスから送信されたパケットの送信元 IP アドレスが DHCP スヌーピング データベースに対して検証されます。パケットを検証できない場合、パケットは破棄されます。VLAN またはブリッジ ドメインで IP ソース ガードを有効にします。
IPv6 ソース ガード—IPv6 の IP ソース ガード。
MAC 制限 - イーサネット スイッチング テーブル(MAC 転送テーブルまたはレイヤー 2 転送テーブルとも呼ばれる)のフラッディングから保護します。インターフェイスで MAC 制限を有効にすることができます。
MAC 移動制限 - MAC 移動を追跡し、アクセス ポートで MAC スプーフィングを検出します。VLAN またはブリッジ ドメインでこの機能を有効にします。
永続的 MAC 学習 - スティッキー MAC とも呼ばれます。永続的MAC学習により、インターフェイスはスイッチの再起動後も動的に学習したMACアドレスを保持できます。インターフェイスでこの機能を有効にします。
無制限プロキシ ARP—スイッチは、独自のMACアドレスを持つすべてのARPメッセージに応答します。スイッチのインターフェイスに接続されているホストは、他のホストと直接通信できません。代わりに、ホスト間のすべての通信はスイッチを経由します。
制限付きプロキシARP:ARP要求の送信元とターゲットの物理ネットワークが同じ場合、スイッチはARP要求に応答しません。宛先ホストの IP アドレスが着信インターフェイスと同じか、異なる(リモート)IP アドレスかは関係ありません。ブロードキャスト アドレスの ARP 要求は応答を引き出しません。
Device Security- ストーム制御により、スイッチは不明なユニキャストおよびブロードキャスト トラフィックを監視し、指定されたトラフィック レベルを超えたときにパケットをドロップしたり、シャットダウンしたり、インターフェイスを一時的に無効にしたりして、パケットの増殖や LAN の低下を防ぐことができます。アクセス インターフェイスまたはトランク インターフェイスでストーム制御を有効化できます。
Encryption Standards—サポートされている標準は次のとおりです。
128、192、256ビットの高度暗号化標準(AES)
56 ビット データ暗号化標準 (DES) および 168 ビット 3DES
関連項目
一般的な攻撃からアクセスポートを保護する方法の理解
ポートセキュリティ機能により、ジュニパーネットワークスEXシリーズとQFX10000イーサネットスイッチをさまざまな種類の攻撃から保護できます。いくつかの一般的な攻撃に対する保護方法は次のとおりです。
- イーサネットスイッチングテーブルオーバーフロー攻撃の緩和
- 不正なDHCPサーバー攻撃の緩和
- ARPスプーフィング攻撃からの保護(QFX10000シリーズスイッチには適用されません)
- DHCPスヌーピングデータベース改ざん攻撃に対する保護(QFX10000シリーズスイッチには適用されません)
- DHCPスターベーション攻撃に対する保護
イーサネットスイッチングテーブルオーバーフロー攻撃の緩和
イーサネット スイッチング テーブルへのオーバーフロー攻撃では、侵入者が新しい MAC アドレスから大量のリクエストを送信するため、テーブルはすべてのアドレスを学習できません。スイッチは、テーブル内の情報を使用してトラフィックを転送できなくなると、強制的にメッセージをブロードキャストします。スイッチ上のトラフィック フローが中断され、ネットワーク上のすべてのホストにパケットが送信されます。攻撃者は、トラフィックでネットワークを過負荷にするだけでなく、そのブロードキャスト トラフィックを盗聴することもできます。
このような攻撃を軽減するには、学習されたMACアドレスと特定の許可されたMACアドレスの両方のMAC制限を設定します。MAC 制限機能を使用して、指定したインターフェイスのイーサネット スイッチング テーブルに追加できる MAC アドレスの総数を制御します。明示的に許可された MAC アドレスを設定することで、ネットワーク アクセスが重要なネットワーク デバイスのアドレスが、イーサネット スイッチング テーブルに含まれることが保証されます。 「例: イーサネット スイッチング テーブル オーバーフロー攻撃からの保護」を参照してください。
また、学習したMACアドレスを各インターフェイスで持続するように設定することもできます。この永続的なMAC学習を、設定されたMAC制限と組み合わせて使用することで、再起動またはインターフェイスダウンイベント後のトラフィック損失を防ぎ、インターフェイスで許可されるMACアドレスを制限することでポートのセキュリティを強化します。
不正なDHCPサーバー攻撃の緩和
攻撃者が LAN 上の正規の DHCP サーバーになりすますために不正な DHCP サーバーを設定すると、その不正なサーバーはネットワークの DHCP クライアントにリースを発行し始めることができます。この不正なサーバーからクライアントに提供される情報は、ネットワーク アクセスを中断し、DoS を引き起こす可能性があります。また、不正なサーバーは、自身をネットワークのデフォルト ゲートウェイ デバイスとして割り当てる可能性もあります。その後、攻撃者はネットワークトラフィックを盗聴し、中間者攻撃(つまり、正規のネットワークデバイス宛てのトラフィックを、選択したデバイスに誤って誘導する)を行うことができます。
