Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Entendendo o DHCP Snooping (não-ELS)

Nota:

Esse tópico inclui informações sobre como habilitar o Protocolo dinâmico de configuração de host (DHCP) para switches da Série EX do Junos que não oferecem suporte ao Software de Camada 2 Aprimorada (ELS). Se o seu switch executa uma versão do Junos que oferece suporte ao ELS, consulte Understanding DHCP Snooping (ELS). Para obter detalhes do ELS, veja Usando a CLI de software de camada 2 aprimorada.

A espionagem DHCP permite que o dispositivo de comutação, que pode ser um switch ou um roteador, monitore as mensagens DHCP recebidas de dispositivos não confiáveis conectados ao dispositivo de comutação. Quando a espionagem DHCP é habilitada em uma VLAN, o sistema examina as mensagens DHCP enviadas de hosts não confiáveis associados à VLAN e extrai seus endereços IP e informações de locação. Essas informações são usadas para criar e manter o banco de dados de espionagem DHCP. Somente hosts que podem ser verificados usando este banco de dados têm acesso à rede.

DHCP Snooping Basics

O Protocolo dinâmico de configuração de host (DHCP) aloca endereços IP dinamicamente, alugando endereços para dispositivos para que os endereços possam ser reutilizados quando não for mais necessário. Hosts e dispositivos finais que exigem endereços IP obtidos por DHCP devem se comunicar com um servidor DHCP em toda a LAN.

A espionagem DHCP atua como guardiã da segurança de rede, mantendo o controle de endereços IP válidos atribuídos a dispositivos de rede downstream por um servidor DHCP confiável (o servidor está conectado a uma porta de rede confiável).

Por padrão, todas as portas de tronco no switch são confiáveis e todas as portas de acesso não são confiáveis para espionagem de DHCP.

Quando a espionagem DHCP é habilitada, as informações de leasing do dispositivo de comutação são usadas para criar a mesa de espionagem DHCP, também conhecida como tabela de ligação. A tabela mostra a vinculação IP-MAC, bem como o tempo de locação para o endereço IP, tipo de vinculação, nome VLAN e interface para cada host.

Nota:

A espionagem DHCP é desativada na configuração padrão do dispositivo de comutação. Você deve habilitar explicitamente a espionagem dhcp configurando examine-dhcp no nível de [edit ethernet-switching-options secure-access-port] hierarquia.

As entradas no banco de dados de espionagem DHCP são atualizadas nesses eventos:

  • Quando um cliente DHCP libera um endereço IP (envia uma mensagem DHCPRELEASE). Nesse caso, a entrada de mapeamento associada é excluída do banco de dados.

  • Se você mover um dispositivo de rede de uma VLAN para outra. Nesse caso, normalmente o dispositivo precisa adquirir um novo endereço IP. Portanto, sua entrada no banco de dados, incluindo seu ID VLAN, é atualizada.

  • Quando o tempo de locação (valor de tempo limite) atribuído pelo servidor DHCP expirar. Nesse caso, a entrada associada é excluída do banco de dados.

Ponta:

Por padrão, as ligações IP-MAC são perdidas quando o dispositivo de comutação é reiniciado e os clientes DHCP (os dispositivos de rede ou hosts) devem readquirir ligações. No entanto, você pode configurar as ligações para persistir, configurando a dhcp-snooping-file declaração para armazenar o arquivo de banco de dados local ou remotamente.

Você pode configurar o dispositivo de comutação para bisbilhotar respostas de servidor DHCP apenas de VLANs específicas. Isso evita spoofing de mensagens de servidor DHCP.

Você configura a espionagem DHCP por VLAN, não por interface (porta). A espionagem DHCP é desativada por padrão em dispositivos de comutação.

Processo de snooping dhcp

O processo básico de espionagem de DHCP consiste nas seguintes etapas:

Nota:

Quando a espionagem DHCP é habilitada para uma VLAN, todos os pacotes DHCP enviados dos dispositivos de rede em que a VLAN é submetida a espionagem DHCP. A ligação IP-MAC final ocorre quando o servidor DHCP envia DHCPACK para o cliente DHCP.

