Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Habilitação do DHCP Snooping (não-ELS)

A espionagem DHCP permite que o switch monitore e controle mensagens DHCP recebidas de dispositivos não confiáveis conectados ao switch. O switch constrói e mantém um banco de dados de vinculações válidas entre endereços IP e endereços MAC (vinculações IP-MAC) chamados de banco de dados de espionagem DHCP.

Nota:

Se você configurar o dhcp snooping para todas as VLANs e habilitar um recurso de segurança de porta diferente em um VLAN específico, você também deve habilitar explicitamente o DHCP bisbilhotando essa VLAN. Caso contrário, o valor padrão de nenhuma espionagem DHCP se aplica a essa VLAN.

Habilitando o DHCP Snooping

Você configura a espionagem DHCP por VLAN, não por interface (porta). Por padrão, a espionagem DHCP é desativada para todas as VLANs. Você pode habilitar o DHCP bisbilhotando todas as VLANs ou em VLANs específicas.

Para habilitar a espionagem de DHCP:

  • Em uma VLAN específica:

  • Em todas as VLANs:

Para habilitar a espionagem DHCPv6:

  • Em uma VLAN específica:

  • Em todas as VLANs:

Ponta:

Por padrão, as ligações IP-MAC são perdidas quando o switch é reiniciado e os clientes DHCP (os dispositivos de rede ou hosts) devem readquirir ligações. No entanto, você pode configurar as ligações para persistir, configurando o switch para armazenar o arquivo de banco de dados local ou remotamente. Veja configuração de ligações persistentes no DHCP ou DHCPv6 (não-ELS).

Ponta:

Para VLANs privadas (PVLANs), habilite o DHCP bisbilhotando a VLAN primária. Se você habilitar o DHCP a bisbilhotar apenas uma VLAN da comunidade, as mensagens DHCP vindas das portas de tronco PVLAN não serão bisbilhotadas.

Aplicar aulas de encaminhamento cos para priorizar pacotes bisbilhotados

Nos switches da Série EX, você pode precisar usar a classe de serviço (CoS) para proteger os pacotes contra aplicativos críticos contra a queda durante períodos de congestionamento e atraso da rede, e também pode precisar configurar os recursos de segurança de porta do DHCP bisbilhotando as portas pelas quais esses pacotes entram ou saem.

Nota:

Priorizar pacotes bisbilhotados usando aulas de encaminhamento cos não é suportado no switch da Série QFX.

Para aplicar aulas de encaminhamento de CoS e filas para pacotes bisbilhotados:

  1. Crie uma aula de encaminhamento definida pelo usuário para ser usada para priorizar pacotes bisbilhoteiros:
  2. Habilite o DHCP bisbilhotando uma VLAN específica ou em todas as VLANs e aplique a classe de encaminhamento necessária nos pacotes bisbilhotados:
    • Em uma VLAN específica:

    • Em todas as VLANs:

    Nota:

    examine-dhcpv6 Substitua examine-dhcp para habilitar a espionagem DHCPv6.

Verificar se a espionagem do DHCP está funcionando corretamente

Propósito

Verifique se a espionagem de DHCP está funcionando no switch e que o banco de dados de espionagem DHCP está corretamente preenchido com ligações dinâmicas e estáticas.

Ação

Envie algumas solicitações de DHCP de dispositivos de rede (aqui eles são clientes DHCP) conectados ao switch.

Exibir as informações de espionagem DHCP quando a interface em que o servidor DHCP se conecta ao switch é confiável. Os resultados de saída a seguir são quando as solicitações são enviadas dos endereços MAC e o servidor fornece os endereços IP e leasings:

Significado

Quando a interface em que o servidor DHCP se conecta ao switch foi definida como confiável, a saída (ver amostra anterior) mostra, para cada endereço MAC, o endereço IP atribuído e o tempo de locação — ou seja, o tempo, em segundos, permanecendo antes que o leasing expira. Os endereços IP estáticos não têm tempo de locação atribuído. A entrada configurada estaticamente nunca expira.

Se o servidor DHCP tivesse sido configurado como não confiável, nenhuma entrada seria adicionada ao banco de dados de espionagem DHCP e nada seria mostrado na saída do show dhcp snooping binding comando.