Grundlegendes zu DHCP-Snooping (ELS)
Dieses Thema enthält Informationen zur Aktivierung von DHCP-Snooping (Dynamic Host Configuration Protocol) bei Verwendung von Junos OS für Switches der EX-Serie mit Unterstützung für den Konfigurationsstil Enhanced Layer 2 Software (ELS). Wenn auf Ihrem Switch Junos OS-Software ausgeführt wird, die ELS nicht unterstützt, finden Sie weitere Informationen unter Grundlegendes zu DHCP-Snooping (Nicht-ELS). ELS-Details finden Sie unter Verwenden der erweiterten Layer 2-Software-CLI.
DHCP-Snooping ermöglicht es dem Switching-Gerät, bei dem es sich entweder um einen Switch oder einen Router handeln kann, DHCP-Nachrichten zu überwachen, die von nicht vertrauenswürdigen Geräten empfangen werden, die mit dem Switching-Gerät verbunden sind. Wenn DHCP-Snooping in einem VLAN aktiviert ist, untersucht das System DHCP-Nachrichten, die von nicht vertrauenswürdigen Hosts gesendet werden, die mit dem VLAN verknüpft sind, und extrahiert deren IP-Adressen und Lease-Informationen. Diese Informationen werden verwendet, um die DHCP-Snooping-Datenbank zu erstellen und zu verwalten. Nur Hosts, die mit dieser Datenbank verifiziert werden können, erhalten Zugriff auf das Netzwerk.
Grundlagen des DHCP-Snoopings
DHCP weist IP-Adressen dynamisch zu und vermietet Adressen an Geräte, sodass die Adressen wiederverwendet werden können, wenn sie von den Geräten, denen sie zugewiesen wurden, nicht mehr benötigt werden. Hosts und Endgeräte, die IP-Adressen benötigen, die über DHCP bezogen werden, müssen mit einem DHCP-Server über das LAN kommunizieren.
DHCP-Snooping fungiert als Wächter der Netzwerksicherheit, indem es gültige IP-Adressen verfolgt, die nachgeschalteten Netzwerkgeräten von einem vertrauenswürdigen DHCP-Server zugewiesen wurden (der Server ist mit einem vertrauenswürdigen Netzwerkport verbunden).
Standardmäßig sind alle Trunk-Ports auf dem Switch vertrauenswürdig und alle Zugriffsports für DHCP-Snooping nicht vertrauenswürdig.
Ab Junos OS Version 18.4R1 erfolgt DHCP-Snooping auf vertrauenswürdigen Ports für die folgenden Switches der Juniper Serie: EX2300, EX4600 und QFX5K. Vor Junos OS-Version 18.4R1 galt dies für diese Geräte nur für DHCPv6-Snooping. Darüber hinaus findet DHCP-Snooping auf vertrauenswürdigen Ports für Switches der EX9200-Serie und Fusion Enterprises statt, auf denen Junos OS Version 19.1R1 oder höher ausgeführt wird.
Sie können einen Zugriffsport als vertrauenswürdig oder einen Trunk-Port als nicht vertrauenswürdig konfigurieren, indem Sie die Konfigurationsanweisung overrides mit der Option trusted oder nicht trusted verwenden.
Wenn DHCP-Snooping aktiviert ist, werden die Leaseinformationen vom Server verwendet, um die DHCP-Snooping-Tabelle zu erstellen, die auch als DHCP-Bindungstabelle bezeichnet wird. Die Tabelle zeigt die aktuellen IP-MAC-Adressbindungen sowie die Lease-Zeit, den Bindungstyp und die Namen der zugehörigen VLANs und Schnittstellen.
Einträge in der DHCP-Snooping-Tabelle werden in den folgenden Ereignissen aktualisiert:
Wenn ein Netzwerkgerät eine IP-Adresse freigibt (sendet eine DHCPRELEASE-Nachricht). In diesem Fall wird der zugehörige Zuordnungseintrag aus der Datenbank gelöscht.
Wenn Sie ein Netzwerkgerät von einem VLAN in ein anderes verschieben. In diesem Fall muss das Gerät in der Regel eine neue IP-Adresse abrufen. Daher wird der Eintrag in der Datenbank, einschließlich des VLAN-Namens, aktualisiert.
Wenn die vom DHCP-Server zugewiesene Leasezeit (Timeoutwert) abläuft. In diesem Fall wird der zugehörige Eintrag aus der Datenbank gelöscht.
