Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

DHCP-Snooping

DHCP-Snooping auf Junos OS-Gerät validiert DHCP-Nachrichten und legt ungültigen Datenverkehr ab. Sie können konfigurieren, wie der DHCP-Relay-Agent DHCP-snooped-Pakete verarbeitet. Abhängig von der Konfiguration leitet der DHCP-Relay-Agent die empfangenen Snooped-Pakete entweder weiter oder legt sie ab. Weitere Informationen finden Sie in diesem Thema.

DHCP-Snooping-Unterstützung

DHCP-Snooping bietet zusätzliche Sicherheit, indem die eingehenden DHCP-Pakete identifiziert und DHCP-Datenverkehr abgelehnt wird, der von nicht vertrauenswürdigen Geräten im Netzwerk als inakzeptabel angesehen wird.

Was ist DHCP-Snooping

DHCP weist IP-Adressen dynamisch zu und leasing Adressen an Geräte, sodass die Adressen wiederverwendet werden können, wenn sie von den Geräten, denen sie zugewiesen wurden, nicht mehr benötigt werden. Hosts und Endgeräte, die IP-Adressen erfordern, die über DHCP abgerufen werden, müssen über das LAN mit einem DHCP-Server kommunizieren.

DHCP-Snooping untersucht eingehende DHCP-Pakete und untersucht DHCP-Nachrichten. Es extrahiert ihre IP-Adressen und Lease-Informationen, die Clients zugewiesen sind, und erstellt eine Datenbank. Mithilfe dieser Datenbank kann ermittelt werden, ob die pakete von den gültigen Clients – d. h. von – die IP-Adressen der Clients vom DHCP-Server zugewiesen wurden. Auf diese Weise fungiert DHCP-Snooping als Wächter der Netzwerksicherheit, indem es gültige IP-Adressen verfolgt, die einem downstream-Netzwerkgeräten von einem vertrauenswürdigen DHCP-Server zugewiesen werden (der Server ist mit einem vertrauenswürdigen Netzwerkport verbunden).

Vorteile von DHCP-Snooping

  • DHCP-Snooping bietet eine zusätzliche Sicherheitsebene durch dynamische IP-Quellenfilterung.

  • DHCP-Snooping kann rogue DHCP-Aktivitäten im Netzwerk verhindern, indem es DHCP-Pakete herausfiltert, die an den falschen Ports oder mit falschen Inhalten ankommen.

Konfigurieren von DHCP-Snooping

In der STANDARDMÄßIGen DHCP-Snooping-Konfiguration wird der gesamte Datenverkehr snooped.

Auf einem Junos OS-Gerät wird DHCP-Snooping in einer Routing-Instanz aktiviert, wenn Sie die folgenden Optionen in dieser Routing-Instanz konfigurieren:

  • dhcp-relay Statement auf [edit forwarding-options] Hierarchieebene

  • dhcp-local-server Statement auf [edit system services] Hierarchieebene

  • Sie können die forward-snooped-clients Anweisung optional verwenden, um den snoopierten Datenverkehr zu bewerten und zu bestimmen, ob der Datenverkehr weitergeleitet oder gelöscht wird, basierend darauf, ob die Schnittstelle als Teil einer Gruppe konfiguriert ist oder nicht.

Der Router verwirft standardmäßig Snooped-Pakete, wenn kein Teilnehmer dem Paket zugeordnet ist. Um die normale Verarbeitung von snoopierten Paketen zu ermöglichen, müssen Sie die allow-snooped-clients Anweisung explizit auf [edit forwarding-options dhcp-relay] Hierarchieebene konfigurieren.

Sie können die DHCP-Snooping-Unterstützung für eine bestimmte Routing-Instanz für Folgendes konfigurieren:

  • DHCPv4 Relay Agent: Überschreiben Sie die Standard-Snooping-Konfiguration des Routers (oder Switches) und geben Sie an, dass DHCP-Snooping global für eine benannte Gruppe von Schnittstellen oder für eine bestimmte Schnittstelle innerhalb einer benannten Gruppe aktiviert oder deaktiviert ist.

    In einer separaten Prozedur können Sie eine globale Konfiguration festlegen, um anzugeben, ob der DHCPv4-Relay-Agent Snooped-Pakete für alle Schnittstellen, nur konfigurierte Schnittstellen oder nur nicht konfigurierte Schnittstellen weiterleitet oder ablegt. Der Router verwendet auch die globale DHCP-Relay-Agent-Snooping-Konfiguration, um zu bestimmen, ob Snooped BOOTREPLY-Pakete weitergeleitet oder abgezogen werden sollen. Eine Erneuerungsanforderung kann direkt an den DHCP-Server unicast sein. Dies ist ein BOOTPREQUEST-Paket und wird snooped.

