Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Entendendo o DHCP Snooping (ELS)

Nota:

Este tópico inclui informações sobre como habilitar o protocolo de configuração dinâmica de host (DHCP) ao usar o Junos OS para switches da Série EX com suporte para o estilo de configuração do Software de Camada 2 Aprimorado (ELS). Se o seu switch executa o software Junos OS que não oferece suporte ao ELS, consulte Understanding DHCP Snooping (non-ELS). Para obter detalhes do ELS, veja Usando a CLI de software de camada 2 aprimorada.

A espionagem DHCP permite que o dispositivo de comutação, que pode ser um switch ou um roteador, monitore as mensagens DHCP recebidas de dispositivos não confiáveis conectados ao dispositivo de comutação. Quando a espionagem DHCP é habilitada em uma VLAN, o sistema examina as mensagens DHCP enviadas de hosts não confiáveis associados à VLAN e extrai seus endereços IP e informações de locação. Essas informações são usadas para criar e manter o banco de dados de espionagem DHCP. Somente hosts que podem ser verificados usando este banco de dados têm acesso à rede.

DHCP Snooping Basics

O DHCP aloca endereços IP dinamicamente, alugando endereços para dispositivos para que os endereços possam ser reutilizados quando não forem mais necessários pelos dispositivos aos quais foram atribuídos. Hosts e dispositivos finais que exigem endereços IP obtidos por DHCP devem se comunicar com um servidor DHCP em toda a LAN.

A espionagem DHCP atua como guardiã da segurança de rede, mantendo o controle de endereços IP válidos atribuídos a dispositivos de rede downstream por um servidor DHCP confiável (o servidor está conectado a uma porta de rede confiável).

Por padrão, todas as portas de tronco no switch são confiáveis e todas as portas de acesso não são confiáveis para espionagem de DHCP.

A partir do Junos OS Release 18.4R1, o snooping DHCP ocorre em portas confiáveis para os seguintes switches da Série Juniper, EX2300, EX4600 e QFX5K. Antes do Junos OS Release 18.4R1, para esses dispositivos, isso só era verdade para a espionagem DHCPv6. Além disso, a espionagem dhcp ocorre em portas confiáveis para switches da Série EX9200, e Fusion Enterprises, que estão executando o Junos OS Release 19.1R1 e posteriores.

Você pode configurar uma porta de acesso como confiável, ou uma porta de tronco como não confiável, usando a declaração de configuração de substituição com a opção confiável ou não confiável .

Quando a espionagem DHCP é habilitada, as informações de leasing do servidor são usadas para criar a mesa de espionagem DHCP, também conhecida como tabela de vinculação DHCP. A tabela mostra as vinculações de endereço IP-MAC atuais, bem como tempo de locação, tipo de vinculação, nomes de VLANs e interfaces associadas.

As entradas na tabela de espionagem DHCP são atualizadas nos seguintes eventos:

  • Quando um dispositivo de rede libera um endereço IP (envia uma mensagem DHCPRELEASE). Nesse caso, a entrada de mapeamento associada é excluída do banco de dados.

  • Quando você move um dispositivo de rede de uma VLAN para outra. Nesse caso, normalmente o dispositivo precisa adquirir um novo endereço IP. Portanto, sua entrada no banco de dados, incluindo o nome VLAN, é atualizada.

  • Quando o tempo de locação (valor de tempo limite) atribuído pelo servidor DHCP expirar. Nesse caso, a entrada associada é excluída do banco de dados.

  • Quando o dispositivo de rede renova seu leasing enviando uma mensagem DHCPREQUEST unicast e recebendo uma resposta positiva do servidor DHCP. Nesse caso, o tempo de locação é atualizado no banco de dados.

  • Se o dispositivo de rede não conseguir alcançar o servidor DHCP que originalmente concedeu o leasing, ele envia uma mensagem DHCPREQUEST broadcast e rebina para o servidor DHCP que responde. Nesse caso, o cliente recebe um novo endereço IP e a vinculação é atualizada na tabela de espionagem DHCP.