不正な DHCP サーバー攻撃を軽減するには、その不正なサーバーが接続されているインターフェイスを信頼できないものとして設定します。この操作により、そのインターフェイスからのすべてのイングレスDHCPサーバーメッセージがブロックされます。 「例: 不正な DHCP サーバー攻撃からの保護」を参照してください。
スイッチは、信頼できないポートで受信したすべての DHCP サーバー パケットをログに記録します。次に例を示します。
5 信頼できないDHCPOFFERを受信しました、インターフェイスge-0/0/0.0[65]、VLAN v1[10]、サーバーIP/mac 12.12.12.1/00:00:00:00:01:12オファーIP/クライアントmac 12.12.12.253/00:AA:BB:CC:DD:01
これらのメッセージを使用して、ネットワーク上の悪意のある DHCP サーバーを検出できます。
QFX10000を含むQFXシリーズスイッチでは、アクセスポートにDHCPサーバーを接続する場合、そのポートを信頼できるものとして設定する必要があります。
ARPスプーフィング攻撃からの保護(QFX10000シリーズスイッチには適用されません)
ARPスプーフィングでは、攻撃者はネットワーク上で偽のARPメッセージを送信します。攻撃者は、自分のMACアドレスをスイッチに接続されているネットワークデバイスのIPアドレスに関連付けます。そのIPアドレスに送信されたトラフィックは、代わりに攻撃者に送信されます。これで、攻撃者は、別のホスト宛てのパケットを盗聴したり、中間者攻撃を実行したりするなど、さまざまな種類のいたずらを作成できます。(中間者攻撃では、攻撃者は2つのホスト間のメッセージを傍受し、それらを読み取り、場合によっては変更しますが、すべて元のホストが通信が侵害されたことを知りません。
スイッチの ARP スプーフィングから保護するには、DHCP スヌーピングとダイナミック ARP インスペクション(DAI)の両方を有効にします。DHCP スヌーピングは、DHCP スヌーピング テーブルを構築および維持します。このテーブルには、スイッチ上の信頼できないインターフェイスのMACアドレス、IPアドレス、リース時間、バインディングタイプ、VLAN情報、インターフェイス情報が含まれています。DAI は、DHCP スヌーピング テーブルの情報を使用して ARP パケットを検証します。無効なARPパケットはブロックされ、ブロックされると、ARPパケットのタイプと送信者のIPアドレスおよびMACアドレスを含むシステムログメッセージが記録されます。
例:ARP スプーフィング攻撃からの保護を参照してください。
DHCPスヌーピングデータベース改ざん攻撃に対する保護(QFX10000シリーズスイッチには適用されません)
DHCP スヌーピング データベースを変更するように設計された攻撃では、侵入者は、別の信頼できないポートのクライアントと同じ MAC アドレスを持つ DHCP クライアントを、スイッチの信頼できないアクセス インターフェイスの 1 つに導入します。侵入者はDHCPリースを取得するため、DHCPスヌーピングテーブルのエントリが変更されます。その後、正当なクライアントからの有効なARP要求がブロックされます。
このような DHCP スヌーピング データベースの変更から保護するには、インターフェイスで明示的に許可される MAC アドレスを設定します。 例:DHCP スヌーピング データベース攻撃からの保護を参照してください。
DHCPスターベーション攻撃に対する保護
DHCPスターベーション攻撃では、攻撃者がスプーフィングされた(偽造された)MACアドレスからのDHCPリクエストでイーサネットLANをフラッディングし、スイッチの信頼できるDHCPサーバーがスイッチ上の正規のDHCPクライアントからのリクエストに対応できなくなります。これらのサーバーのアドレス空間は完全に使い果たされているため、IPアドレスとリース時間をクライアントに割り当てることはできなくなります。これらのクライアントからの DHCP 要求は、破棄されるか (サービス拒否 (DoS)、または LAN 上の正規の DHCP サーバーになりすますために攻撃者が設定した不正な DHCP サーバーに送信されます。
DHCP スターベーション攻撃からスイッチを保護するには、MAC 制限機能を使用します。これらのクライアントが接続するアクセス インターフェイスでスイッチが学習できる MAC アドレスの最大数を指定します。スイッチのDHCPサーバーは、指定された数のIPアドレスとリースをそれらのクライアントに提供できるようになります。IP アドレスの最大数が割り当てられた後に DHCP スターベーション攻撃が発生した場合、攻撃は失敗します。 「例: DHCP スターベーション攻撃からの保護」を参照してください。
EXシリーズスイッチの保護を強化するために、永続的なMAC学習を有効にすることで、各インターフェイスで学習されたMACアドレスがスイッチの再起動後も持続するように設定できます。この永続的なMAC学習は、再起動後のトラフィック損失を防ぐのに役立ち、再起動またはインターフェイスダウンイベントの後でも、スイッチが新しいMACアドレスを学習するのではなく、永続的なMACアドレスが転送データベースに再入力されることを保証します。
関連項目
ポートセキュリティ(ELS)の設定
ここで説明する機能は、拡張レイヤー2ソフトウェア(ELS)設定スタイルをサポートするEXシリーズスイッチでサポートされています。スイッチで ELS をサポートしていないソフトウェアが実行されている場合は、 ポート セキュリティの設定(非 ELS)を参照してください。ELSの詳細については、「 拡張レイヤー2ソフトウェアCLIの使用」を参照してください。