Wenn das Netzwerkgerät seine Lease erneuert, indem es eine Unicast-DHCPREQUEST-Nachricht sendet und eine positive Antwort vom DHCP-Server erhält. In diesem Fall wird die Leasezeit in der Datenbank aktualisiert.
Wenn das Netzwerkgerät den DHCP-Server, der die Lease ursprünglich gewährt hat, nicht erreichen kann, sendet es eine DHCPREQUEST-Broadcast-Nachricht und stellt eine erneute Bindung an den antwortenden DHCP-Server her. In diesem Fall erhält der Client eine neue IP-Adresse, und die Bindung wird in der DHCP-Snoopingtabelle aktualisiert.
Ab Junos OS Version 14.1X53-D35 wird die neue IP-MAC-Adressebindung gespeichert, bis der Server eine DHCPACK-Nachricht sendet, wenn ein Netzwerkgerät mit einer festen IP-Zuweisung vom DHCP-Server durch ein neues Gerät mit einer anderen MAC-Adresse ersetzt wird. Anschließend wird der Eintrag in der DHCP-Snooping-Tabelle mit der neuen Adressbindung aktualisiert.
Standardmäßig gehen die IP-MAC-Bindungen verloren, wenn der Switch neu gestartet wird, und die DHCP-Clients (die Netzwerkgeräte oder Hosts) müssen die Bindungen erneut abrufen. Sie können die Bindungen jedoch so konfigurieren, dass sie beibehalten werden, indem Sie die dhcp-snooping-file Anweisung so festlegen, dass die Datenbankdatei entweder lokal oder remote gespeichert wird. Wenn Sie das dynamische 802.1x-VLAN konfigurieren und aktivieren, werden auch die DHCP-Snooping-Einträge gelöscht. Aus diesem Grund wird empfohlen, einen DHCP-Server so zu konfigurieren, dass er Lease-Informationen für Clients speichert und ihnen auch nach dem Neustart des Clients eine vorhersagbare IP-Adresse zur Verfügung stellt (DHCP-Persistenz).
Sie können den Switch so konfigurieren, dass DHCP-Serverantworten nur von bestimmten VLANs aus weitergeleitet werden. Dadurch wird das Spoofing von DHCP-Servernachrichten verhindert.
Aktivieren von DHCP-Snooping
Wenn Sie die DHCP-Snooping-Funktion verwenden, ist es wichtig, dass Sie sich mit der Aktivierung der DHCP-Snooping-Funktion vertraut machen.
Auf einem Junos OS-Gerät können Sie die DHCP-Snooping-Funktion nicht als unabhängige Funktion konfigurieren. Wenn Sie die DHCP-Sicherheit für ein bestimmtes VLAN des Geräts konfigurieren, wird das DHCP-Snooping automatisch für dieses VLAN aktiviert, um seine Aufgabe auszuführen.
Zum Beispiel:
- Wenn Sie die DHCP-Sicherheit in einem bestimmten VLAN aktivieren, wird DHCP-Snooping in diesem VLAN automatisch aktiviert.
Junos OS aktiviert DHCP-Snooping auf einem Switch:
Wenn Sie die folgende Option für beliebige Portsicherheitsfunktionen konfigurieren:
dhcp-security-Anweisung auf der [edit vlans vlan-name forwarding-options]-Hierarchieebene.
Vor Junos OS Version 17.1 aktivierte Junos OS DHCP-Snooping automatisch, wenn Sie eine der folgenden Portsicherheitsfunktionen innerhalb der [edit vlans vlan-name forwarding-options]-Hierarchie konfigurieren:
- Dynamische ARP-Inspektion (DAI)
- IP-Quellschutz
- DHCP-Option 82
- Statische IP-Adresse
Ab Junos OS Version 17.1R1 können Sie DHCP-Snooping oder DHCPv6-Snooping in einem VLAN konfigurieren, ohne andere Portsicherheitsfunktionen zu aktivieren. Verwenden Sie die folgende Konfigurationsanweisung, um DHCP-Snooping zu aktivieren:
[set vlans vlan-name forwarding-options dhcp-security].
Um DHCP-Snooping zu deaktivieren, müssen Sie die dhcp-security Anweisung aus der Konfiguration löschen. DHCP-Snooping wird nicht automatisch deaktiviert, wenn Sie andere Portsicherheitsfunktionen deaktivieren.