  • A partir do Junos OS Release 14.1X53-D35, se um dispositivo de rede com uma alocação de IP fixa do servidor DHCP for substituído por um novo dispositivo com um endereço MAC diferente, a nova ligação de endereço IP-MAC é armazenada até que o servidor envie uma mensagem DHCPACK; em seguida, a entrada na tabela de espionagem DHCP é atualizada com a vinculação do novo endereço.

Ponta:

Por padrão, as ligações IP-MAC são perdidas quando o switch é reiniciado, e os clientes DHCP (os dispositivos de rede ou hosts) devem readquirir ligações. No entanto, você pode configurar as ligações para persistir, configurando a dhcp-snooping-file declaração para armazenar o arquivo de banco de dados local ou remotamente. Quando você configura e habilita o VLAN dinâmico 802.1x, as entradas de espionagem DHCP também são excluídas. Devido a isso, é recomendável configurar para um servidor DHCP armazenar informações de locação para os clientes e fornecer-lhes um endereço IP previsível mesmo após a reinicialização do cliente (persistência do DHCP).

Você pode configurar o switch para bisbilhotar respostas de servidor DHCP apenas a partir de VLANs específicas. Fazer isso evita spoofing de mensagens de servidor DHCP.

Habilitando o DHCP Snooping

Quando você está usando o recurso de espionagem DHCP, é importante que você entenda sobre como habilitar o recurso de espionagem DHCP.

No dispositivo Junos OS, você não pode configurar o recurso de espionagem DHCP como um recurso independente. Sempre que você configura a segurança DHCP para uma VLAN específica do dispositivo, a espionagem DHCP é automaticamente habilitada naquela VLAN para executar sua tarefa.

Por exemplo:

  • Quando você habilita a segurança DHCP em um VLAN específico, a espionagem DHCP é habilitada automaticamente nesse VLAN.

O Junos OS permite que o DHCP bisbilhota um switch:

  • Quando você configura a seguinte opção para quaisquer recursos de segurança de porta:

    • dhcp-security declaração no nível [edit vlans vlan-name forwarding-options] de hierarquia.

Antes do Junos OS Release 17.1, o Junos OS permitiu que o DHCP bisbilhotasse automaticamente se você configurar qualquer um dos seguintes recursos de segurança de porta dentro [edit vlans vlan-name forwarding-options] hierarquia:

  • Inspeção dinâmica de ARP (DAI)
  • Proteção de origem IP
  • Opção DHCP 82
  • IP estático

A partir do Junos OS Release 17.1R1, você pode configurar o DHCP snooping ou DHCPv6 bisbilhotando uma VLAN sem permitir outros recursos de segurança de porta. Use a declaração de configuração a seguir para permitir a espionagem de DHCP:

[set vlans vlan-name forwarding-options dhcp-security].

Para obter mais informações sobre como habilitar a espionagem DHCP, consulte Configurando a segurança de porta (ELS)
Nota:

Para desativar a espionagem de DHCP, você deve excluir a dhcp-security declaração da configuração. A espionagem DHCP não é desativada automaticamente quando você desativa outros recursos de segurança de porta.

Processo de snooping dhcp

O processo de espionagem do DHCP consiste nas seguintes etapas:

Nota:

Quando a espionagem DHCP é habilitada para uma VLAN, todos os pacotes DHCP enviados de dispositivos de rede em que a VLAN é submetida a espionagem DHCP. A ligação IP-MAC final ocorre quando o servidor DHCP envia um pacote DHCPACK para o cliente DHCP.

  1. O dispositivo de rede envia um pacote DHCPDISCOVER para solicitar um endereço IP.

  2. O switch encaminha o pacote para o servidor DHCP.

  3. O servidor envia um pacote DHCPOFFER para oferecer um endereço. Se o pacote DHCPOFFER for de uma interface confiável, o switch encaminha o pacote para o dispositivo de rede.