イーサネットLANは、アドレススプーフィングやネットワークデバイス上のレイヤー2サービス拒否(DoS)などの攻撃に対して脆弱です。DHCP ポート セキュリティ機能は、このような攻撃による情報の損失や生産性の損失から、スイッチ上のアクセス ポートを保護するのに役立ちます。
DHCPv4 では、次のポート セキュリティ機能がサポートされています。
DHCP スヌーピング
Dynamic ARP Inspection(DAI)
IPソースガード
DHCP オプション 82
DHCPv6 では、次のポート セキュリティ機能がサポートされています。
DHCPv6スヌーピング
IPv6 近隣探索インスペクション
IPv6ソース ガード
DHCPv6 オプション 37、オプション 18、オプション 16
DHCPスヌーピングとDHCPv6スヌーピングは、どのVLANでもデフォルトで無効になっています。DHCP スヌーピングまたは DHCPv6 スヌーピングを有効にするための明示的な CLI 設定は使用されません。 [edit vlans vlan-name forwarding-options dhcp-security] 階層レベルでVLANのポートセキュリティ機能のいずれかを設定すると、DHCPスヌーピングとDHCPv6スヌーピングがそのVLANで自動的に有効になります。
Junos OS リリース 14.1X53-D47 および 15.1R6 以降、[edit vlans vlan-name forwarding-options] 階層レベルで dhcp-security CLI ステートメントを設定することで、他のポート セキュリティ機能を設定することなく、VLAN で DHCP スヌーピングまたは DHCPv6 スヌーピングを有効にできるようになりました。
DAI、IPv6近隣探索インスペクション、IPソースガード、IPv6ソースガード、DHCPオプション82、DHCPv6オプションがVLANごとに設定されます。これらのDHCPポートのセキュリティ機能を設定する前に、VLANを設定する必要があります。 ELS をサポートする EX シリーズ スイッチの VLAN の設定(CLI 手順)を参照してください。
VLANに指定するDHCPポートセキュリティ機能は、そのVLANに含まれるすべてのインターフェイスに適用されます。ただし、VLAN 内のアクセス インターフェイスまたはアクセス インターフェイスのグループに異なる属性を割り当てることができます。アクセスインターフェイスは、まず、[edit vlans vlan-name forwarding-options dhcp-security]階層レベルで groupステートメントを使用して、グループとして設定する必要があります。グループには少なくとも 1 つのインターフェイスが必要です。
VLAN 上のアクセス インターフェイスのグループを [edit vlans vlan-name forwarding-options dhcp-security] 階層レベルで設定すると、VLAN 内のすべてのインターフェイスに対して DHCP スヌーピングが自動的に有効になります。
groupステートメントを使用してアクセスインターフェイスに指定できる属性は、以下のとおりです。
インターフェイスに静的 IP-MAC アドレス(
static-ip or static-ipv6)があることを指定するDHCP サーバーへの信頼できるインターフェイスとして機能するアクセス インターフェイスを指定する(
trusted)DHCP オプション 82(
no-option82)または DHCPv6 オプション(no-option37)を送信しないインターフェイスを指定する
トランク インターフェイスはデフォルトで信頼されています。ただし、このデフォルトの動作を無効にして、トランク インターフェイスを untrusted に設定できます。
詳細については、次を参照してください。
VLAN内のアクセスインターフェイスのグループを設定することで、VLANの一般的なポートセキュリティ設定を上書きできます。詳細については、以下を参照してください。
関連項目
ポート セキュリティの設定(非 ELS)
イーサネットLANは、アドレススプーフィングやネットワークデバイス上のレイヤー2サービス拒否(DoS)などの攻撃に対して脆弱です。DHCP スヌーピング、DAI(ダイナミック ARP インスペクション)、MAC 制限、MAC 移動制限、永続的 MAC 学習などのポート セキュリティ機能と信頼できる DHCP サーバにより、このような攻撃による情報の損失や生産性の損失からスイッチ上のアクセス ポートを保護します。
特定の機能に応じて、次のいずれかでポート セキュリティ機能を設定できます。
VLAN - 特定の VLAN、またはすべての VLAN
インターフェイス—特定のインターフェイスまたはすべてのインターフェイス
すべての VLAN、またはすべてのインターフェイスでポート セキュリティ機能の 1 つを設定すると、スイッチ ソフトウェアは、すべての VLAN、および他のポート セキュリティ機能が明示的に設定されていないすべてのインターフェイスで、そのポート セキュリティ機能を有効にします。
ただし、特定のVLANまたは特定のインターフェイスでポートセキュリティ機能の1つを明示的に設定する場合は、そのVLANまたはインターフェイスに適用する追加のポートセキュリティ機能を明示的に設定する必要があります。それ以外の場合、スイッチ ソフトウェアによって機能のデフォルト値が自動的に適用されます。
