Verständnis von DHCP-Snooping (ELS)
Dieses Thema enthält Informationen zur Aktivierung von DHCP-Snooping (Dynamic Host Configuration Protocol) bei der Verwendung von Junos OS für Switches der EX-Serie mit Unterstützung für den ELS-Konfigurationsstil (Enhanced Layer 2 Software). Wenn auf Ihrem Switch Junos OS-Software ausgeführt wird, die ELS nicht unterstützt, finden Sie Informationen zu DHCP-Snooping (nicht-ELS). ELS-Details finden Sie unter Verwenden der Enhanced Layer 2 Software CLI.
DHCP-Snooping ermöglicht dem Switching-Gerät, das entweder ein Switch oder ein Router sein kann, DHCP-Nachrichten zu überwachen, die von nicht vertrauenswürdigen Geräten empfangen werden, die mit dem Switching-Gerät verbunden sind. Wenn DHCP-Snooping in einem VLAN aktiviert ist, überprüft das System DHCP-Nachrichten, die von nicht vertrauenswürdigen Hosts gesendet werden, die mit dem VLAN verknüpft sind, und extrahiert deren IP-Adressen und Leasinginformationen. Diese Informationen werden zum Aufbau und zur Wartung der DHCP-Snooping-Datenbank verwendet. Nur Hosts, die mit dieser Datenbank verifiziert werden können, sind für den Zugriff auf das Netzwerk berechtigt.
DHCP-Snooping-Grundlagen
DHCP weist IP-Adressen dynamisch zu, Leasing-Adressen an Geräte, sodass die Adressen wiederverwendet werden können, wenn sie von den Geräten, denen sie zugewiesen wurden, nicht mehr benötigt werden. Hosts und Endgeräte, die ÜBER DHCP erhaltene IP-Adressen benötigen, müssen über das LAN mit einem DHCP-Server kommunizieren.
DHCP-Snooping fungiert als Hüter der Netzwerksicherheit, indem gültige IP-Adressen überwacht werden, die einem nachgeschalteten Netzwerkgeräte von einem vertrauenswürdigen DHCP-Server zugewiesen werden (der Server ist mit einem vertrauenswürdigen Netzwerkport verbunden).
Standardmäßig werden alle Trunk-Ports auf dem Switch vertrauenswürdig und alle Zugriffsports für DHCP-Snooping nicht vertrauenswürdig.
Ab Junos OS Version 18.4R1 erfolgt DHCP-Snooping auf vertrauenswürdigen Ports für die folgenden Switches der Juniper-Serie, EX2300, EX4600 und QFX5K. Vor Junos OS Version 18.4R1 war dies für diese Geräte nur für DHCPv6-Snooping der Fall. Darüber hinaus erfolgt DHCP-Snooping auf vertrauenswürdigen Ports für Switches der EX9200-Serie und Fusion Enterprises, die Junos OS Version 19.1R1 und höher ausführen.
Sie können einen Zugriffsport als vertrauenswürdig oder einen Trunk-Port als nicht vertrauenswürdig konfigurieren, wobei die Konfigurationsanweisung entweder mit der vertrauenswürdigen oder nicht vertrauenswürdigen Option außer Kraft gesetzt wird.
Wenn DHCP-Snooping aktiviert ist, werden die Lease-Informationen vom Server zum Erstellen der DHCP-Snooping-Tabelle verwendet, die auch als DHCP-Bindungstabelle bezeichnet wird. Die Tabelle zeigt aktuelle IP-MAC-Adressbindungen sowie Leasingzeit, Bindungstyp, Namen der zugehörigen VLANs und Schnittstellen.
Einträge in der DHCP-Snooping-Tabelle werden in den folgenden Ereignissen aktualisiert:
Wenn ein Netzwerkgerät eine IP-Adresse freigibt (sendet eine DHCPRELEASE-Nachricht). In diesem Fall wird der zugehörige Zuordnungseintrag aus der Datenbank gelöscht.
