Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

了解 DHCP 侦听 (ELS)

注意:

本主题包括有关在为 EX 系列交换机使用 Junos OS 并支持增强型第 2 层软件 (ELS) 配置样式时启用动态主机配置协议 (DHCP) 侦听的信息。如果您的交换机运行的 Junos OS 软件不支持 ELS,请参阅 了解 DHCP 侦听(非 ELS)。有关 ELS 详细信息,请参阅 使用增强型第 2 层软件 CLI

DHCP 侦听使交换设备(可能是交换机或路由器)能够监控从连接到交换设备的不可信设备接收的 DHCP 消息。在 VLAN 上启用 DHCP 侦听后,系统将检查从与 VLAN 关联的不受信任的主机发送的 DHCP 消息,并提取其 IP 地址和租赁信息。此信息用于构建和维护 DHCP 侦听数据库。只有可以使用此数据库进行验证的主机才能访问网络。

DHCP 侦听基础知识

DHCP 动态分配 IP 地址,将地址 租赁 给设备,以便在被分配的设备不再需要地址时可以重复使用这些地址。需要通过 DHCP 获得 IP 地址的主机和终端设备必须与 LAN 上的 DHCP 服务器通信。

DHCP 侦听可跟踪由可信的 DHCP 服务器分配给下游网络设备的有效 IP 地址(服务器连接到可信网络端口),从而充当网络安全的守护者。

默认情况下,交换机上的所有中继端口均为可信端口,并且所有接入端口均不可信以供 DHCP 侦听。

从 Junos OS 18.4R1 版开始,DHCP 侦听发生在以下瞻博网络系列交换机、EX2300、EX4600 和 QFX5K 的可信端口上。对于这些设备,在 Junos OS 18.4R1 版之前,这仅适用于 DHCPv6 侦听。此外,运行 Junos OS 版本 19.1R1 和更高版本的 EX9200 系列交换机和 Fusion Enterprise 的可信端口上还存在 DHCP 侦听。

您可将接入端口配置为可信端口,或将中继端口配置为不可信端口,使用 覆盖 配置语句和 可信 选项或 不可信 选项。

启用 DHCP 侦听后,服务器的租赁信息用于创建 DHCP 侦听表,也称为 DHCP 绑定表。表显示当前 IP-MAC 地址绑定,以及租赁时间、绑定类型、关联 VLAN 和接口名称。

DHCP 侦听表中的条目会在以下事件中更新:

  • 当网络设备发布 IP 地址(发送 DHCPRELEASE 消息)时。在这种情况下,相关映射条目将从数据库中删除。

  • 将网络设备从一个 VLAN 移至另一个 VLAN 时。在这种情况下,设备通常需要获取新的 IP 地址。因此,其在数据库中的条目(包括 VLAN 名称)已更新。

  • 当 DHCP 服务器分配的租赁时间(超时值)到期时。在这种情况下,相关条目将从数据库中删除。

  • 当网络设备通过发送单播 DHCPREQUEST 消息并接收 DHCP 服务器的积极响应来延续其租赁期时。在这种情况下,数据库中将更新租赁时间。

  • 如果网络设备无法到达最初授予租赁权的 DHCP 服务器,则向响应的 DHCP 服务器发送广播 DHCPREQUEST 消息并重新绑定。在这种情况下,客户端将收到新的 IP 地址,并将绑定更新到 DHCP 侦听表中。

  • 从 Junos OS 版本 14.1X53-D35 开始,如果 DHCP 服务器中具有固定 IP 分配的网络设备被具有不同 MAC 地址的新设备取代,则会存储新的 IP-MAC 地址绑定,直至服务器发送 DHCPACK 消息;然后,DHCP 侦听表中的条目更新了新地址绑定。

提示:

默认情况下,重新启动交换机时,IP-MAC 绑定将丢失,并且 DHCP 客户端(网络设备或主机)必须重新要求绑定。但是,您可以将绑定配置为持久,方法是设置 dhcp-snooping-file 语句以在本地或远程存储数据库文件。

