Notas estudo JNCIS-ENT parte 3

Nota: Este Post faz parte do guide de Switching.

BPDU Protection

Edge port – desativa caso receba BPDUs usando a opção drop os BPDUs são descartados continuam a fazer forwarding de tráfego

!Coloca a porta em Blocking state enquanto receber BPDUs
set protocols stp bpdu-block-on-edge

!Permite bloquear BPDUS mesmo o switch não tendo STP configurado
set ethernet-switching-options bpdu-block interface ge-0/0/6.0

!Permite fazer re-enable novamente a porta bloqueada
clear ethernet-switching bpdu-error

!E possível definir um período de tempo para a porta ser activada novamente
[email protected]# set ethernet-switching-options bpdu-block disable-timeout ?
Possible completions:
<disable-timeout>    Disable timeout for BPDU Protect (10..3600 seconds)

Loop Protection

Activar loop protection nas portas non-designated

As portas passam  para a “loop inconsistent” role quando detectam a perda de BPDUs
As portas transitam para o role anterior em que estavam ou um novo quando recebem BPDUs

! Se ocorrer transita para o DIS (Loop-Incon) state, a opção drop permite ainda logging no ficheiro messages
set protocols stp interface ge-0/0/6.0 bpdu-timeout-action drop

A opção alarm não forca a mudança e apenas faz log do evento, e o switch assume a designated port role após max-age timer expires

A porta pode ser configurada para loop ou root protection, mas não ambos.

Root Protection

Se a porta receber um BPDU superior a porta passa e inconsistency state, e permanece ate parar de receber BPDUS superiores. a interface e bloqueada apenas para as instâncias em que recebe BPDUS

Não é possível configurar o Loop e Root Protection nas mesmas interfaces.

set protocols rstp interface all no-root-port

set protocols rstp interface ge0/0/0/6.0 no-root-port

Chapter 4 Port Security

features: MAC limiting, DHCP snooping Dynamic ARP Inspection (DAI), IP Source Guard

MAC Limiting

Limitar o numero de MAC address learned numa porta
Prevenir MAC spoofing configurando estaticamente os MAC address
Monitorizar o movimento do MAC entre switchports numa VLAN

Move Limiting

Se o MAC mover-se entre portas mais do que o permitido durante 1 segundo é tomada a acção configurada
Quando e excedido o numero máximo o switch aplica a acção configurada.

MAC limiting/MAC moving Actions:
SyslogOnly – usar comando log
DropandSyslog (default action) – usar comando drop
Shutdown – usar comando shutdown

E possível fazer override per interface/VLAN, para não realizar qualquer acção usando o comando none

Autorecovery

Reactiva a porta automaticamente, by default esta feature está desativada

set ethernet-switching-options port-error-disable disable-timeout 3600

Caso nao seja especificado o timeout, e necessario faze-los manualmente usando clear ethernet-switching port-error interface

set ethernet-switching-options secure-access-port interface ge-0/0/6 allowed-mac [f0:1f:af:3d:e0:00 74:86:7a:6c:13:59]

set ethernet-switching-options secure-access-port interface ge-0/0/7 mac-limit 2 action log

set ethernet-switching-options secure-access-port interface ge-0/0/8 mac-limit 2 action drop

set ethernet-switching-options secure-access-port interface all mac-limit 1 action shutdown

set ethernet-switching-options secure-access-port vlan default mac-move-limit 1 action shutdown

set ethernet-switching-options secure-access-port vlan all mac-move-limit 1 action none

O junOS da preferência a interface/vlan config como sendo mais especifica caso o interface/vlan all seja configurado

Para limpar um MAC aprendido numa interface usar clear ethernet-switching table persistent-mac

Persistent MAC Learning

Conhecido como MAC sticky

Não e possível usar persistent MAC em portas do tipo trunk,802.1x, no-mac-learning

set ethernet-switching-options secure-access-port interface ge-0/0/6.0 persistent-learning

[email protected]# run show ethernet-switching table
Ethernet-switching table: 7 entries, 0 learned
VLAN              MAC address       Type         Age Interfaces
default           *                 Flood          – All-members
default           00:26:88:02:74:90 Persistent     – ge-0/0/6.0

DHCP Snooping

By default as portas em access mode são unttrusted e os trunks trusted

DHCP Option 82

Usado para identificar o switch/port onde o cliente esta ligado

Esta Option 82 pode ser implementada per VLAN ou em todas as VLANs. Pode ser tambem implementada em L3 (RVI)

A Options 82 contém 3 suboptions:

circuit ID – identifica a interface,VLAN ou ambos Exemplo:ge-0/0/10:vlan1  caso seja usada a opcao prefix e adicionado o hostname do switch Exemplo:switch1:ge-0/0/10:vlan1      também e possível usar a interface description em vez da interface name
remote ID – identifica o host (MAC-Address do switch). Pode ser igualmente:interface description, ou uma string a escolha. Tambem e possível usar uma prefix adicional
vendor ID – identifica o vendor do host. By default e Juniper. E possível especificar um valor

O server deve ser configurado para aceitar a Option 82, caso o switch não receba resposta ao pedido com Option 82 enviado para o server, o switch não faz forwarding dos pacotes DHCP para o cliente, resultando em DHCP failure.