  4. O dispositivo de rede envia um pacote DHCPREQUEST para aceitar o endereço IP. O switch adiciona uma ligação de placeholder IP-MAC à tabela de espionagem DHCP. A entrada é considerada um placeholder até que um pacote DHCPACK seja recebido do servidor. Até lá, o endereço IP ainda poderia ser atribuído a algum outro host.

  5. O servidor envia um pacote DHCPACK para atribuir o endereço IP ou um pacote DHCPNAK para negar a solicitação de endereço.

  6. O switch atualiza o banco de dados DHCP de acordo com o tipo de pacote recebido:

    • Se o switch receber um pacote DHCPACK, ele atualiza as informações de locação para as vinculações de endereço IP-MAC em seu banco de dados.

    • Se o switch receber um pacote DHCPNACK, ele apaga o placeholder.

Nota:

O banco de dados DHCP é atualizado somente após o envio do pacote DHCPREQUEST.

Para obter informações gerais sobre as mensagens que o cliente DHCP e o servidor DHCP trocam durante a atribuição de um endereço IP para o cliente, consulte o Guia de configuração básica do sistema Junos OS.

DHCPv6 Snooping

A partir do Junos OS Release 14.1X53-D10, a snooping DHCP é suportada para pacotes IPv6 em switches EX 9200.DHCP snooping também é suportado para pacotes IPv6. O processo de espionagem DHCPv6 é semelhante ao da espionagem DHCP, mas usa nomes diferentes para as mensagens trocadas entre o cliente e o servidor para atribuir endereços IPv6. A Tabela 1 mostra mensagens DHCPv6 e seus equivalentes DHCPv4.

Tabela 1: Mensagens DHCPv6 e mensagens equivalentes DHCPv4

Enviado por

Mensagens DHCPv6

Mensagens equivalentes DHCPv4

Cliente

SOLICITAR

DHCPDISCOVER

Servidor

ANUNCIAR

DHCPOFFER

Cliente

SOLICITAR, RENOVAR, REBINAR

DHCPREQUEST

Servidor

RESPOSTA

DHCPACK/DHCPNAK

Cliente

SOLTAR

DHCPRELEASE

Cliente

SOLICITAÇÃO DE INFORMAÇÕES

DHCPINFORM

Cliente

DECLINAR

DHCPDECLINE

Cliente

CONFIRMAR

nenhum

Servidor

RECONFIGURAR

DHCPFORCERENEW

Cliente

RETRANSMISSÃO, RETRANSMISSÃO-RESPOSTA

nenhum

Confirmação rápida para DHCPv6

A opção DHCPv6 Rapid Commit pode reduzir a troca de mensagens entre o cliente e o servidor. Quando suportada pelo servidor e definida pelo cliente, essa opção reduz a troca de um retransmissão de quatro vias para um aperto de mão de duas mensagens. Para obter mais informações sobre como habilitar a opção de Confirmação Rápida, consulte Configuração do DHCPv6 Rapid Commit (Série MX, Série EX).

Quando a opção De compromisso rápido é habilitada, a troca de mensagens é a seguinte:

  1. O cliente DHCPv6 envia uma mensagem SOLICIT que contém uma solicitação para que a atribuição rápida de endereço, prefixo e outros parâmetros de configuração sejam preferidos.

  2. Se o servidor DHCPv6 suportar atribuição rápida, ele responderá com uma mensagem REPLY, que contém o endereço IPv6 atribuído e prefixo e outros parâmetros de configuração.

Acesso ao servidor DHCP

O acesso de um switch ao servidor DHCP pode ser configurado de três maneiras:

Switch, clientes DHCP e o servidor DHCP estão todos na mesma VLAN

Quando o switch, os clientes DHCP e o servidor DHCP são todos membros da mesma VLAN, o servidor DHCP pode ser conectado ao switch de duas maneiras:

Nota:

Para habilitar o DHCP a bisbilhotar a VLAN, configure a declaração de segurança dhcp na [edit vlans vlan-name forwarding-options] hierarquia.

