Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Verständnis von DHCP-Snooping (ELS)

Hinweis:

Dieses Thema enthält Informationen zur Aktivierung von DHCP-Snooping (Dynamic Host Configuration Protocol) bei der Verwendung von Junos OS für Switches der EX-Serie mit Unterstützung für den ELS-Konfigurationsstil (Enhanced Layer 2 Software). Wenn auf Ihrem Switch Junos OS-Software ausgeführt wird, die ELS nicht unterstützt, finden Sie Informationen zu DHCP-Snooping (nicht-ELS). ELS-Details finden Sie unter Verwenden der Enhanced Layer 2 Software CLI.

DHCP-Snooping ermöglicht dem Switching-Gerät, das entweder ein Switch oder ein Router sein kann, DHCP-Nachrichten zu überwachen, die von nicht vertrauenswürdigen Geräten empfangen werden, die mit dem Switching-Gerät verbunden sind. Wenn DHCP-Snooping in einem VLAN aktiviert ist, überprüft das System DHCP-Nachrichten, die von nicht vertrauenswürdigen Hosts gesendet werden, die mit dem VLAN verknüpft sind, und extrahiert deren IP-Adressen und Leasinginformationen. Diese Informationen werden zum Aufbau und zur Wartung der DHCP-Snooping-Datenbank verwendet. Nur Hosts, die mit dieser Datenbank verifiziert werden können, sind für den Zugriff auf das Netzwerk berechtigt.

DHCP-Snooping-Grundlagen

DHCP weist IP-Adressen dynamisch zu, Leasing-Adressen an Geräte, sodass die Adressen wiederverwendet werden können, wenn sie von den Geräten, denen sie zugewiesen wurden, nicht mehr benötigt werden. Hosts und Endgeräte, die ÜBER DHCP erhaltene IP-Adressen benötigen, müssen über das LAN mit einem DHCP-Server kommunizieren.

DHCP-Snooping fungiert als Hüter der Netzwerksicherheit, indem gültige IP-Adressen überwacht werden, die einem nachgeschalteten Netzwerkgeräte von einem vertrauenswürdigen DHCP-Server zugewiesen werden (der Server ist mit einem vertrauenswürdigen Netzwerkport verbunden).

Standardmäßig werden alle Trunk-Ports auf dem Switch vertrauenswürdig und alle Zugriffsports für DHCP-Snooping nicht vertrauenswürdig.

Ab Junos OS Version 18.4R1 erfolgt DHCP-Snooping auf vertrauenswürdigen Ports für die folgenden Switches der Juniper-Serie, EX2300, EX4600 und QFX5K. Vor Junos OS Version 18.4R1 war dies für diese Geräte nur für DHCPv6-Snooping der Fall. Darüber hinaus erfolgt DHCP-Snooping auf vertrauenswürdigen Ports für Switches der EX9200-Serie und Fusion Enterprises, die Junos OS Version 19.1R1 und höher ausführen.

Sie können einen Zugriffsport als vertrauenswürdig oder einen Trunk-Port als nicht vertrauenswürdig konfigurieren, wobei die Konfigurationsanweisung entweder mit der vertrauenswürdigen oder nicht vertrauenswürdigen Option außer Kraft gesetzt wird.

Wenn DHCP-Snooping aktiviert ist, werden die Lease-Informationen vom Server zum Erstellen der DHCP-Snooping-Tabelle verwendet, die auch als DHCP-Bindungstabelle bezeichnet wird. Die Tabelle zeigt aktuelle IP-MAC-Adressbindungen sowie Leasingzeit, Bindungstyp, Namen der zugehörigen VLANs und Schnittstellen.

Einträge in der DHCP-Snooping-Tabelle werden in den folgenden Ereignissen aktualisiert:

  • Wenn ein Netzwerkgerät eine IP-Adresse freigibt (sendet eine DHCPRELEASE-Nachricht). In diesem Fall wird der zugehörige Zuordnungseintrag aus der Datenbank gelöscht.

  • Wenn Sie ein Netzwerkgerät von einem VLAN in ein anderes verschieben. In diesem Fall muss das Gerät in der Regel eine neue IP-Adresse erwerben. Daher wird sein Eintrag in der Datenbank, einschließlich des VLAN-Namens, aktualisiert.

  • Wenn die vom DHCP-Server zugewiesene Leasingzeit (Timeout-Wert) abläuft. In diesem Fall wird der zugehörige Eintrag aus der Datenbank gelöscht.