たとえば、すべての VLAN で DHCP スヌーピングをディセーブルにし、特定の VLAN でのみ IP ソース ガードを明示的にイネーブルにする場合は、その特定の VLAN でも DHCP スヌーピングを明示的にイネーブルにする必要があります。それ以外の場合、デフォルト値の DHCP スヌーピングなし がその VLAN に適用されます。
CLIを使用してポート セキュリティ機能を設定するには、次の手順に従います。
- DHCP スヌーピングのイネーブル化
- Dynamic ARP Inspection(DAI)の有効化
- IPv6 近隣探索インスペクションの有効化
- インターフェイスでの動的MACアドレスの制限
- インターフェイスでの永続的MAC学習の有効化
- MAC アドレスの移動の制限
- VoIP VLAN における VoIP クライアント MAC アドレスの制限
- インターフェイスでの信頼されたDHCPサーバーの設定
DHCP スヌーピングのイネーブル化
DHCP スヌーピングを設定して、デバイスが受信した DHCP メッセージを監視し、ホストが割り当てられた IP アドレスのみを使用するようにし、許可された DHCP サーバにのみアクセスを許可することができます。
DHCP スヌーピングをイネーブルにするには:
特定のVLAN上:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name examine-dhcp
すべての VLAN の場合:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all examine-dhcp
DHCPv6 スヌーピングを有効にするには:
特定のVLAN上:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name examine-dhcpv6
すべての VLAN の場合:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all examine-dhcpv6
Dynamic ARP Inspection(DAI)の有効化
DAI をイネーブルにして、ARP スヌーピングから保護することができます。DAI を有効にするには、次の手順を実行します。
単一 VLAN の場合:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name arp-inspection
すべての VLAN の場合:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all arp-inspection
IPv6 近隣探索インスペクションの有効化
近隣探索インスペクションを有効にして、IPv6 アドレス スプーフィングから保護することができます。
1 つの VLAN で近隣探索を有効にするには:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name neighbor-discovery-inspection
すべての VLAN でネイバー探索を有効にするには:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all neighbor-discovery-inspection
インターフェイスでの動的MACアドレスの制限
インターフェイスで許可される動的MACアドレスの数を制限し、制限を超えた場合に実行するアクションを指定します。
単一のインターフェイスの場合:
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name mac-limit limit action action
すべてのインターフェイスで:
[edit ethernet-switching-options secure-access-port] user@switch# set interface all mac-limit limit action action
インターフェイスでの永続的MAC学習の有効化
学習したMACアドレスを、スイッチが再起動されてもインターフェイス上で維持されるように設定できます。
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name persistent-learning
MAC アドレスの移動の制限
MAC アドレスが 1 秒間に元のインターフェイスから移動できる回数を制限できます。
単一 VLAN の場合:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name mac-move-limit limit action action
すべての VLAN の場合:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all mac-move-limit limit action action
VoIP VLAN における VoIP クライアント MAC アドレスの制限
設定されたVoIP VLANで、VoIPクライアントのMACアドレスが学習されないように制限するには、以下を行います。
[edit ethernet-switching-options secure-access-port] user@switch# set interfaceinterface-name voip-mac-exlusive