Client: DHCPREQUEST ou DHCPOFFER
Switch : switch snoop e faz update a snooping database
Switch : DHCPDISCOVER ou DHCPREQUEST
Server : DHCPOFFER, DHCPACK, DHCPNAK
Switch : switch snoop e faz update a snooping database
Switch : DHCPOFFER, DHCPACK, ou DHCPNAK

As versoes mais recentes do junOS (nos EX) já não fazem snoop aos pacotes DHCPDISCOVER/DHCPOFFER

!DHCP Snooping numa porta mode Access
set ethernet-switching-options secure-access-port interface ge-0/0/6.0 no-dhcp-trusted
!DHCP Snooping numa porta de um DHCP server (trusted)
set ethernet-switching-options secure-access-port interface ge-0/0/8.0 dhcp-trusted
!DHCP Snooping numa VLAN especifica
set ethernet-switching-options secure-access-port vlan default examine-dhcp

By default a database do DHCP Snooping é volatil, possível guardar a informação localmente/remotamente

{master:0}[edit ethernet-switching-options secure-access-port]
[email protected]#  set dhcp-snooping-file ?
Possible completions:
+ apply-groups         Groups from which to inherit configuration data
+ apply-groups-except  Don’t inherit configuration data from these groups
location             Location of DHCP snooping entries file
timeout              Timeout for remote read and write operations (seconds)
write-interval       Time interval for writing DHCP snooping entries (seconds)

[email protected]# run show dhcp snooping statistics
DHCP Snoop Persistence statistics
Successful Remote Transfers: 0           Failed Remote Transfers: 0
Successful Record Reads    : 0           Failed Record Reads    : 0
Successful Record Writes   : 2           Failed Record Writes   : 0

{master:0}
[email protected]> show dhcp snooping binding
DHCP Snooping Information:
MAC address        IP address        Lease (seconds)  Type     VLAN    Interface
00:26:88:02:74:86  172.28.1.2                  85243 dynamic  default ge-0/0/6.0
00:26:88:02:74:87  172.28.1.3                  85243 dynamic  default ge-0/0/7.0

{master:0}
[email protected]> clear dhcp snooping binding vlan default mac 00:26:88:02:74:87

{master:0}
[email protected]> show dhcp snooping binding
DHCP Snooping Information:
MAC address        IP address        Lease (seconds)  Type     VLAN    Interface
00:26:88:02:74:86  172.28.1.2                  85212 dynamic  default ge-0/0/6.0

Adding Static Entries

!DHCP Snooping numa porta de um DHCP server (trusted)
set ethernet-switching-options secure-access-port interface ge-0/0/9.0 static-ip 172.28.1.4 vlan default mac 00:26:88:02:74:89

!DHCP Snooping numa VLAN especifica
set ethernet-switching-options secure-access-port vlan default examine-dhcp

{master:0}
[email protected]> show dhcp snooping binding
DHCP Snooping Information:
MAC address        IP address        Lease (seconds)  Type     VLAN    Interface
00:26:88:02:74:89  172.28.1.4                  –      static  default ge-0/0/9.0

ARP Spoofing
Dynamic ARP Inspection (DAI)

By default desativada nos EX, apenas é possível fazer per VLAN
Valida os ARP Requests, se o source MAC é valido através da database do DHCP Snooping
Caso não exista nenhuma entrada IP-MAC válida (inexistente ou spoofing) á feito DROP aos pacotes, inclusive aos ARP requests.

Os ARP packets são analisados pelo RE
!O DAI faz bypass as interfaces trusted no DHCP Snooping
set ethernet-switching-options secure-access-port interface ge-0/0/8.0 dhcp-trusted

!Activar DAI
set ethernet-switching-options secure-access-port vlan default examine-dhcp arp-inspection

show arp inspection statistics

[email protected]# run show arp inspection statistics
Interface     Packets received     ARP inspection pass  ARP inspection failed
ge-0/0/0                    0                      0                      0
ge-0/0/1                    0                      0                      0
ge-0/0/2                    0                      0                      0
ge-0/0/3                    0                      0                      0

IP Address Spoofing
IP Source Guard

Determina se o header do pacote contem o IP/MAC correcto segundo a database do DHCP Snooping

!O DAI faz bypass as interfaces trusted no DHCP Snooping
set ethernet-switching-options secure-access-port interface ge-0/0/8.0 dhcp-trusted

!Activar IP Source Guard
set ethernet-switching-options secure-access-port vlan default ip-source-guard examine-dhcp

Caso um device não suporte DHCP é necessário configurar uma entrada static

!DHCP Snooping numa porta de um DHCP server (trusted)
set ethernet-switching-options secure-access-port interface ge-0/0/9.0 static-ip 172.28.1.4 vlan default mac 00:26:88:02:74:89

É possível desativar o IP Source Guard e DAI em VLANs especificas usando no-ip-source-guard e no-examine-dhcp, caso tenha sido configurado by default em todas as VLANs

set ethernet-switching-options secure-access-port vlan all examine-dhcp ip-source-guard
set ethernet-switching-options secure-access-port vlan default no-examine-dhcp no-ip-source-guard

show dhcp snooping binding
show ip-source-guard

Referências:

Notas estudo JNCIS-ENT parte 1

Notas estudo JNCIS-ENT parte 2

2 thoughts on “Notas estudo JNCIS-ENT parte 3

  1. Pingback: Notas estudo JNCIS-ENT parte 6

  2. Pingback: Notas estudo JNCIS-ENT parte 10

Leave a Reply

Your email address will not be published. Required fields are marked *