  • Wenn das Netzwerkgerät seine Lease erneuert, indem es eine Unicast DHCPREQUEST-Nachricht sendet und eine positive Antwort vom DHCP-Server erhält. In diesem Fall wird die Leasingzeit in der Datenbank aktualisiert.

  • Wenn das Netzwerkgerät den DHCP-Server, der den Leasing ursprünglich gewährt hat, nicht erreichen kann, sendet es eine Broadcast-DHCPREQUEST-Nachricht und rebindiert an den DHCP-Server, der antwortet. In diesem Fall erhält der Client eine neue IP-Adresse und die Bindung wird in der DHCP-Snooping-Tabelle aktualisiert.

  • Wenn ab Junos OS Version 14.1X53-D35 ein Netzwerkgerät mit fester IP-Zuordnung vom DHCP-Server durch ein neues Gerät mit einer anderen MAC-Adresse ersetzt wird, wird die neue IP-MAC-Adressbindung gespeichert, bis der Server eine DHCPACK-Nachricht sendet; dann wird der Eintrag in der DHCP-Snooping-Tabelle mit der neuen Adressbindung aktualisiert.

Tipp:

Standardmäßig sind die IP-MAC-Bindungen verloren, wenn der Switch neu gestartet wird, und die DHCP-Clients (die Netzwerkgeräte oder Hosts) müssen die Bindungen erneut benötigen. Sie können die Bindungen jedoch so konfigurieren, dass sie beibehalten werden, indem Sie die dhcp-snooping-file Anweisung festlegen, um die Datenbankdatei entweder lokal oder remote zu speichern.

Sie können den Switch so konfigurieren, dass die DHCP-Serverantworten nur von bestimmten VLANs abgerufen werden. Dadurch wird das Spoofing von DHCP-Servernachrichten verhindert.

Aktivieren von DHCP-Snooping

DHCP-Snooping ist in der Standard-Switch-Konfiguration nicht aktiviert. DHCP-Snooping wird automatisch von Junos OS aktiviert, wenn Sie portsicherheitsfunktionen auf Hierarchieebene [edit vlans vlan-name forwarding-options dhcp-security] konfigurieren. Ab Junos OS Version 17.1R1 können Sie DHCP-Snooping oder DHCPv6-Snooping auf einem VLAN konfigurieren, ohne andere Portsicherheitsfunktionen zu aktivieren, indem Sie die dhcp-security CLI-Anweisung am [edit vlans vlan-name forwarding-options dhcp-security]konfigurieren. Sie aktivieren DHCP-Snooping pro VLAN, nicht pro Schnittstelle (Port). Weitere Informationen zum Aktivieren von DHCP-Snooping finden Sie unter Konfigurieren von Portsicherheit (ELS).

Hinweis:

Um DHCP-Snooping zu deaktivieren, müssen Sie die dhcp-security Anweisung aus der Konfiguration löschen. DHCP-Snooping wird nicht automatisch deaktiviert, wenn Sie andere Portsicherheitsfunktionen deaktivieren.

DHCP-Snooping-Prozess

Der DHCP-Snooping-Prozess besteht aus den folgenden Schritten:

Hinweis:

Wenn DHCP-Snooping für ein VLAN aktiviert ist, werden alle DHCP-Pakete, die von Netzwerkgeräten in diesem VLAN gesendet werden, dhcp-Snooping unterzogen. Die endgültige IP-MAC-Bindung erfolgt, wenn der DHCP-Server ein DHCPACK-Paket an den DHCP-Client sendet.

  1. Das Netzwerkgerät sendet ein DHCPDISCOVER-Paket, um eine IP-Adresse anzufordern.

  2. Der Switch leitet das Paket an den DHCP-Server weiter.

  3. Der Server sendet ein DHCPOFFER-Paket, um eine Adresse anzubieten. Wenn das DHCPOFFER-Paket von einer vertrauenswürdigen Schnittstelle stammt, leitet der Switch das Paket an das Netzwerkgerät weiter.

  4. Das Netzwerkgerät sendet ein DHCPREQUEST-Paket, um die IP-Adresse zu akzeptieren. Der Switch fügt einen IP-MAC-Platzhalter hinzu, der an die DHCP-Snooping-Tabelle gebunden ist. Der Eintrag gilt als Platzhalter, bis ein DHCPACK-Paket vom Server empfangen wird. Bis dahin konnte die IP-Adresse noch einem anderen Host zugewiesen werden.