Wenn Sie ein Netzwerkgerät von einem VLAN in ein anderes verschieben. In diesem Fall muss das Gerät in der Regel eine neue IP-Adresse erwerben. Daher wird sein Eintrag in der Datenbank, einschließlich des VLAN-Namens, aktualisiert.
Wenn die vom DHCP-Server zugewiesene Leasingzeit (Timeout-Wert) abläuft. In diesem Fall wird der zugehörige Eintrag aus der Datenbank gelöscht.
Wenn das Netzwerkgerät seine Lease erneuert, indem es eine Unicast DHCPREQUEST-Nachricht sendet und eine positive Antwort vom DHCP-Server erhält. In diesem Fall wird die Leasingzeit in der Datenbank aktualisiert.
Wenn das Netzwerkgerät den DHCP-Server, der den Leasing ursprünglich gewährt hat, nicht erreichen kann, sendet es eine Broadcast-DHCPREQUEST-Nachricht und rebindiert an den DHCP-Server, der antwortet. In diesem Fall erhält der Client eine neue IP-Adresse und die Bindung wird in der DHCP-Snooping-Tabelle aktualisiert.
Wenn ab Junos OS Version 14.1X53-D35 ein Netzwerkgerät mit fester IP-Zuordnung vom DHCP-Server durch ein neues Gerät mit einer anderen MAC-Adresse ersetzt wird, wird die neue IP-MAC-Adressbindung gespeichert, bis der Server eine DHCPACK-Nachricht sendet; dann wird der Eintrag in der DHCP-Snooping-Tabelle mit der neuen Adressbindung aktualisiert.
Standardmäßig sind die IP-MAC-Bindungen verloren, wenn der Switch neu gestartet wird, und die DHCP-Clients (die Netzwerkgeräte oder Hosts) müssen die Bindungen erneut benötigen. Sie können die Bindungen jedoch so konfigurieren, dass sie beibehalten werden, indem Sie die dhcp-snooping-file
Anweisung festlegen, um die Datenbankdatei entweder lokal oder remote zu speichern.
Sie können den Switch so konfigurieren, dass die DHCP-Serverantworten nur von bestimmten VLANs abgerufen werden. Dadurch wird das Spoofing von DHCP-Servernachrichten verhindert.
Aktivieren von DHCP-Snooping
DHCP-Snooping ist in der Standard-Switch-Konfiguration nicht aktiviert. DHCP-Snooping wird automatisch von Junos OS aktiviert, wenn Sie portsicherheitsfunktionen auf Hierarchieebene [edit vlans vlan-name forwarding-options dhcp-security]
konfigurieren. Ab Junos OS Version 17.1R1 können Sie DHCP-Snooping oder DHCPv6-Snooping auf einem VLAN konfigurieren, ohne andere Portsicherheitsfunktionen zu aktivieren, indem Sie die dhcp-security
CLI-Anweisung am [edit vlans vlan-name forwarding-options dhcp-security]
konfigurieren. Sie aktivieren DHCP-Snooping pro VLAN, nicht pro Schnittstelle (Port). Weitere Informationen zum Aktivieren von DHCP-Snooping finden Sie unter Konfigurieren von Portsicherheit (ELS).
Um DHCP-Snooping zu deaktivieren, müssen Sie die dhcp-security
Anweisung aus der Konfiguration löschen. DHCP-Snooping wird nicht automatisch deaktiviert, wenn Sie andere Portsicherheitsfunktionen deaktivieren.
DHCP-Snooping-Prozess
Der DHCP-Snooping-Prozess besteht aus den folgenden Schritten:
Wenn DHCP-Snooping für ein VLAN aktiviert ist, werden alle DHCP-Pakete, die von Netzwerkgeräten in diesem VLAN gesendet werden, dhcp-Snooping unterzogen. Die endgültige IP-MAC-Bindung erfolgt, wenn der DHCP-Server ein DHCPACK-Paket an den DHCP-Client sendet.
Das Netzwerkgerät sendet ein DHCPDISCOVER-Paket, um eine IP-Adresse anzufordern.
Der Switch leitet das Paket an den DHCP-Server weiter.
