Habilitação do DHCP Snooping (não-ELS)
A espionagem DHCP permite que o switch monitore e controle mensagens DHCP recebidas de dispositivos não confiáveis conectados ao switch. O switch constrói e mantém um banco de dados de vinculações válidas entre endereços IP e endereços MAC (vinculações IP-MAC) chamados de banco de dados de espionagem DHCP.
Se você configurar o dhcp snooping para todas as VLANs e habilitar um recurso de segurança de porta diferente em um VLAN específico, você também deve habilitar explicitamente o DHCP bisbilhotando essa VLAN. Caso contrário, o valor padrão de nenhuma espionagem DHCP se aplica a essa VLAN.
Habilitando o DHCP Snooping
Você configura a espionagem DHCP por VLAN, não por interface (porta). Por padrão, a espionagem DHCP é desativada para todas as VLANs. Você pode habilitar o DHCP bisbilhotando todas as VLANs ou em VLANs específicas.
Para habilitar a espionagem de DHCP:
Em uma VLAN específica:
[edit ethernet-switching-options secure-access port] user@switch# set vlan vlan-name examine-dhcp
Em todas as VLANs:
[edit ethernet-switching-options secure-access port] user@switch# set vlan all examine-dhcp
Para habilitar a espionagem DHCPv6:
Em uma VLAN específica:
[edit ethernet-switching-options secure-access port] user@switch# set vlan vlan-name examine-dhcpv6
Em todas as VLANs:
[edit ethernet-switching-options secure-access port] user@switch# set vlan all examine-dhcpv6
Por padrão, as ligações IP-MAC são perdidas quando o switch é reiniciado e os clientes DHCP (os dispositivos de rede ou hosts) devem readquirir ligações. No entanto, você pode configurar as ligações para persistir, configurando o switch para armazenar o arquivo de banco de dados local ou remotamente. Veja configuração de ligações persistentes no DHCP ou DHCPv6 (não-ELS).
Para VLANs privadas (PVLANs), habilite o DHCP bisbilhotando a VLAN primária. Se você habilitar o DHCP a bisbilhotar apenas uma VLAN da comunidade, as mensagens DHCP vindas das portas de tronco PVLAN não serão bisbilhotadas.
Aplicar aulas de encaminhamento cos para priorizar pacotes bisbilhotados
Nos switches da Série EX, você pode precisar usar a classe de serviço (CoS) para proteger os pacotes contra aplicativos críticos contra a queda durante períodos de congestionamento e atraso da rede, e também pode precisar configurar os recursos de segurança de porta do DHCP bisbilhotando as portas pelas quais esses pacotes entram ou saem.
Priorizar pacotes bisbilhotados usando aulas de encaminhamento cos não é suportado no switch da Série QFX.
Para aplicar aulas de encaminhamento de CoS e filas para pacotes bisbilhotados:
Verificar se a espionagem do DHCP está funcionando corretamente
Propósito
Verifique se a espionagem de DHCP está funcionando no switch e que o banco de dados de espionagem DHCP está corretamente preenchido com ligações dinâmicas e estáticas.
Ação
Envie algumas solicitações de DHCP de dispositivos de rede (aqui eles são clientes DHCP) conectados ao switch.
Exibir as informações de espionagem DHCP quando a interface em que o servidor DHCP se conecta ao switch é confiável. Os resultados de saída a seguir são quando as solicitações são enviadas dos endereços MAC e o servidor fornece os endereços IP e leasings:
user@switch> show dhcp snooping binding DHCP Snooping Information: MAC address IP address Lease (seconds) Type VLAN Interface 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee ge-0/0/2.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee ge-0/0/2.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee ge-0/0/2.0 00:05:85:27:32:88 192.0.2.22 — static data ge-0/0/4.0
Significado
Quando a interface em que o servidor DHCP se conecta ao switch foi definida como confiável, a saída (ver amostra anterior) mostra, para cada endereço MAC, o endereço IP atribuído e o tempo de locação — ou seja, o tempo, em segundos, permanecendo antes que o leasing expira. Os endereços IP estáticos não têm tempo de locação atribuído. A entrada configurada estaticamente nunca expira.
Se o servidor DHCP tivesse sido configurado como não confiável, nenhuma entrada seria adicionada ao banco de dados de espionagem DHCP e nada seria mostrado na saída do show dhcp snooping binding
comando.