Лабораторная работа №3 - Конфигурирование Port security на свичах Juniper

Третья лабораторная работа будет посвещена настройке Port security на коммутаторах Juniper. К сожалению запустить JunOS также в эмуляторе qemu не удалось, поэтому лабораторная работа выполнялась на живом железе Juniper EX3300. Если у вас нет доступа к оборудованию, то эта лабораторная будет носить пока только ознакомительный характер (я всетаки попытаюсь еще раз запустить JunOS EX серии в qemu).

Топология сети и базовая настройка

Производим базовую конфигурацию для нашей лабораторной работы Создаем VLANы необходимые для выполнения лабораторной работы.

set vlans Admin-access vlan-id 400 description "Adminitration access to router"
set vlans Clients vlan-id 402 description "Clients network" 

в результате конфигурация примет вид:

vponomarjov@TEST-EX# show vlans 
Admin-access {
    description "Adminitration access to router";
    vlan-id 400;
}
Clients {
    description "Clients network";
    vlan-id 402;
}

конфигурируем VLANы на порта свича Порт ge-0/0/0 к которому у нас подключен роутер:

edit interfaces ge-0/0/0 unit 0
set description "TRUNK_to_Router"
edit family ethernet-switching
set port-mode trunk
set vlan members [400 402]

Порт ge-0/0/1 к которому подключается компьютер системного администратора:

edit interfaces ge-0/0/1 unit 0
set description "Administrator"
edit family ethernet-switching
set port-mode access
set vlan members 402

Порты клиентов:

set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode access
set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members 400
set interfaces ge-0/0/12 unit 0 family ethernet-switching port-mode access
set interfaces ge-0/0/12 unit 0 family ethernet-switching vlan members 400
set interfaces ge-0/0/13 unit 0 family ethernet-switching port-mode access
set interfaces ge-0/0/13 unit 0 family ethernet-switching vlan members 400

Настройка защиты

Настраиваем DHCP Snooping, IP Source Guard и Dynamic ARP Inspection переходим в раздел ethernet-switching-options secure-access-port для настройки конфигурации

edit ethernet-switching-options secure-access-port

включаем DHCP Snooping в VLAN "Clients" (в конфигурации также можно указывать VLAN id)

set vlan Clients examine-dhcp

включаем ARP-spoofing в VLAN "Clients" (в конфигурации также можно указывать VLAN id)

set vlan Clients arp-inspection

включаем IP Source Guard в VLAN "Clients" (в конфигурации также можно указывать VLAN id)

set vlan Clients ip-source-guard

указываем порт ge-0/0/0 (напомню, к нему у нас подключен роутер на котором функционирует DHCP сервер) доверительным для DHCP Snooping

set interface ge-0/0/0 dhcp-trusted

Настраиваем ограничения 

Переходим в раздел ethernet-switching-options secure-access-port для настройки конфигурации

edit ethernet-switching-options secure-access-port

устанавливаем на количество mac адресов на порту (ge-0/0/1) администратора (у нас к порту подключен один компьютер на прямую, значит будет приходить только один mac адрес), в случае превышения ограничения логируем ошибку:

set interface ge-0/0/1 mac-limit 1 action log

устанавливаем ограничение на mac адрес (разрешаем mac адрес администратора на порту):

set interface ge-0/0/1 allowed-mac 00:1f:16:05:03:62

К порту ge-0/0/13 нашего коммутатора подключен хаб и к нему подключены два компьютера (Host3 и Host4), установим ограничения на порту для mac адресов этих компьютеров:

set interface ge-0/0/13 allowed-mac [8c:89:a5:d9:e1:a3 8c:89:a5:d9:e1:a4]

Установим ограничения на mac адреса для портов ge-0/0/11 и ge-0/0/12 в соответствии с подключенными к ним компьютерами:

set interface ge-0/0/11 allowed-mac 8c:89:a5:d9:e1:a1
set interface ge-0/0/12 allowed-mac 8c:89:a5:d9:e1:a2

Мониторинг 

Проверить статус DHCP Snooping можно командой:

show dhcp snooping binding

Проследить за работой Dynamic ARP Inspection можно командой:

show arp inspection statistics

Проверить статус IP Source Guard можно командой:

show ip-source-guard

Проверить статус MAC-limit и MAC Move Limiting можно командой:

show ethernet-switching table