您可将交换机配置为仅从特定 VLAN 侦听 DHCP 服务器响应。这样可以防止欺骗 DHCP 服务器消息。

启用 DHCP 侦听

默认交换机配置中未启用 DHCP 侦听。在层级配置任何端口安全功能[edit vlans vlan-name forwarding-options dhcp-security]时,Junos OS 会自动启用 DHCP 侦听。从 Junos OS 17.1R1 版开始,您可以在 VLAN 上配置 DHCP 侦听或 DHCPv6 侦听,而无需在 VLAN 上配置 CLI 语句[edit vlans vlan-name forwarding-options dhcp-security]来启用dhcp-security其他端口安全功能。您启用每个 VLAN 的 DHCP 侦听,而不是每个接口(端口)。有关启用 DHCP 侦听的更多信息,请参阅 配置端口安全 (ELS)

注意:

要禁用 DHCP 侦听,必须从配置中删除语 dhcp-security 句。禁用其他端口安全功能时,DHCP 侦听不会自动禁用。

DHCP 侦听流程

DHCP 侦听过程包含以下步骤:

注意:

为 VLAN 启用 DHCP 侦听后,从该 VLAN 中的网络设备发送的所有 DHCP 数据包都将受到 DHCP 侦听。当 DHCP 服务器将 DHCPACK 数据包发送至 DHCP 客户端时,将进行最终 IP-MAC 绑定。

  1. 网络设备发送 DHCPDISCOVER 数据包以请求 IP 地址。

  2. 交换机将数据包转发至 DHCP 服务器。

  3. 服务器发送 DHCPOFFER 数据包以提供地址。如果 DHCPOFFER 数据包来自可信接口,交换机会将数据包转发至网络设备。

  4. 网络设备发送 DHCPREQUEST 数据包以接受 IP 地址。交换机将 IP-MAC 占位符绑定添加到 DHCP 侦听表中。条目被视为占位符,直至从服务器接收 DHCPACK 数据包。在此之前,IP 地址仍然可以分配给其他一些主机。

  5. 服务器发送 DHCPACK 数据包以分配 IP 地址或 DHCPNAK 数据包以拒绝地址请求。

  6. 交换机会根据收到的数据包类型更新 DHCP 数据库:

    • 如果交换机收到 DHCPACK 数据包,它将更新其数据库中的 IP-MAC 地址绑定的租赁信息。

    • 如果交换机收到 DHCPNACK 数据包,则会删除占位符。

注意:

仅在发送 DHCPREQUEST 数据包之后,DHCP 数据库才会更新。

有关 DHCP 客户端和 DHCP 服务器在为客户端分配 IP 地址期间交换的消息的常规信息,请参阅 Junos OS 系统基础配置指南

DHCPv6 侦听

从 Junos OS 14.1X53-D10 版开始,EX 9200 交换机上的 IPv6 数据包支持 DHCP 侦听。IPv6 数据包也支持 DHCP 侦听。DHCPv6 侦听过程类似于 DHCP 侦听,但使用不同名称在客户端和服务器之间交换的消息分配 IPv6 地址。 表 1 显示 DHCPv6 消息及其 DHCPv4 等效物。

表 1:DHCPv6 消息和 DHCPv4 等效消息

发送人

DHCPv6 消息

DHCPv4 对等消息

客户

征求

DHCP 发现

服务器

做广告

DHCPOFFER

客户

请求、续订、重构

DHC 预备

服务器

答复

DHCPACK/DHCPNAK

客户

释放

DHCPRELEASE

客户

信息请求

DHCPINFORM

客户

下降

DHCPDECLINE

客户

确认

没有

服务器

配置

DHCPFORCERENEW

客户

中继-FORW、中继回复

没有

DHCPv6 快速提交

DHCPv6 快速提交选项可以缩短客户端和服务器之间的消息交换。在服务器支持并由客户端设置时,此选项可将交换从四向中继缩短为两条消息握手。有关启用快速提交选项的详细信息,请参阅 配置 DHCPv6 快速提交(MX 系列、EX 系列)

启用快速提交选项时,消息交换如下:

  1. DHCPv6 客户端发出一条 SOLICIT 消息,其中包含一个请求,即首选快速分配地址、前缀和其他配置参数。

  2. 如果 DHCPv6 服务器支持快速分配,则会使用回复消息进行响应,其中包含分配的 IPv6 地址和前缀以及其他配置参数。

DHCP 服务器访问

交换机对 DHCP 服务器的访问权限可通过三种方式配置:

交换机、DHCP 客户端和 DHCP 服务器都在同一 VLAN 上

当交换机、DHCP 客户端和 DHCP 服务器 都是同一 VLAN 的成员时, DHCP 服务器可通过两种方式之一连接到交换机:

注意:

要在 VLAN 上启用 DHCP 侦听,请在[edit vlans vlan-name forwarding-options]层次结构中配置 dhcp-security 语句。

  • (请参阅 图 1。)服务器直接连接到与连接到 DHCP 客户端(主机或网络设备从服务器请求 IP 地址)的交换机相同的交换机。VLAN 支持 DHCP 侦听,以保护不受信任的访问端口。默认情况下,中继端口配置为可信端口。

  • (请参阅 图 2.)服务器连接到中间交换机 (Switch 2),该交换机通过中继端口连接到 DHCP 客户端连接到的交换机 (Switch 1)。交换机 2 正在用作中转交换机。VLAN 支持 DHCP 侦听,以保护交换机 1 的不可信访问端口。默认情况下,中继端口配置为可信端口。在 图 2 中,ge-0/0/11 是值得信赖的中继端口。

图 1:直接连接到交换机 DHCP Server Connected Directly to a Switch的 DHCP 服务器
图 2:DHCP 服务器直接连接到交换机 2,其中交换机 2 通过可信中继端口连接到交换机 1 DHCP Server Connected Directly to Switch 2, with Switch 2 Connected to Switch 1 Through a Trusted Trunk Port

交换机充当 DHCP 服务器

您可以在交换机上配置 DHCP 本地服务器选项,使交换机可作为扩展 DHCP 本地服务器工作。在 图 3 中,DHCP 客户端通过不受信任的访问端口连接到扩展的 DHCP 本地服务器。

图 3:交换机是 DHCP 服务器 Switch Is the DHCP Server

交换机充当中继代理

当 DHCP 客户端或 DHCP 服务器通过第 3 层接口(交换机或路由器)连接到交换机时,交换机可用作中继代理。交换机上的第 3 层接口配置为路由 VLAN 接口 (RVI),也称为集成路由和桥接 (IRB) 接口。默认情况下,中继接口是值得信赖的。

在这两种情景下,交换机可用作中继代理:

  • DHCP 服务器和客户端处于不同的 VLAN 中。

  • 交换机连接到的路由器又连接到 DHCP 服务器。请参阅 图 4

图 4:通过路由器充当 DHCP 服务器 Switch Acting as a Relay Agent Through a Router to the DHCP Server的中继代理的交换机

DHCP 侦听数据库中添加的静态 IP 地址

您可以添加静态(固定)IP 地址并将其绑定到 DHCP 侦听数据库中的固定 MAC 地址。这些绑定在数据库中标记为静态,而通过 DHCP 侦听过程添加的绑定标记为动态。静态 IPv6 地址分配也可用于 DHCPv6。有关配置详细信息,请参阅 配置用于 DHCP 侦听的静态 DHCP IP 地址

发布历史记录表
释放
描述
14.1X53-D35
从 Junos OS 14.1X53-D35 版开始,具有 DHCP 服务器固定 IP 分配的网络设备被具有不同 MAC 地址的新设备取代。
14.1X53-D10
从 Junos OS 14.1X53-D10 版开始,EX 9200 交换机上的 IPv6 数据包支持 DHCP 侦听。
13.2X51-D20
从 Junos OS 17.1R1 版开始,您可以在 VLAN 上配置 DHCP 侦听或 DHCPv6 侦听,而无需在 VLAN 上配置 CLI 语句 [edit vlans vlan-name forwarding-options dhcp-security]来启用 dhcp-security其他端口安全功能。