VoIP VLANのそのインターフェイスで学習されたMACアドレスは、同じインターフェイスを持つデータVLANでは学習されません。MACアドレスがデータVLANインターフェイスで学習され、同じインターフェイスを持つVoIP VLANでMACアドレスが学習された場合、MACアドレスはデータVLANインターフェイスから削除されます。
インターフェイスでの信頼されたDHCPサーバーの設定
インターフェイスで信頼できるDHCPサーバーを設定します。
[edit ethernet-switching-options secure-access-port] user@switch# set interface interface-name dhcp-trusted
例:ポート セキュリティの設定(非 ELS)
スイッチの信頼できないポートでDHCPスヌーピング、DAI(Dynamic ARP Inspection)、MAC制限、永続的MAC学習、およびMAC移動制限を設定することで、アドレススプーフィングやレイヤー2サービス拒否(DoS)攻撃からスイッチとイーサネットLANを保護することができます。また、スイッチ インターフェイスに信頼できる DHCP サーバーと特定の(許可された)MAC アドレスを設定することもできます。
この例で使用されているスイッチは、ELS設定スタイルをサポートしていません。ELS スイッチでのポート セキュリティの設定については、 ポート セキュリティの設定(ELS)を参照してください。
この例では、スイッチの基本的なポート セキュリティ機能を設定する方法について説明します。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
1つのEXシリーズまたはQFXシリーズ。
EX シリーズスイッチの場合は Junos OS リリース 11.4 以降、QFX シリーズの場合は Junos OS リリース 12.1 以降
スイッチ上のネットワーク デバイスに IP アドレスを提供する DHCP サーバー
基本的なポート セキュリティ機能を設定する前に、以下が完了していることを確認してください。
DHCPサーバーをスイッチに接続していること。
スイッチにVLANが設定されている。お使いのプラットフォームのタスクを参照してください。
この例では、DHCP サーバーとそのクライアントはすべて、スイッチ上の 1 つの VLAN のメンバーです。
概要とトポロジー
イーサネットLANは、ネットワークデバイスに対するアドレススプーフィングやDoS攻撃に対して脆弱です。このような攻撃からデバイスを保護するために、以下を設定できます。
DHCPサーバメッセージを検証するためのDHCPスヌーピング
MACスプーフィングから保護するDAI
スイッチが MAC アドレス キャッシュに追加する MAC アドレスの数を制限する MAC 制限
MACスプーフィングを防止するためのMAC移動制限
スイッチの再起動後でも、インターフェイスで学習できるMACアドレスを最初に学習したMACアドレスに制限する永続的MAC学習(スティッキーMAC)
リースを送信する不正なDHCPサーバーから保護するために、信頼できるポートに構成された信頼できるDHCPサーバー
この例では、DHCP サーバに接続されたスイッチでこれらのセキュリティ機能を設定する方法を示します。
この例のセットアップには、スイッチ上の VLAN employee-vlan が含まれています。 図 1 に、この例のトポロジーを示します。
位相幾何学
のネットワークトポロジー
この例のトポロジーのコンポーネントを 表 1 に示します。
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
1 つの EX シリーズまたは QFX シリーズ スイッチ |
VLAN 名および ID |
従業員-VLAN、タグ 20 |
VLANサブネット |
192.0.2.16/28192.0.2.17〜192.0.2.30192.0.2.31はサブネットのブロードキャストアドレスです |
従業員 VLAN のインターフェイス |
ge-0/0/1、 ge-0/0/2、 ge-0/0/3、 ge-0/0/8 |
DHCP サーバーのインターフェイス |
ge-0/0/8 |
この例では、スイッチは最初にデフォルトのポート セキュリティ設定で設定されています。デフォルトのスイッチ構成の場合:
スイッチでセキュアポートアクセスがアクティブになります。
DHCP スヌーピングと DAI は、すべての VLAN で無効になっています。
すべてのアクセス ポートは信頼できず、すべてのトランク ポートは DHCP スヌーピングに対して信頼されます。
この例の構成タスクでは、DHCP サーバーを信頼済みとして設定します。VLAN で DHCP スヌーピング、DAI、および MAC 移動制限を有効にします。一部のインターフェイスでMAC制限の値を設定します。インターフェイスに特定の(許可された)MACアドレスを設定します。インターフェイスで永続的 MAC 学習を設定します。
構成
DHCPサーバーおよびクライアントポートが1つのVLANにあるスイッチで、基本的なポートセキュリティを設定するには、次の手順に従います。
プロシージャ
CLIクイック構成
スイッチで基本的なポート セキュリティをすばやく設定するには、以下のコマンドをコピーして、スイッチのターミナル ウィンドウに貼り付けます。