  • (Veja figura 1.) O servidor está conectado diretamente ao mesmo switch que o conectado aos clientes DHCP (os hosts, ou dispositivos de rede, que estão solicitando endereços IP do servidor). A VLAN é habilitada para espionagem DHCP para proteger as portas de acesso não confiáveis. A porta de tronco é configurada por padrão como uma porta confiável.

  • (Ver Figura 2.) O servidor está conectado a um switch intermediário (Switch 2) que é conectado através de uma porta de tronco ao switch (Switch 1) ao qual os clientes DHCP estão conectados. O switch 2 está sendo usado como um switch de trânsito. A VLAN é habilitada para espionagem DHCP para proteger as portas de acesso não confiáveis do Switch 1. A porta de tronco é configurada por padrão como uma porta confiável. Na Figura 2, ge-0/0/11 é uma porta-tronco confiável.

Figura 1: servidor DHCP conectado diretamente a um switch DHCP Server Connected Directly to a Switch
Figura 2: servidor DHCP conectado diretamente ao switch 2, com switch 2 conectado ao switch 1 por uma porta-tronco DHCP Server Connected Directly to Switch 2, with Switch 2 Connected to Switch 1 Through a Trusted Trunk Port confiável

Switch atua como servidor DHCP

Você pode configurar opções de servidor local DHCP no switch, o que permite que o switch funcione como um servidor local DHCP estendido. Na Figura 3, os clientes DHCP estão conectados ao servidor local DHCP estendido por meio de portas de acesso não confiáveis.

Figura 3: o switch é o servidor Switch Is the DHCP Server DHCP

Switch atua como agente de retransmissão

O switch funciona como um agente de retransmissão quando os clientes DHCP ou o servidor DHCP são conectados ao switch através de uma interface de Camada 3 (em um switch ou roteador). As interfaces de Camada 3 no switch são configuradas como interfaces VLAN roteadas (RVIs) — também chamadas de interfaces integradas de roteamento e ponte (IRB). As interfaces de tronco são confiáveis por padrão.

O switch pode atuar como um agente de retransmissão nesses dois cenários:

  • O servidor DHCP e os clientes estão em VLANs diferentes.

  • O switch está conectado a um roteador que, por sua vez, está conectado ao servidor DHCP. Veja a Figura 4.

Figura 4: Switch atuando como um agente de retransmissão através de um roteador para o servidor Switch Acting as a Relay Agent Through a Router to the DHCP Server DHCP

Adições de endereço IP estático ao banco de dados de espionagem DHCP

Você pode adicionar endereços IP estáticos (fixos) e vinculá-los a endereços MAC fixos no banco de dados de espionagem DHCP. Essas ligações são rotuladas como estáticas no banco de dados, enquanto as ligações que foram adicionadas através do processo de espionagem DHCP são rotuladas como dinâmicas. A atribuição de endereço IPv6 estática também está disponível para DHCPv6. Para obter detalhes da configuração, veja Configuração de endereços IP DHCP estáticos para espionagem DHCP.

Documentação relacionada

Tabela de histórico de mudanças

O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.

Soltar
Descrição
14,1X53-D35
A partir do Junos OS Release 14.1X53-D35, um dispositivo de rede com alocação de IP fixa do servidor DHCP é substituído por um novo dispositivo com um endereço MAC diferente.
14,1X53-D10
A partir do Junos OS Release 14.1X53-D10, o DHCP snooping é compatível com pacotes IPv6 em switches EX 9200.
13,2X51-D20
A partir do Junos OS Release 17.1R1, você pode configurar o DHCP snooping ou DHCPv6 bisbilhotando uma VLAN sem habilitar outros recursos de segurança de porta configurando a dhcp-security declaração de CLI na [edit vlans vlan-name forwarding-options dhcp-security].