воскресенье, 30 июня 2013 г.

Лабораторная работа по Juniper №3. Настройка DHCP-сервера, ip-source-guard, arp-inspection, port-sec


Так как лабораторных работ достаточно много, на ранних лабораторных будет изменяться схема подключения устройств.

Настраиваем DHCP Snooping,IP Source Guard и Dynamic ARP Inspection переходим в раздел ethernet-switching-options secure-access-port для настройки конфигурации
root@edit ethernet-switching-options secure-access-port
включаем DHCP Snooping в VLAN 100 
root@set vlan 100 examine-dhcp
включаем ARP-spoofing в VLAN 100 
root@set vlan 100 arp-inspection
включаем IP Source Guard в VLAN 100 
root@set vlan 100 ip-source-guard
указываем порт ge-0/0/0 (напомню, к нему у нас подключен роутер на котором функционирует DHCP сервер) доверительным для DHCP Snooping
root@set interface ge-0/0/0 dhcp-trusted
подключим к коммутатору PC с статически назначенным IP-адресом и проверим возможность передачи данных.При правильной настройке доступ не должен быть. 

Настраиваем ограничения

Подключим к порту ge-0/0/1 PC.
Переходим в раздел ethernet-switching-options secure-access-port для настройки конфигурации
root@edit ethernet-switching-options secure-access-port
устанавливаем на количество mac адресов на порту (ge-0/0/1) администратора (у нас к порту подключен один компьютер на прямую, значит будет приходить только один mac адрес), в случае превышения ограничения логируем ошибку:
root@set interface ge-0/0/1 mac-limit 1 action log
устанавливаем ограничение на mac адрес (разрешаем mac адрес PC на порту):
root@set interface ge-0/0/1 allowed-mac 00:1h:06:15:D3:CA
подключим PC с другим mac-адресом и заметить отсуствие доступа к сети.

Мониторинг

Проверить статус DHCP Snooping можно командой:

Проследить за работой Dynamic ARP Inspection можно командой:

Проверить статус IP Source Guard можно командой:

Проверить статус MAC-limit и MAC Move Limiting можно командой:


 За основу этой работы была взята работа с блога: http://jnciastepbystep.blogspot.ru/

       

Курс JNCIA и прочие.
Если вам понравился данная лабораторная и вам захотелось поблагодарить:
Яндекс.деньги 410011902537185
ICQ: 402204328
Skype: monaxgtx


Комментариев нет:

Отправить комментарий