  5. Der Server sendet ein DHCPACK-Paket, um die IP-Adresse zuzuweisen, oder ein DHCPNAK-Paket, um die Adressanforderung abzulehnen.

  6. Der Switch aktualisiert die DHCP-Datenbank entsprechend dem Typ des empfangenen Pakets:

    • Wenn der Switch ein DHCPACK-Paket empfängt, aktualisiert er Lease-Informationen für die IP-MAC-Adressbindungen in seiner Datenbank.

    • Wenn der Switch ein DHCPNACK-Paket empfängt, löscht er den Platzhalter.

Hinweis:

Die DHCP-Datenbank wird erst aktualisiert, nachdem das DHCPREQUEST-Paket gesendet wurde.

Allgemeine Informationen zu den Nachrichten, die der DHCP-Client und der DHCP-Server während der Zuweisung einer IP-Adresse für den Client austauschen, finden Sie im Konfigurationshandbuch für Junos OS System Basics.

DHCPv6-Snooping

Ab Junos OS Version 14.1X53-D10 wird DHCP-Snooping für IPv6-Pakete auf EX 9200 Switches unterstützt.DHCP-Snooping wird auch für IPv6-Pakete unterstützt. Der Prozess für DHCPv6-Snooping ähnelt dem für DHCP-Snooping, verwendet jedoch unterschiedliche Namen für die Nachrichten, die zwischen dem Client und dem Server ausgetauscht werden, um IPv6-Adressen zuzuweisen. Tabelle 1 zeigt DHCPv6-Nachrichten und deren DHCPv4-Äquivalente.

Tabelle 1: DHCPv6-Nachrichten und DHCPv4-äquivalente Nachrichten

Gesendet von

DHCPv6-Nachrichten

DHCPv4-äquivalente Nachrichten

Kunde

ERBITTEN

DHCPDISCOVER

Server

WERBEN

DHCP-OFFER

Kunde

ANFORDERN, ERNEUERN, REBIND

DHCPFRAGEN

Server

ANTWORT

DHCPACK/DHCPNAK

Kunde

RELEASE

DHCPRELEASE

Kunde

INFORMATIONSANFRAGE

DHCPINFORM

Kunde

ABLEHNEN

DHCPDECLINE

Kunde

BESTÄTIGEN

nichts

Server

KONFIGURIEREN

DHCPFORCENEU

Kunde

RELAY-FORW, RELAY-REPLY

nichts

Rapid Commit für DHCPv6

Die DHCPv6 Rapid Commit-Option kann den Austausch von Nachrichten zwischen Client und Server verkürzen. Wenn sie vom Server unterstützt und vom Client festgelegt wird, verkürzt diese Option den Austausch von einem Vier-Wege-Relay zu einem Handshake mit zwei Nachrichten. Weitere Informationen zur Aktivierung der Rapid Commit-Option finden Sie unter Konfigurieren von DHCPv6 Rapid Commit (MX-Serie, EX-Serie).

Wenn die Rapid Commit-Option aktiviert ist, erfolgt der Austausch von Nachrichten wie folgt:

  1. Der DHCPv6-Client sendet eine SOLICIT-Nachricht, die eine Anforderung enthält, dass eine schnelle Zuweisung von Adresse, Präfix und anderen Konfigurationsparametern bevorzugt wird.

  2. Wenn der DHCPv6-Server eine schnelle Zuweisung unterstützt, reagiert er mit einer REPLY-Nachricht, die die zugewiesene IPv6-Adresse und das Präfix und andere Konfigurationsparameter enthält.

DHCP-Serverzugriff

Der Zugriff eines Switches auf den DHCP-Server kann auf drei Arten konfiguriert werden:

Switch, DHCP-Clients und der DHCP-Server befinden sich alle im selben VLAN

Wenn Switch, DHCP-Clients und DHCP-Server alle Mitglieder desselben VLAN sind, kann der DHCP-Server auf zwei Arten mit dem Switch verbunden werden:

Hinweis:

Um DHCP-Snooping im VLAN zu aktivieren, konfigurieren Sie die DHCP-Sicherheitsanweisung in der [edit vlans vlan-name forwarding-options] Hierarchie.