  1. O dispositivo de rede envia um pacote DHCPDISCOVER para solicitar um endereço IP.

  2. O dispositivo de comutação encaminha o pacote para o servidor DHCP.

  3. O servidor envia um pacote DHCPOFFER para oferecer um endereço. Se o pacote DHCPOFFER for de uma interface confiável, o dispositivo de comutação encaminha o pacote para o cliente DHCP.

  4. O dispositivo de rede envia um pacote DHCPREQUEST para aceitar o endereço IP. O dispositivo de comutação adiciona uma vinculação de placeholder IP-MAC ao banco de dados. A entrada é considerada um placeholder até que um pacote DHCPACK seja recebido do servidor. Até lá, o endereço IP ainda poderia ser atribuído a algum outro host.

  5. O servidor envia um pacote DHCPACK para atribuir o endereço IP ou um pacote DHCPNAK para negar a solicitação de endereço.

  6. O dispositivo de comutação atualiza o banco de dados de espionagem DHCP de acordo com o tipo de pacote recebido:

    • Se o dispositivo de comutação receber um pacote DHCPACK, ele atualiza as informações de locação para as ligações IP-MAC em seu banco de dados.

    • Se o dispositivo de comutação receber um pacote DHCPNACK, ele apaga o placeholder.

Nota:

O banco de dados de espionagem DHCP é atualizado somente após o envio do pacote DHCPREQUEST.

Para obter informações gerais sobre as mensagens que o cliente DHCP e o servidor DHCP trocam durante a atribuição de um endereço IP para o cliente, consulte a Biblioteca de Administração do Junos OS.

DHCPv6 Snooping

A espionagem DHCPv6 é o equivalente a espionagem DHCP para IPv6. O processo de espionagem DHCPv6 é semelhante ao da espionagem DHCP, mas usa nomes diferentes para as mensagens trocadas entre o cliente e o servidor para atribuir endereços IPv6. A Tabela 1 mostra mensagens DHCPv6 e seus equivalentes DHCP.

Tabela 1: Mensagens DHCPv6 e mensagens DHCPv4 equivalentes

Enviado por

Mensagens DHCPv6

Mensagens DHCP equivalentes

Cliente

SOLICITAR

DHCPDISCOVER

Servidor

ANUNCIAR

DHCPOFFER

Cliente

SOLICITAR, RENOVAR, REBINAR

DHCPREQUEST

Servidor

RESPOSTA

DHCPACK/DHCPNAK

Cliente

SOLTAR

DHCPRELEASE

Cliente

SOLICITAÇÃO DE INFORMAÇÕES

DHCPINFORM

Cliente

DECLINAR

DHCPDECLINE

Cliente

CONFIRMAR

nenhum

Servidor

RECONFIGURAR

DHCPFORCERENEW

Cliente

RETRANSMISSÃO, RETRANSMISSÃO-RESPOSTA

nenhum

Confirmação rápida para DHCPv6

O DHCPv6 oferece uma opção de Confirmação Rápida (DHCPv6 opção 14), que, quando suportada pelo servidor e definida pelo cliente, reduz a troca de um retransmissão de quatro vias para um aperto de mão de duas mensagens. Para obter mais informações sobre como habilitar a opção de Confirmação Rápida, consulte Configuração do DHCPv6 Rapid Commit (Série MX, Série EX).

No processo de confirmação rápida:

  1. O cliente DHCPv6 envia uma mensagem SOLICIT que contém uma solicitação para que a atribuição rápida de endereço, prefixo e outros parâmetros de configuração sejam preferidos.

  2. Se o servidor DHCPv6 suportar atribuição rápida, ele responderá com uma mensagem REPLY, que contém o endereço IPv6 atribuído e prefixo e outros parâmetros de configuração.

Acesso ao servidor DHCP

Você pode configurar o acesso de um dispositivo de comutação ao servidor DHCP de três maneiras:

Dispositivo de comutação, clientes DHCP e servidor DHCP estão todos na mesma VLAN

Quando o dispositivo de comutação, os clientes DHCP e o servidor DHCP são todos membros da mesma VLAN, o servidor DHCP pode ser conectado ao dispositivo de comutação de duas maneiras:

  • O servidor está diretamente conectado ao mesmo dispositivo de comutação que o conectado aos clientes DHCP (os hosts, ou dispositivos de rede, que estão solicitando endereços IP do servidor). A VLAN é habilitada para espionagem DHCP para proteger as portas de acesso não confiáveis. A porta de tronco é configurada por padrão como uma porta confiável. Veja a Figura 1.

