了解 DHCP 侦听(非 ELS)
本主题包含有关为不支持增强型第 2 层软件 (ELS) 的 Junos EX 系列交换机启用动态主机配置协议 (DHCP) 侦听的信息。如果交换机运行的 Junos 版本支持 ELS,请参阅 了解 DHCP 侦听 (ELS)。有关 ELS 的详细信息,请参阅 使用增强型第 2 层软件 CLI。
通过 DHCP 侦听,交换设备(可以是交换机或路由器)可以监控从连接到交换设备的不受信任设备接收的 DHCP 消息。在 VLAN 上启用 DHCP 侦听后,系统将检查与 VLAN 关联的不受信任主机发送的 DHCP 消息,并提取其 IP 地址和租用信息。此信息用于构建和维护 DHCP 侦听数据库。只有可以使用此数据库进行验证的主机才允许访问网络。
DHCP 侦听基础知识
动态主机配置协议 (DHCP) 动态分配 IP 地址,将地址 出租 给设备,以便在不再需要时可以重复使用地址。需要通过 DHCP 获取 IP 地址的主机和终端设备必须通过 LAN 与 DHCP 服务器进行通信。
DHCP 侦听通过跟踪受信任的 DHCP 服务器(服务器连接到受信任的网络端口)分配给下游网络设备的有效 IP 地址,充当网络安全的守护者。
默认情况下,交换机上的所有中继端口都是可信的,而所有访问端口都是不受信任的,以便进行 DHCP 侦听。
启用 DHCP 侦听后,交换设备的租用信息用于创建 DHCP 侦听表,也称为绑定表。下表显示了 IP-MAC 绑定,以及每个主机的 IP 地址租用时间、绑定类型、VLAN 名称和接口。
在交换设备的默认配置中,DHCP 侦听处于禁用状态。您必须通过在[edit ethernet-switching-options secure-access-port]层次结构级别进行设置examine-dhcp来显式启用 DHCP 侦听。
DHCP 侦听数据库中的条目将在以下事件中更新:
-
当 DHCP 客户端释放 IP 地址(发送 DHCPRELEASE 消息)时。在这种情况下,关联的映射条目将从数据库中删除。
-
如果将网络设备从一个 VLAN 移动到另一个 VLAN。在这种情况下,设备通常需要获取新的 IP 地址。因此,将更新它在数据库中的条目,包括其 VLAN ID。
-
当 DHCP 服务器分配的租用时间(超时值)到期时。在这种情况下,关联的条目将从数据库中删除。
默认情况下,当交换设备重新启动时,IP-MAC 绑定将丢失,DHCP 客户端(网络设备或主机)必须重新获取绑定。但是,可以通过将语句设置为 dhcp-snooping-file 在本地或远程存储数据库文件,将绑定配置为持久化。
您可以将交换设备配置为仅侦听来自特定 VLAN 的 DHCP 服务器响应。这样可以防止 DHCP 服务器消息欺骗。
您可以按 VLAN 而不是每个接口(端口)配置 DHCP 侦听。默认情况下,交换设备上的 DHCP 侦听处于禁用状态。
DHCP 侦听进程
DHCP 侦听的基本过程包括以下步骤:
为 VLAN 启用 DHCP 侦听后,从该 VLAN 中的网络设备发送的所有 DHCP 数据包都将受到 DHCP 侦听的影响。当 DHCP 服务器将 DHCPACK 发送到 DHCP 客户端时,将发生最终的 IP-MAC 绑定。
-
网络设备发送 DHCPDISCOVER 数据包以请求 IP 地址。
-
交换设备将数据包转发至 DHCP 服务器。
-
服务器发送 DHCPOFFER 数据包以提供地址。如果 DHCPOFFER 数据包来自可信接换设备会将该数据包转发至 DHCP 客户端。
-
网络设备发送 DHCPREQUEST 数据包以接受 IP 地址。交换设备将 IP-MAC 占位符绑定添加到数据库。在从服务器收到 DHCPACK 数据包之前,该条目被视为占位符。在此之前,仍可将 IP 地址分配给其他主机。
-
服务器发送 DHCPACK 数据包以分配 IP 地址,或发送 DHCPNAK 数据包以拒绝地址请求。
-
交换设备根据接收的数据包类型更新 DHCP 侦听数据库:
-
如果交换设备收到 DHCPACK 数据包,它将更新其数据库中 IP-MAC 绑定的租用信息。
-
如果交换设备收到 DHCPNACK 数据包,则会删除占位符。
-
只有在发送 DHCPREQUEST 数据包后,才会更新 DHCP 侦听数据库。
有关 DHCP 客户端和 DHCP 服务器在为客户端分配 IP 地址期间交换消息的常规信息,请参阅 Junos OS 管理库。
DHCPv6 侦听