DHCP-Snooping-Prozess
Der DHCP-Snooping-Prozess besteht aus den folgenden Schritten:
Wenn DHCP-Snooping für ein VLAN aktiviert ist, werden alle DHCP-Pakete, die von Netzwerkgeräten in diesem VLAN gesendet werden, DHCP-Snooping unterzogen. Die endgültige IP-MAC-Bindung erfolgt, wenn der DHCP-Server ein DHCPACK-Paket an den DHCP-Client sendet.
Das Netzwerkgerät sendet ein DHCPDISCOVER-Paket, um eine IP-Adresse anzufordern.
Der Switch leitet das Paket an den DHCP-Server weiter.
Der Server sendet ein DHCPOFFER-Paket, um eine Adresse anzubieten. Wenn das DHCPOFFER-Paket von einer vertrauenswürdigen Schnittstelle stammt, leitet der Switch das Paket an das Netzwerkgerät weiter.
Das Netzwerkgerät sendet ein DHCPREQUEST-Paket, um die IP-Adresse zu akzeptieren. Der Switch fügt der DHCP-Snooping-Tabelle eine IP-MAC-Platzhalterbindung hinzu. Der Eintrag wird als Platzhalter betrachtet, bis ein DHCPACK-Paket vom Server empfangen wird. Bis dahin könnte die IP-Adresse noch einem anderen Host zugeordnet werden.
Der Server sendet ein DHCPACK-Paket, um die IP-Adresse zuzuweisen, oder ein DHCPNAK-Paket, um die Adressanforderung abzulehnen.
Der Switch aktualisiert die DHCP-Datenbank entsprechend dem Typ des empfangenen Pakets:
Wenn der Switch ein DHCPACK-Paket empfängt, aktualisiert er die Lease-Informationen für die IP-MAC-Adressbindungen in seiner Datenbank.
Wenn der Switch ein DHCPNACK-Paket empfängt, löscht er den Platzhalter.
Die DHCP-Datenbank wird erst aktualisiert, nachdem das DHCPREQUEST-Paket gesendet wurde.
Allgemeine Informationen zu den Nachrichten, die der DHCP-Client und der DHCP-Server während der Zuweisung einer IP-Adresse für den Client austauschen, finden Sie im Junos OS System Basics Configuration Guide.
DHCPv6-Snooping
Ab Junos OS Version 14.1X53-D10 wird DHCP-Snooping für IPv6-Pakete auf EX 9200-Switches unterstützt.DHCP-Snooping wird auch für IPv6-Pakete unterstützt. Der Prozess für DHCPv6-Snooping ähnelt dem für DHCP-Snooping, verwendet jedoch andere Namen für die Nachrichten, die zwischen Client und Server ausgetauscht werden, um IPv6-Adressen zuzuweisen. Tabelle 1 zeigt DHCPv6-Nachrichten und ihre DHCPv4-Entsprechungen.
Gesendet von |
DHCPv6-Nachrichten |
DHCPv4-äquivalente Nachrichten |
|---|---|---|
Kunde |
ERBITTEN |
DHCPDISCOVER |
Server |
INSERIEREN |
DHCPOFFER |
Kunde |
ANFORDERN, ERNEUERN, NEU BINDEN |
DHCPREQUEST |
Server |
ANTWORT |
DHCPACK/DHCPNAK |
Kunde |
LOSLASSEN |
DHCPRELEASE |
Kunde |
INFORMATIONS-ANFRAGE |
DHCPINFORM |
Kunde |
ABLEHNEN |
DHCPDECLINE |
Kunde |
BESTÄTIGEN |
nichts |
Server |
REKONFIGURIEREN |
DHCPFORCERENEW |
Kunde |
RELAIS-FORW, RELAIS-ANTWORT |
nichts |
Rapid Commit für DHCPv6
Die DHCPv6 Rapid Commit-Option kann den Nachrichtenaustausch zwischen Client und Server verkürzen. Wenn diese Option vom Server unterstützt und vom Client festgelegt wird, verkürzt sie den Austausch von einem Vier-Wege-Relay zu einem Zwei-Nachrichten-Handshake. Weitere Informationen zum Aktivieren der Option "Rapid Commit" finden Sie unter Konfigurieren von DHCPv6 Rapid Commit (MX-Serie, EX-Serie).
Wenn die Option "Rapid Commit" aktiviert ist, erfolgt der Nachrichtenaustausch wie folgt:
Der DHCPv6-Client sendet eine SOLICIT-Nachricht mit der Anforderung, dass die schnelle Zuweisung von Adresse, Präfix und anderen Konfigurationsparametern bevorzugt wird.