  • O servidor está conectado a um dispositivo de comutação intermediário (Dispositivo de comutação 2). Os clientes DHCP estão conectados ao dispositivo de comutação 1, que é conectado através de uma porta de tronco ao Dispositivo de comutação 2. O dispositivo de comutação 2 está sendo usado como um dispositivo de trânsito. A VLAN é habilitada para espionagem DHCP para proteger as portas de acesso não confiáveis. A porta de tronco é configurada por padrão como uma porta confiável. Como mostrado na Figura 2, ge-0/0/11 é uma porta-tronco confiável.

Figura 1: servidor DHCP conectado diretamente a um dispositivo DHCP Server Connected Directly to a Switching Device de comutação
Figura 2: servidor DHCP conectado diretamente ao dispositivo de comutação 2, com o dispositivo de comutação 2 conectado ao dispositivo de comutação 1 por uma porta DHCP Server Connected Directly to Switching Device 2, with Switching Device 2 Connected to Switching Device 1 Through a Trusted Trunk Port tronco confiável

Dispositivo de comutação atua como servidor DHCP

Nota:

O dispositivo de comutação que funciona como um servidor DHCP não é suportado na Série QFX.

O dispositivo de comutação em si está configurado como um servidor DHCP; isso é conhecido como uma configuração local. Veja a Figura 3.

Figura 3: dispositivo de comutação é o servidor Switching Device Is the DHCP Server DHCP

Dispositivo de comutação atua como agente de retransmissão

O dispositivo de comutação funciona como um agente de retransmissão quando os clientes DHCP ou o servidor DHCP são conectados ao dispositivo através de uma interface de Camada 3. As interfaces de Camada 3 no dispositivo de comutação são configuradas como interfaces VLAN roteadas (RVIs), que também são conhecidas como interfaces integradas de roteamento e ponte (IRB). As interfaces de tronco são confiáveis por padrão.

Esses dois cenários ilustram o dispositivo de comutação atuando como um agente de retransmissão:

  • O servidor DHCP e os clientes estão em VLANs diferentes.

  • O dispositivo de comutação está conectado a um roteador que por sua vez está conectado ao servidor DHCP. Veja a Figura 4.

Figura 4: Dispositivo de comutação atuando como agente de retransmissão por roteador para servidor Switching Device Acting as Relay Agent Through Router to DHCP Server DHCP

Adições de endereço IP estático ao banco de dados de espionagem DHCP

Você pode adicionar endereços IP estáticos específicos ao banco de dados, bem como ter os endereços atribuídos dinamicamente por meio de espionagem DHCP. Para adicionar endereços IP estáticos, você fornece o endereço IP, o endereço MAC do dispositivo, a interface em que o dispositivo está conectado e a VLAN com a qual a interface está associada. Nenhum tempo de locação é atribuído à entrada. A entrada configurada estaticamente nunca expira.

Bisbilhotando pacotes DHCP que têm endereços IP inválidos

Se você habilitar o DHCP a bisbilhotar uma VLAN e, em seguida, dispositivos nessa VLAN enviar pacotes DHCP que solicitam endereços IP inválidos, esses endereços IP inválidos são armazenados no banco de dados de espionagem DHCP até que eles sejam excluídos quando seu tempo limite padrão é alcançado. Para eliminar esse consumo desnecessário de espaço no banco de dados de espionagem DHCP, o dispositivo de comutação derruba os pacotes DCHP que solicitam endereços IP inválidos, impedindo a espionagem desses pacotes. Os endereços IP inválidos são:

  • 0.0.0.0

  • 128.0.x.x

  • 191.255.x.x

  • 192.0.0.x

  • 223.255.255.x

  • 224.x.x.x

  • 240.x.x.x a 255.255.255.255.255

Priorizando pacotes snooped

Nota:

Priorizar pacotes bisbilhotados não é suportado na Série QFX e no switch EX4600.

Você pode usar aulas e filas de encaminhamento de classe de serviço (CoS) para priorizar pacotes de espionagem DHCP para uma VLAN especificada. Esse tipo de configuração coloca os pacotes bisbilhotados de DHCP para essa VLAN em uma fila de saída especificada, para que o procedimento de segurança não interfira na transmissão de tráfego de alta prioridade.