  • DHCPv6 Relay Agent: Wie sie mit Snooping-Unterstützung für den DHCPv4-Relay-Agent möglich ist, können Sie die Standardmäßige DHCPv6-Relay-Agent-Snooping-Konfiguration auf dem Router überschreiben, um Snooping-Unterstützung explizit global, für eine benannte Gruppe von Schnittstellen oder für eine bestimmte Schnittstelle mit einer benannten Gruppe von Schnittstellen zu aktivieren oder zu deaktivieren.

    In Multi-Relay-Topologien, bei denen sich mehr als ein DHCPv6-Relay-Agent zwischen dem DHCPv6-Client und dem DHCPv6-Server befindet, ermöglicht Snooping die dazwischenliegenden DHCPv6-Relay-Agents zwischen dem Client und dem Server, den Unicast-Datenverkehr vom Client korrekt zu empfangen und zu verarbeiten und an den Server weiterzuleiten. Der DHCPv6-Relay-Agent schnörmt eingehende Unicast-DHCPv6-Pakete durch die Einrichtung eines Filters mit UDP-Port 547 (DHCPv6 UDP-Server-Port) auf Weiterleitungstabellenbasis. Der DHCPv6-Relay-Agent verarbeitet dann die vom Filter abgefangenen Pakete und leitet die Pakete an den DHCPv6-Server weiter.

    Im Gegensatz zum DHCPv4-Relay-Agent unterstützt der DHCPv6-Relay-Agent keine globale Konfiguration der Weiterleitungsunterstützung für DHCPv6-snooped-Pakete.

  • Lokaler DHCP-Server: Konfigurieren Sie, ob der lokale DHCP-Server Snooped-Pakete für alle Schnittstellen, nur konfigurierte Schnittstellen oder nur nicht konfigurierte Schnittstellen weiterleitet oder ablegt.

  • Sie können auch Snooping-Filter deaktivieren. In den vorhergehenden Konfigurationen wird der gesamte DHCP-Datenverkehr an die langsamere Routingebene der Routing-Instanz weitergeleitet, bevor er weitergeleitet oder gelöscht wird. Die Deaktivierung von Snooping-Filtern führt dazu, dass DHCP-Datenverkehr direkt von der schnelleren Hardwaresteuerungsebene weitergeleitet werden kann, um die Routing-Steuerungsebene zu umgehen.

Beispiel: Konfigurieren von DHCP-Snooping-Unterstützung für DHCP Relay Agent

In diesem Beispiel wird gezeigt, wie Sie die DHCP-Snooping-Unterstützung für den DHCP-Relay-Agent konfigurieren.

Anforderungen

Übersicht

In diesem Beispiel konfigurieren Sie die DHCP-Snooping-Unterstützung für DEN DHCP-Relay-Agent, indem Sie die folgenden Vorgänge ausführen:

  • Überschreiben Sie die standardmäßige DHCP-Snooping-Konfiguration und aktivieren Sie DHCP-Snooping-Unterstützung für die Schnittstellen in der Gruppe frankfurt.

  • Konfigurieren Sie den DHCP-Relay-Agent, um Snooped-Pakete nur an konfigurierte Schnittstellen weiterzuleiten.

Hinweis:

Standardmäßig ist DHCP-Snooping global aktiviert.

Konfiguration

Verfahren

Schritt-für-Schritt-Verfahren

So konfigurieren Sie die DHCP-Relay-Unterstützung für DHCP-Snooping:

  1. Geben Sie an, dass Sie den DHCP-Relay-Agent konfigurieren möchten.

  2. Geben Sie die benannte Gruppe von Schnittstellen an, auf der DHCP-Snooping unterstützt wird.

  3. Geben Sie die Schnittstellen an, die in die Gruppe aufgenommen werden sollen. Der DHCP-Relay-Agent berücksichtigt diese als konfigurierte Schnittstellen, wenn er bestimmt, ob Datenverkehr weitergeleitet oder verlegt werden soll.