Wenn der DHCPv6-Server die schnelle Zuweisung unterstützt, antwortet er mit einer REPLY-Nachricht, die die zugewiesene IPv6-Adresse und das Präfix sowie andere Konfigurationsparameter enthält.
DHCP-Serverzugriff
Der Zugriff eines Switches auf den DHCP-Server kann auf drei Arten konfiguriert werden:
- Switch, DHCP-Clients und DHCP-Server befinden sich alle im selben VLAN
- Der Switch fungiert als DHCP-Server
- Switch fungiert als Relaisagent
Switch, DHCP-Clients und DHCP-Server befinden sich alle im selben VLAN
Wenn der Switch, die DHCP-Clients und der DHCP-Server alle Mitglieder desselben VLANs sind, kann der DHCP-Server auf zwei Arten mit dem Switch verbunden werden:
Um DHCP-Snooping im VLAN zu aktivieren, konfigurieren Sie die dhcp-security-Anweisung in der [edit vlans vlan-name forwarding-options] Hierarchie.
(Siehe Abbildung 1.) Der Server ist direkt mit demselben Switch verbunden wie derjenige, der mit den DHCP-Clients verbunden ist (den Hosts oder Netzwerkgeräten, die IP-Adressen vom Server anfordern). Das VLAN ist für DHCP-Snooping aktiviert, um die nicht vertrauenswürdigen Zugriffsports zu schützen. Der Trunk-Port ist standardmäßig als vertrauenswürdiger Port konfiguriert.
(Siehe Abbildung 2.) Der Server ist mit einem zwischengeschalteten Switch (Switch 2) verbunden, der über einen Trunk-Port mit dem Switch (Switch 1) verbunden ist, mit dem die DHCP-Clients verbunden sind. Switch 2 wird als Transit-Switch verwendet. Das VLAN ist für DHCP-Snooping aktiviert, um die nicht vertrauenswürdigen Zugriffsports von Switch 1 zu schützen. Der Trunk-Port ist standardmäßig als vertrauenswürdiger Port konfiguriert. In Abbildung 2 ist ge-0/0/11 ein vertrauenswürdiger Trunk-Port.
verbunden ist
mit Switch 1 verbunden ist
Der Switch fungiert als DHCP-Server
Sie können lokale DHCP-Serveroptionen auf dem Switch konfigurieren, wodurch der Switch als erweiterter lokaler DHCP-Server fungieren kann. In Abbildung 3 sind die DHCP-Clients über nicht vertrauenswürdige Zugriffsports mit dem erweiterten lokalen DHCP-Server verbunden.
Switch fungiert als Relaisagent
Der Switch fungiert als Relay-Agent, wenn die DHCP-Clients oder der DHCP-Server über eine Layer-3-Schnittstelle (auf einem Switch oder einem Router) mit dem Switch verbunden ist. Die Layer-3-Schnittstellen auf dem Switch sind als geroutete VLAN-Schnittstellen (RVIs) konfiguriert, die auch als IRB-Schnittstellen (Integrated Routing and Bridging) bezeichnet werden. Die Trunk-Schnittstellen werden standardmäßig als vertrauenswürdig eingestuft.
Der Switch kann in diesen beiden Szenarien als Relaisagent fungieren:
Der DHCP-Server und die Clients befinden sich in unterschiedlichen VLANs.
Der Switch ist mit einem Router verbunden, der wiederum mit dem DHCP-Server verbunden ist. Siehe Abbildung 4.
fungiert
Hinzufügen statischer IP-Adressen zur DHCP-Snooping-Datenbank
Sie können statische (feste) IP-Adressen hinzufügen und diese an feste MAC-Adressen in der DHCP-Snooping-Datenbank binden. Diese Bindungen werden in der Datenbank als statisch bezeichnet, während die Bindungen, die durch den Prozess des DHCP-Snoopings hinzugefügt wurden, als dynamisch gekennzeichnet sind. Die statische IPv6-Adresszuweisung ist auch für DHCPv6 verfügbar. Weitere Informationen zur Konfiguration finden Sie unter Konfigurieren statischer DHCP-IP-Adressen für DHCP-Snooping.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.
dhcp-security CLI-Anweisung unter konfigurieren.
[edit vlans vlan-name forwarding-options dhcp-security]