Der Server sendet ein DHCPOFFER-Paket, um eine Adresse anzubieten. Wenn das DHCPOFFER-Paket von einer vertrauenswürdigen Schnittstelle stammt, leitet der Switch das Paket an das Netzwerkgerät weiter.
Das Netzwerkgerät sendet ein DHCPREQUEST-Paket, um die IP-Adresse zu akzeptieren. Der Switch fügt einen IP-MAC-Platzhalter hinzu, der an die DHCP-Snooping-Tabelle gebunden ist. Der Eintrag gilt als Platzhalter, bis ein DHCPACK-Paket vom Server empfangen wird. Bis dahin konnte die IP-Adresse noch einem anderen Host zugewiesen werden.
Der Server sendet ein DHCPACK-Paket, um die IP-Adresse zuzuweisen, oder ein DHCPNAK-Paket, um die Adressanforderung abzulehnen.
Der Switch aktualisiert die DHCP-Datenbank entsprechend dem Typ des empfangenen Pakets:
Wenn der Switch ein DHCPACK-Paket empfängt, aktualisiert er Lease-Informationen für die IP-MAC-Adressbindungen in seiner Datenbank.
Wenn der Switch ein DHCPNACK-Paket empfängt, löscht er den Platzhalter.
Die DHCP-Datenbank wird erst aktualisiert, nachdem das DHCPREQUEST-Paket gesendet wurde.
Allgemeine Informationen zu den Nachrichten, die der DHCP-Client und der DHCP-Server während der Zuweisung einer IP-Adresse für den Client austauschen, finden Sie im Konfigurationshandbuch für Junos OS System Basics.
DHCPv6-Snooping
Ab Junos OS Version 14.1X53-D10 wird DHCP-Snooping für IPv6-Pakete auf EX 9200 Switches unterstützt.DHCP-Snooping wird auch für IPv6-Pakete unterstützt. Der Prozess für DHCPv6-Snooping ähnelt dem für DHCP-Snooping, verwendet jedoch unterschiedliche Namen für die Nachrichten, die zwischen dem Client und dem Server ausgetauscht werden, um IPv6-Adressen zuzuweisen. Tabelle 1 zeigt DHCPv6-Nachrichten und deren DHCPv4-Äquivalente.
Gesendet von |
DHCPv6-Nachrichten |
DHCPv4-äquivalente Nachrichten |
---|---|---|
Kunde |
ERBITTEN |
DHCPDISCOVER |
Server |
WERBEN |
DHCP-OFFER |
Kunde |
ANFORDERN, ERNEUERN, REBIND |
DHCPFRAGEN |
Server |
ANTWORT |
DHCPACK/DHCPNAK |
Kunde |
RELEASE |
DHCPRELEASE |
Kunde |
INFORMATIONSANFRAGE |
DHCPINFORM |
Kunde |
ABLEHNEN |
DHCPDECLINE |
Kunde |
BESTÄTIGEN |
nichts |
Server |
KONFIGURIEREN |
DHCPFORCENEU |
Kunde |
RELAY-FORW, RELAY-REPLY |
nichts |
Rapid Commit für DHCPv6
Die DHCPv6 Rapid Commit-Option kann den Austausch von Nachrichten zwischen Client und Server verkürzen. Wenn sie vom Server unterstützt und vom Client festgelegt wird, verkürzt diese Option den Austausch von einem Vier-Wege-Relay zu einem Handshake mit zwei Nachrichten. Weitere Informationen zur Aktivierung der Rapid Commit-Option finden Sie unter Konfigurieren von DHCPv6 Rapid Commit (MX-Serie, EX-Serie).
Wenn die Rapid Commit-Option aktiviert ist, erfolgt der Austausch von Nachrichten wie folgt:
Der DHCPv6-Client sendet eine SOLICIT-Nachricht, die eine Anforderung enthält, dass eine schnelle Zuweisung von Adresse, Präfix und anderen Konfigurationsparametern bevorzugt wird.