  • (Siehe Abbildung 1.) Der Server ist direkt mit demselben Switch verbunden wie mit den DHCP-Clients (den Hosts oder Netzwerkgeräten, die IP-Adressen vom Server anfordern). Das VLAN ist für DHCP-Snooping aktiviert, um die nicht vertrauenswürdigen Zugriffsports zu schützen. Der Trunk-Port ist standardmäßig als vertrauenswürdiger Port konfiguriert.

  • (Siehe Abbildung 2.) Der Server ist mit einem Vermittler-Switch (Switch 2) verbunden, der über einen Trunk-Port mit dem Switch (Switch 1) verbunden ist, mit dem die DHCP-Clients verbunden sind. Switch 2 wird als Transit-Switch verwendet. Das VLAN ist für DHCP-Snooping aktiviert, um die nicht vertrauenswürdigen Zugriffsports von Switch 1 zu schützen. Der Trunk-Port ist standardmäßig als vertrauenswürdiger Port konfiguriert. In Abbildung 2 ist ge-0/0/11 ein vertrauenswürdiger Trunk-Port.

Abbildung 1: DHCP-Server, der direkt mit einem Switch DHCP Server Connected Directly to a Switch verbunden ist
Abbildung 2: DHCP-Server, der direkt mit Switch 2 verbunden ist, wobei Switch 2 über einen vertrauenswürdigen Trunk-Port DHCP Server Connected Directly to Switch 2, with Switch 2 Connected to Switch 1 Through a Trusted Trunk Port mit Switch 1 verbunden ist

Switch fungiert als DHCP-Server

Sie können DHCP-Optionen für lokale Server auf dem Switch konfigurieren, wodurch der Switch als erweiterter lokaler DHCP-Server fungiert. In Abbildung 3 sind die DHCP-Clients über nicht vertrauenswürdige Zugriffsports mit dem erweiterten lokalen DHCP-Server verbunden.

Abbildung 3: Switch ist der DHCP-Server Switch Is the DHCP Server

Switch fungiert als Relay-Agent

Der Switch fungiert als Relay-Agent, wenn die DHCP-Clients oder der DHCP-Server über eine Layer-3-Schnittstelle (auf einem Switch oder Router) mit dem Switch verbunden sind. Die Layer-3-Schnittstellen auf dem Switch sind als geroutete VLAN-Schnittstellen (RVIs) konfiguriert – auch als integrierte Routing- und Bridging-Schnittstellen (IRB) bezeichnet. Die Trunkschnittstellen werden standardmäßig vertrauenswürdig.

Der Switch kann in diesen beiden Szenarien als Relay-Agent fungieren:

  • Der DHCP-Server und die Clients befinden sich in verschiedenen VLANs.

  • Der Switch ist mit einem Router verbunden, der wiederum mit dem DHCP-Server verbunden ist. Siehe Abbildung 4.

Abbildung 4: Switch fungiert als Relay-Agent über einen Router zum DHCP-Server Switch Acting as a Relay Agent Through a Router to the DHCP Server

Statische IP-Adressenzusätze zur DHCP-Snooping-Datenbank

Sie können statische (feste) IP-Adressen hinzufügen und sie an feste MAC-Adressen in der DHCP-Snooping-Datenbank binden. Diese Bindungen werden in der Datenbank statisch gekennzeichnet, während diejenigen Bindungen, die während des DHCP-Snooping hinzugefügt wurden, dynamisch gekennzeichnet sind. Statische IPv6-Adresszuweisung ist auch für DHCPv6 verfügbar. Konfigurationsdetails finden Sie unter Konfigurieren statischer DHCP-IP-Adressen für DHCP-Snooping.

Versionsverlaufstabelle
Release
Beschreibung
14.1X53-D35
Ab Junos OS Version 14.1X53-D35 wird ein Netzwerkgerät mit fester IP-Zuordnung vom DHCP-Server durch ein neues Gerät mit einer anderen MAC-Adresse ersetzt.
14.1X53-D10
Ab Junos OS Version 14.1X53-D10 wird DHCP-Snooping für IPv6-Pakete auf EX 9200-Switches unterstützt.
13,2 X 51-D20
Ab Junos OS Version 17.1R1 können Sie DHCP-Snooping oder DHCPv6-Snooping auf einem VLAN konfigurieren, ohne andere Portsicherheitsfunktionen zu aktivieren, indem Sie die dhcp-security CLI-Anweisung am [edit vlans vlan-name forwarding-options dhcp-security]konfigurieren.