  4. Geben Sie an, dass Sie die Standardkonfiguration für die Gruppe außer Kraft halten möchten.

  5. Aktivieren Sie DHCP-Snooping-Unterstützung für die Gruppe.

  6. Kehren Sie zur [edit forwarding-options dhcp-relay] Hierarchieebene zurück, um die Weiterleitungsaktion zu konfigurieren, und geben Sie an, dass der DHCP-Relay-Agent Snooped-Pakete nur auf konfigurierten Schnittstellen weiterleitet:

  7. Aktivieren Sie DHCP-snooped Packet Forwarding für DHCP Relay Agent.

  8. Geben Sie an, dass Snooped-Pakete nur an konfigurierten Schnittstellen (den schnittstellen in der Gruppe frankfurt) weitergeleitet werden.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show forwarding-options Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um sie zu korrigieren. Die folgende Ausgabe zeigt außerdem eine Reihe von konfigurierten Schnittstellen in Gruppen frankfurt.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfigurieren der DHCP-Snooped Packet Forwarding-Unterstützung für DHCP Relay Agent

Sie können konfigurieren, wie der DHCP-Relay-Agent DHCP-snooped-Pakete verarbeitet. Abhängig von der Konfiguration leitet der DHCP-Relay-Agent die empfangenen Snooped-Pakete entweder weiter oder legt sie ab.

DHCP-Relay verwendet eine zweiteilige Konfiguration, um zu bestimmen, wie DHCP-Snooped-Pakete behandelt werden sollen. In diesem Thema wird beschrieben, wie Sie die forward-snooped-clients Anweisung verwenden, um zu verwalten, ob der DHCP-Relay-Agent Snooped-Pakete weiterleitet oder ablegt, abhängig vom Schnittstellentyp, auf dem die Pakete snoopiert werden. Im anderen Teil der DHCP-Relay-Agent-Snooping-Konfiguration aktivieren oder deaktivieren Sie die DHCP-Relay-Snooping-Funktion.

Tabelle 1 zeigt die Aktion, die der Router oder Switch an snooped-Paketen nimmt, wenn DHCP-Snooping durch die allow-snooped-clients Anweisung aktiviert wird.

Der Router oder Switch verwendet auch die Konfiguration der DHCP-Relay-Agent-Weiterleitungsunterstützung, um zu bestimmen, wie mit snooped BOOTREPLY-Paketen umgegangen werden soll.

Tabelle 1: Aktionen für DHCP-Relay-Agent-Snooped Packets, wenn DHCP-Snooping aktiviert ist

forward-snooped-clients Konfiguration

Aktion für konfigurierte Schnittstellen

Aktion für nicht konfigurierte Schnittstellen

forward-snooped-clients nicht konfiguriert

Snooped-Pakete führen zur Erstellung von Abonnenten (DHCP-Client)

Gelöscht

all-interfaces

Weitergeleitet

Weitergeleitet

configured-interfaces

Weitergeleitet

Gelöscht

non-configured-interfaces

Snooped-Pakete führen zur Erstellung von Abonnenten (DHCP-Client)

Weitergeleitet

Tabelle 2 zeigt die Aktion, die der Router (oder Switch) auf Snooped-Pakete übernimmt, wenn DHCP-Snooping durch die no-allow-snooped-clients Anweisung deaktiviert wird.

Tabelle 2: Aktionen für DHCP-Relay-Agent-Snooped Packets, wenn DHCP-Snooping deaktiviert ist

forward-snooped-clients Konfiguration

Aktion für konfigurierte Schnittstellen

Aktion für nicht konfigurierte Schnittstellen

forward-snooped-clients nicht konfiguriert

Gelöscht

Gelöscht

all-interfaces

Gelöscht

Weitergeleitet

configured-interfaces

Gelöscht

Gelöscht

non-configured-interfaces

Gelöscht

Weitergeleitet

Tabelle 3 zeigt die Aktion, die der Router (oder Switch) für die snooped BOOTREPLY-Pakete übernimmt.

Tabelle 3: Aktionen für Snooped BOOTREPLY Packets

forward-snooped-clients Konfiguration

Aktion

forward-snooped-clients nicht konfiguriert

Snooped-Pakete BOOTREPLY fallen, wenn der Client nicht gefunden wird

forward-snooped-clients alle Konfigurationen

Snooped-Pakete BOOTREPLY weitergeleitet, wenn der Client nicht gefunden wird

Konfigurierte Schnittstellen wurden mit der group Anweisung in der [edit forwarding-options dhcp-relay] Hierarchie konfiguriert. Nicht konfigurierte Schnittstellen befinden sich in der logischen System/Routing-Instanz, wurden aber nicht durch die group Anweisung konfiguriert.

So konfigurieren Sie DHCP-Snooped Packet Forwarding und BOOTREPLY Snooped Packet Forwarding für DHCP Relay Agent:

  1. Geben Sie an, dass Sie den DHCP-Relay-Agent konfigurieren möchten.
  2. Aktivieren Sie dhcp-snooped Packet Forwarding.
  3. Geben Sie die Schnittstellen an, die für die Snooped Packet Forwarding unterstützt werden.

Konfigurieren Sie beispielsweise den DHCP-Relay-Agent, um DHCP-snooped-Pakete nur auf konfigurierten Schnittstellen weiterzuleiten: