Nota: Este Post faz parte do guide de Switching.
BPDU Protection
Edge port – desativa caso receba BPDUs usando a opção drop os BPDUs são descartados continuam a fazer forwarding de tráfego
!Coloca a porta em Blocking state enquanto receber BPDUs
set protocols stp bpdu-block-on-edge
!Permite bloquear BPDUS mesmo o switch não tendo STP configurado
set ethernet-switching-options bpdu-block interface ge-0/0/6.0
!Permite fazer re-enable novamente a porta bloqueada
clear ethernet-switching bpdu-error
!E possível definir um período de tempo para a porta ser activada novamente
user@Switch-2# set ethernet-switching-options bpdu-block disable-timeout ?
Possible completions:
<disable-timeout> Disable timeout for BPDU Protect (10..3600 seconds)
Loop Protection
Activar loop protection nas portas non-designated
As portas passam para a “loop inconsistent” role quando detectam a perda de BPDUs
As portas transitam para o role anterior em que estavam ou um novo quando recebem BPDUs
! Se ocorrer transita para o DIS (Loop-Incon) state, a opção drop permite ainda logging no ficheiro messages
set protocols stp interface ge-0/0/6.0 bpdu-timeout-action drop
A opção alarm não forca a mudança e apenas faz log do evento, e o switch assume a designated port role após max-age timer expires
A porta pode ser configurada para loop ou root protection, mas não ambos.
Root Protection
Se a porta receber um BPDU superior a porta passa e inconsistency state, e permanece ate parar de receber BPDUS superiores. a interface e bloqueada apenas para as instâncias em que recebe BPDUS
Não é possível configurar o Loop e Root Protection nas mesmas interfaces.
set protocols rstp interface all no-root-port
set protocols rstp interface ge0/0/0/6.0 no-root-port
Chapter 4 Port Security
features: MAC limiting, DHCP snooping Dynamic ARP Inspection (DAI), IP Source Guard
MAC Limiting
Limitar o numero de MAC address learned numa porta
Prevenir MAC spoofing configurando estaticamente os MAC address
Monitorizar o movimento do MAC entre switchports numa VLAN
Move Limiting
Se o MAC mover-se entre portas mais do que o permitido durante 1 segundo é tomada a acção configurada
Quando e excedido o numero máximo o switch aplica a acção configurada.
MAC limiting/MAC moving Actions:
SyslogOnly – usar comando log
DropandSyslog (default action) – usar comando drop
Shutdown – usar comando shutdown
E possível fazer override per interface/VLAN, para não realizar qualquer acção usando o comando none
Autorecovery
Reactiva a porta automaticamente, by default esta feature está desativada
set ethernet-switching-options port-error-disable disable-timeout 3600
Caso nao seja especificado o timeout, e necessario faze-los manualmente usando clear ethernet-switching port-error interface
set ethernet-switching-options secure-access-port interface ge-0/0/6 allowed-mac [f0:1f:af:3d:e0:00 74:86:7a:6c:13:59]
set ethernet-switching-options secure-access-port interface ge-0/0/7 mac-limit 2 action log
set ethernet-switching-options secure-access-port interface ge-0/0/8 mac-limit 2 action drop
set ethernet-switching-options secure-access-port interface all mac-limit 1 action shutdown
set ethernet-switching-options secure-access-port vlan default mac-move-limit 1 action shutdown
set ethernet-switching-options secure-access-port vlan all mac-move-limit 1 action none
O junOS da preferência a interface/vlan config como sendo mais especifica caso o interface/vlan all seja configurado
Para limpar um MAC aprendido numa interface usar clear ethernet-switching table persistent-mac
Persistent MAC Learning
Conhecido como MAC sticky
Não e possível usar persistent MAC em portas do tipo trunk,802.1x, no-mac-learning
set ethernet-switching-options secure-access-port interface ge-0/0/6.0 persistent-learning
lab@Switch-1# run show ethernet-switching table
Ethernet-switching table: 7 entries, 0 learned
VLAN MAC address Type Age Interfaces
default * Flood – All-members
default 00:26:88:02:74:90 Persistent – ge-0/0/6.0
DHCP Snooping
By default as portas em access mode são unttrusted e os trunks trusted
DHCP Option 82
Usado para identificar o switch/port onde o cliente esta ligado
Esta Option 82 pode ser implementada per VLAN ou em todas as VLANs. Pode ser tambem implementada em L3 (RVI)
A Options 82 contém 3 suboptions:
circuit ID – identifica a interface,VLAN ou ambos Exemplo:ge-0/0/10:vlan1 caso seja usada a opcao prefix e adicionado o hostname do switch Exemplo:switch1:ge-0/0/10:vlan1 também e possível usar a interface description em vez da interface name
remote ID – identifica o host (MAC-Address do switch). Pode ser igualmente:interface description, ou uma string a escolha. Tambem e possível usar uma prefix adicional
vendor ID – identifica o vendor do host. By default e Juniper. E possível especificar um valor
O server deve ser configurado para aceitar a Option 82, caso o switch não receba resposta ao pedido com Option 82 enviado para o server, o switch não faz forwarding dos pacotes DHCP para o cliente, resultando em DHCP failure.
Client: DHCPREQUEST ou DHCPOFFER
Switch : switch snoop e faz update a snooping database
Switch : DHCPDISCOVER ou DHCPREQUEST
Server : DHCPOFFER, DHCPACK, DHCPNAK
Switch : switch snoop e faz update a snooping database
Switch : DHCPOFFER, DHCPACK, ou DHCPNAK
As versoes mais recentes do junOS (nos EX) já não fazem snoop aos pacotes DHCPDISCOVER/DHCPOFFER
!DHCP Snooping numa porta mode Access
set ethernet-switching-options secure-access-port interface ge-0/0/6.0 no-dhcp-trusted
!DHCP Snooping numa porta de um DHCP server (trusted)
set ethernet-switching-options secure-access-port interface ge-0/0/8.0 dhcp-trusted
!DHCP Snooping numa VLAN especifica
set ethernet-switching-options secure-access-port vlan default examine-dhcp
By default a database do DHCP Snooping é volatil, possível guardar a informação localmente/remotamente
{master:0}[edit ethernet-switching-options secure-access-port]
user@Switch-1# set dhcp-snooping-file ?
Possible completions:
+ apply-groups Groups from which to inherit configuration data
+ apply-groups-except Don’t inherit configuration data from these groups
location Location of DHCP snooping entries file
timeout Timeout for remote read and write operations (seconds)
write-interval Time interval for writing DHCP snooping entries (seconds)
user@Switch-1# run show dhcp snooping statistics
DHCP Snoop Persistence statistics
Successful Remote Transfers: 0 Failed Remote Transfers: 0
Successful Record Reads : 0 Failed Record Reads : 0
Successful Record Writes : 2 Failed Record Writes : 0
{master:0}
user@Switch-1> show dhcp snooping binding
DHCP Snooping Information:
MAC address IP address Lease (seconds) Type VLAN Interface
00:26:88:02:74:86 172.28.1.2 85243 dynamic default ge-0/0/6.0
00:26:88:02:74:87 172.28.1.3 85243 dynamic default ge-0/0/7.0
{master:0}
user@Switch-1> clear dhcp snooping binding vlan default mac 00:26:88:02:74:87
{master:0}
user@Switch-1> show dhcp snooping binding
DHCP Snooping Information:
MAC address IP address Lease (seconds) Type VLAN Interface
00:26:88:02:74:86 172.28.1.2 85212 dynamic default ge-0/0/6.0
Adding Static Entries
!DHCP Snooping numa porta de um DHCP server (trusted)
set ethernet-switching-options secure-access-port interface ge-0/0/9.0 static-ip 172.28.1.4 vlan default mac 00:26:88:02:74:89
!DHCP Snooping numa VLAN especifica
set ethernet-switching-options secure-access-port vlan default examine-dhcp
{master:0}
user@Switch-1> show dhcp snooping binding
DHCP Snooping Information:
MAC address IP address Lease (seconds) Type VLAN Interface
00:26:88:02:74:89 172.28.1.4 – static default ge-0/0/9.0
ARP Spoofing
Dynamic ARP Inspection (DAI)
By default desativada nos EX, apenas é possível fazer per VLAN
Valida os ARP Requests, se o source MAC é valido através da database do DHCP Snooping
Caso não exista nenhuma entrada IP-MAC válida (inexistente ou spoofing) á feito DROP aos pacotes, inclusive aos ARP requests.
Os ARP packets são analisados pelo RE
!O DAI faz bypass as interfaces trusted no DHCP Snooping
set ethernet-switching-options secure-access-port interface ge-0/0/8.0 dhcp-trusted
!Activar DAI
set ethernet-switching-options secure-access-port vlan default examine-dhcp arp-inspection
show arp inspection statistics
lab@exA-1# run show arp inspection statistics
Interface Packets received ARP inspection pass ARP inspection failed
ge-0/0/0 0 0 0
ge-0/0/1 0 0 0
ge-0/0/2 0 0 0
ge-0/0/3 0 0 0
IP Address Spoofing
IP Source Guard
Determina se o header do pacote contem o IP/MAC correcto segundo a database do DHCP Snooping
!O DAI faz bypass as interfaces trusted no DHCP Snooping
set ethernet-switching-options secure-access-port interface ge-0/0/8.0 dhcp-trusted
!Activar IP Source Guard
set ethernet-switching-options secure-access-port vlan default ip-source-guard examine-dhcp
Caso um device não suporte DHCP é necessário configurar uma entrada static
!DHCP Snooping numa porta de um DHCP server (trusted)
set ethernet-switching-options secure-access-port interface ge-0/0/9.0 static-ip 172.28.1.4 vlan default mac 00:26:88:02:74:89
É possível desativar o IP Source Guard e DAI em VLANs especificas usando no-ip-source-guard e no-examine-dhcp, caso tenha sido configurado by default em todas as VLANs
set ethernet-switching-options secure-access-port vlan all examine-dhcp ip-source-guard
set ethernet-switching-options secure-access-port vlan default no-examine-dhcp no-ip-source-guard
show dhcp snooping binding
show ip-source-guard
Referências:
2 thoughts on “Notas estudo JNCIS-ENT parte 3”