Wenn der DHCPv6-Server eine schnelle Zuweisung unterstützt, reagiert er mit einer REPLY-Nachricht, die die zugewiesene IPv6-Adresse und das Präfix und andere Konfigurationsparameter enthält.
DHCP-Serverzugriff
Der Zugriff eines Switches auf den DHCP-Server kann auf drei Arten konfiguriert werden:
- Switch, DHCP-Clients und der DHCP-Server befinden sich alle im selben VLAN
- Switch fungiert als DHCP-Server
- Switch fungiert als Relay-Agent
Switch, DHCP-Clients und der DHCP-Server befinden sich alle im selben VLAN
Wenn Switch, DHCP-Clients und DHCP-Server alle Mitglieder desselben VLAN sind, kann der DHCP-Server auf zwei Arten mit dem Switch verbunden werden:
Um DHCP-Snooping im VLAN zu aktivieren, konfigurieren Sie die DHCP-Sicherheitsanweisung in der [edit vlans vlan-name forwarding-options]
Hierarchie.
(Siehe Abbildung 1.) Der Server ist direkt mit demselben Switch verbunden wie mit den DHCP-Clients (den Hosts oder Netzwerkgeräten, die IP-Adressen vom Server anfordern). Das VLAN ist für DHCP-Snooping aktiviert, um die nicht vertrauenswürdigen Zugriffsports zu schützen. Der Trunk-Port ist standardmäßig als vertrauenswürdiger Port konfiguriert.
(Siehe Abbildung 2.) Der Server ist mit einem Vermittler-Switch (Switch 2) verbunden, der über einen Trunk-Port mit dem Switch (Switch 1) verbunden ist, mit dem die DHCP-Clients verbunden sind. Switch 2 wird als Transit-Switch verwendet. Das VLAN ist für DHCP-Snooping aktiviert, um die nicht vertrauenswürdigen Zugriffsports von Switch 1 zu schützen. Der Trunk-Port ist standardmäßig als vertrauenswürdiger Port konfiguriert. In Abbildung 2 ist ge-0/0/11 ein vertrauenswürdiger Trunk-Port.


Switch fungiert als DHCP-Server
Sie können DHCP-Optionen für lokale Server auf dem Switch konfigurieren, wodurch der Switch als erweiterter lokaler DHCP-Server fungiert. In Abbildung 3 sind die DHCP-Clients über nicht vertrauenswürdige Zugriffsports mit dem erweiterten lokalen DHCP-Server verbunden.

Switch fungiert als Relay-Agent
Der Switch fungiert als Relay-Agent, wenn die DHCP-Clients oder der DHCP-Server über eine Layer-3-Schnittstelle (auf einem Switch oder Router) mit dem Switch verbunden sind. Die Layer-3-Schnittstellen auf dem Switch sind als geroutete VLAN-Schnittstellen (RVIs) konfiguriert – auch als integrierte Routing- und Bridging-Schnittstellen (IRB) bezeichnet. Die Trunkschnittstellen werden standardmäßig vertrauenswürdig.
Der Switch kann in diesen beiden Szenarien als Relay-Agent fungieren:
Der DHCP-Server und die Clients befinden sich in verschiedenen VLANs.
Der Switch ist mit einem Router verbunden, der wiederum mit dem DHCP-Server verbunden ist. Siehe Abbildung 4.

Statische IP-Adressenzusätze zur DHCP-Snooping-Datenbank
Sie können statische (feste) IP-Adressen hinzufügen und sie an feste MAC-Adressen in der DHCP-Snooping-Datenbank binden. Diese Bindungen werden in der Datenbank statisch gekennzeichnet, während diejenigen Bindungen, die während des DHCP-Snooping hinzugefügt wurden, dynamisch gekennzeichnet sind. Statische IPv6-Adresszuweisung ist auch für DHCPv6 verfügbar. Konfigurationsdetails finden Sie unter Konfigurieren statischer DHCP-IP-Adressen für DHCP-Snooping.
dhcp-security
CLI-Anweisung am
[edit vlans vlan-name forwarding-options dhcp-security]
konfigurieren.