[edit ethernet-switching-options secure-access-port] set interface ge-0/0/1 mac-limit 4 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88 set interface ge-0/0/2 mac-limit 4 set interface ge-0/0/1 persistent-learning set interface ge-0/0/8 dhcp-trusted set vlan employee-vlan arp-inspection set vlan employee-vlan examine-dhcp set vlan employee-vlan mac-move-limit 5
手順
スイッチの基本的なポート セキュリティを設定します。
VLAN で DHCP スヌーピングを有効にします。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan examine-dhcp
DHCP 応答を許可するインターフェイス (ポート) を指定します。
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 dhcp-trusted
VLAN で DAI(Dynamic ARP Inspection)を有効にします。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan arp-inspection
MAC 制限を 4 に設定し、デフォルト アクションである drop を使用します。(インターフェイスのMAC制限を超えた場合、パケットは破棄され、MACアドレスはイーサネットスイッチングテーブルに追加されません)。
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 mac-limit 4 user@switch# set interface ge-0/0/2 mac-limit 4
永続的なMAC学習を有効にすることで、特定のインターフェイスの学習されたMACアドレスが、スイッチの再起動後やインターフェイスダウンイベントの間も持続できるようにします。
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1 persistent-learning
MAC 移動制限を 5 に設定し、デフォルト アクションである drop を使用します。(パケットは破棄され、MACアドレスがMAC移動制限を超えた場合、MACアドレスはイーサネットスイッチングテーブルに追加されません)。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan mac-move-limit 5
許可された MAC アドレスを構成します。
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
業績
構成の結果を確認します。
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/1.0 {
mac-limit 4;
persistent-learning;
}
interface ge-0/0/2.0 {
allowed-mac [ 00:05:85:3a:82:80 00:05:85:3a:82:81 00:05:85:3a:82:83 00:05:85:3a:82:85 00:05:85:3a:82:88 ];
mac-limit 4;
}
interface ge-0/0/8.0 {
dhcp-trusted;
}
vlan employee-vlan {
arp-inspection
examine-dhcp;
mac-move-limit 5;
}
検証
設定が正しく機能していることを確認するには、次の手順に従います。
- DHCPスヌーピングがスイッチ上で正しく動作していることの確認
- スイッチで DAI が正しく動作していることの検証
- スイッチでMAC制限、MAC移動制限、および永続的MAC学習が正しく動作していることの検証
- 許可されたMACアドレスがスイッチで正しく動作していることの確認
DHCPスヌーピングがスイッチ上で正しく動作していることの確認
目的
DHCPスヌーピングがスイッチで動作していることを確認します。
アクション
スイッチに接続されたネットワークデバイス(ここではDHCPクライアント)からDHCPリクエストを送信します。
DHCP サーバがスイッチに接続するインターフェイスが信頼できる場合に、DHCP スヌーピング情報を表示します。要求が MAC アドレスから送信され、サーバーが IP アドレスとリースを提供した場合、次の出力結果になります。
user@switch> show dhcp snooping binding DHCP Snooping Information: MAC Address IP Address Lease Type VLAN Interface ----------------- ---------- ----- ---- ---- --------- 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee—vlan ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee—vlan ge-0/0/2.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee—vlan ge-0/0/2.0 00:05:85:27:32:88 192.0.2.22 3200 dynamic employee—vlan ge-0/0/2.0