DHCPv6 侦听相当于 IPv6 的 DHCP 侦听。DHCPv6 侦听的过程与 DHCP 侦听过程类似,但对客户端和服务器之间交换的消息使用不同的名称来分配 IPv6 地址。 表 1 显示了 DHCPv6 消息及其等效的 DHCP 消息。
| 发送者 |
DHCPv6 消息 |
等效 DHCP 消息 |
|---|---|---|
| 客户 |
征求 |
DHCP发现 |
| 服务器 |
做广告 |
DHCPOFFER |
| 客户 |
请求、续订、重新绑定 |
DHCPREQUEST |
| 服务器 |
答 |
DHCPACK/DHCPNAK |
| 客户 |
释放 |
DHCP 发布 |
| 客户 |
信息请求 |
DHCPINFORM |
| 客户 |
下降 |
DHCPDECLINE |
| 客户 |
确认 |
没有 |
| 服务器 |
配置 |
DHCPFORCE更新 |
| 客户 |
RELAY-FORW, RELAY-REPLY |
没有 |
DHCPv6 快速提交
DHCPv6 提供了快速提交选项(DHCPv6 选项 14),当服务器支持并由客户端设置时,该选项可将交换从四向中继缩短为双消息握手。有关启用快速提交选项的详细信息,请参阅配置 DHCPv6 快速提交(MX 系列、EX 系列)。
在快速提交过程中:
-
DHCPv6 客户端会发送一条 SOLICIT 消息,其中包含优先请求快速分配地址、前缀和其他配置参数。
-
如果 DHCPv6 服务器支持快速分配,则会使用 REPLY 消息进行响应,其中包含分配的 IPv6 地址和前缀以及其他配置参数。
DHCP 服务器访问
您可以通过三种方式配置交换设备对 DHCP 服务器的访问:
交换设备、DHCP 客户端和 DHCP 服务器均在同一 VLAN 中
当交换设备、DHCP 客户端和 DHCP 服务器 都是同一 VLAN 的成员时,可以通过以下两种方式之一将 DHCP 服务器连接到交换设备:
-
服务器与连接到 DHCP 客户端(从服务器请求 IP 地址的主机或网络设备)的设备直接连接到同一交换设备。VLAN 已启用 DHCP 侦听,以保护不受信任的访问端口。默认情况下,中继端口配置为受信任的端口。请参阅 图 1。
-
服务器连接到中间交换设备(交换设备 2)。DHCP 客户端连接到交换设备 1,后者通过中继端口连接到交换设备 2。交换设备 2 被用作传输设备。VLAN 已启用 DHCP 侦听,以保护不受信任的访问端口。默认情况下,中继端口配置为受信任的端口。如 图 2 所示,ge-0/0/11 是受信任的中继端口。
的 DHCP 服务器
连接到交换设备 1
交换设备充当 DHCP 服务器
QFX 系列不支持充当 DHCP 服务器的交换设备。
交换设备本身配置为 DHCP 服务器;这称为 本地配置。请参阅 图 3。
交换设备充当中继代理
当 DHCP 客户端或 DHCP 服务器通过第 3 层接口连接到设备时,交换设备可充当中继代理。交换设备上的第 3 层接口配置为路由 VLAN 接口 (RVI),也称为集成路由和桥接 (IRB) 接口。默认情况下,中继接口是受信任的。
以下两个场景说明了交换设备充当中继代理的情况:
-
DHCP 服务器和客户端位于不同的 VLAN 中。
-
交换设备连接到路由器,而路由器又连接到 DHCP 服务器。请参阅 图 4。
向 DHCP 侦听数据库添加静态 IP 地址
您可以向数据库添加特定的静态 IP 地址,也可以通过 DHCP 侦听动态分配地址。要添加静态 IP 地址,请提供 IP 地址、设备的 MAC 地址、设备连接的接口以及与接口关联的 VLAN。未为条目分配租用时间。静态配置的条目永不过期。
窥探具有无效 IP 地址的 DHCP 数据包
如果在 VLAN 上启用 DHCP 侦听,然后该 VLAN 上的设备发送请求无效 IP 地址的 DHCP 数据包,则这些无效 IP 地址将存储在 DHCP 侦听数据库中,直到达到默认超时时将其删除。为了避免对 DHCP 侦听数据库空间的这种不必要占用,交换设备会丢弃请求无效 IP 地址的 DCHP 数据包,从而防止对这些数据包进行窥探。无效的 IP 地址为:
-
0.0.0.0
-
128.0.x.x
-
191.255.x.x
-
192.0.0.x
-
223.255.255.x
-
224.x.x.x
-
240.x.x.x 至 255.255.255.255
确定侦听数据包的优先级
QFX 系列和 EX4600 交换机不支持对侦听数据包进行优先级排序。
您可以使用服务等级 (CoS) 转发类和队列来确定指定 VLAN 的 DHCP 侦听数据包的优先级。这种类型的配置会将该 VLAN 的 DHCP 侦听数据包放在指定的出口队列中,这样安全过程就不会干扰高优先级流量的传输。