意味
DHCP サーバーがスイッチに接続するインターフェイスが信頼済みに設定されている場合、出力(前のサンプルを参照)には、MAC アドレスごとに、割り当てられた IP アドレスとリース時間(リースの有効期限が切れるまでの残り時間(秒単位)が表示されます。
DHCPサーバが信頼できないものとして設定されていた場合、DHCPスヌーピングデータベースにエントリは追加されず、 show dhcp snooping binding コマンドの出力には何も表示されません。
スイッチで DAI が正しく動作していることの検証
目的
DAI がスイッチで動作していることを確認します。
アクション
スイッチに接続されたネットワーク デバイスからARP 要求をいくつか送信する。
DAI 情報を表示します。
user@switch> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed --------------- --------------- -------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
意味
サンプル出力には、インターフェイスごとに受信および検査された ARP パケットの数と、各インターフェイスで検査に合格したパケット数と失敗したパケット数のリストが表示されます。スイッチは、ARP 要求および応答を DHCP スヌーピング データベースのエントリと比較します。ARP パケット内の MAC アドレスまたは IP アドレスがデータベース内の有効なエントリと一致しない場合、パケットはドロップされます。
スイッチでMAC制限、MAC移動制限、および永続的MAC学習が正しく動作していることの検証
目的
MAC制限、MAC移動制限、および永続的MAC学習がスイッチで機能していることを確認します。
アクション
ge-0/0/1のホストから2つのパケットが送信され、ge-0/0/2のホストから5つのパケットが送信され、両方のインターフェイスのMAC制限が4に設定され、デフォルトのアクションドロップと永続的なMAC学習のためにge-0/0/1が有効になっているとします。
学習されたMACアドレスを表示します。
user@switch> show ethernet-switching table Ethernet-switching table: 7 entries, 4 learned, 2 persistent entries VLAN MAC address Type Age Interfaces employee-vlan * Flood - All-members employee-vlan 00:05:85:3A:82:77 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0
ここで、パケットが1秒間に5回以上他のインターフェイスに移動された後、ge-0/0/2に2つのホストからパケットが送信され、employee-vlanがデフォルトのアクションドロップでMAC移動制限5に設定されているとします。
テーブル内の MAC アドレスを表示します。
user@switch> show ethernet-switching table
Ethernet-switching table: 7 entries, 2 learned, 2 persistent entries VLAN MAC address Type Age Interfaces employee-vlan * Flood - All-members employee-vlan 00:05:85:3A:82:77 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Persistent 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
意味
最初のサンプル出力は、各インターフェイスのMAC制限 が4 の場合、 ge-0/0/2 の5番目のMACアドレスがMAC制限を超えたため学習されなかったことを示しています。2 番目のサンプル出力は、 ge-/0/0/2 上の 3 つのホストの MAC アドレスが、1 秒間に 5 回以上戻されたため、学習されなかったことを示しています。
インターフェイス ge-0/0/1.0 は永続的 MAC 学習に対して有効になっているため、このインターフェイスに関連付けられている MAC アドレスのタイプは 永続的です。
許可されたMACアドレスがスイッチで正しく動作していることの確認
目的
許可されたMACアドレスがスイッチで機能していることを確認します。
アクション
インターフェイス ge-0/0/2で5つの許可されたMACアドレスが設定された後、MACキャッシュ情報を表示します。
user@switch> show ethernet-switching table Ethernet-switching table: 5 entries, 4 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
意味
このインターフェイスのMAC制限値は 4に設定されているため、設定された5つの許可アドレスのうち4つだけが学習されます。