Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Grundlegendes zu DHCP-Snooping (Nicht-ELS)

Anmerkung:

Dieses Thema enthält Informationen zur Aktivierung von DHCP-Snooping (Dynamic Host Configuration Protocol) für Junos Switches der EX-Serie, die die Enhanced Layer 2 Software (ELS) nicht unterstützen. Wenn auf Ihrem Switch eine Version von Junos ausgeführt wird, die ELS unterstützt, finden Sie weitere Informationen unter Grundlegendes zu DHCP-Snooping (ELS). ELS-Details finden Sie unter Verwenden der erweiterten Layer 2-Software-CLI.

DHCP-Snooping ermöglicht es dem Switching-Gerät, bei dem es sich entweder um einen Switch oder einen Router handeln kann, DHCP-Nachrichten zu überwachen, die von nicht vertrauenswürdigen Geräten empfangen werden, die mit dem Switching-Gerät verbunden sind. Wenn DHCP-Snooping in einem VLAN aktiviert ist, untersucht das System DHCP-Nachrichten, die von nicht vertrauenswürdigen Hosts gesendet werden, die mit dem VLAN verknüpft sind, und extrahiert deren IP-Adressen und Lease-Informationen. Diese Informationen werden verwendet, um die DHCP-Snooping-Datenbank zu erstellen und zu verwalten. Nur Hosts, die mit dieser Datenbank verifiziert werden können, erhalten Zugriff auf das Netzwerk.

Grundlagen des DHCP-Snoopings

DHCP (Dynamic Host Configuration Protocol) weist IP-Adressen dynamisch zu und vermietet Adressen an Geräte, sodass die Adressen wiederverwendet werden können, wenn sie nicht mehr benötigt werden. Hosts und Endgeräte, die IP-Adressen benötigen, die über DHCP bezogen werden, müssen mit einem DHCP-Server über das LAN kommunizieren.

DHCP-Snooping fungiert als Wächter der Netzwerksicherheit, indem es gültige IP-Adressen verfolgt, die nachgeschalteten Netzwerkgeräten von einem vertrauenswürdigen DHCP-Server zugewiesen wurden (der Server ist mit einem vertrauenswürdigen Netzwerkport verbunden).

Standardmäßig sind alle Trunk-Ports auf dem Switch vertrauenswürdig und alle Zugriffsports für DHCP-Snooping nicht vertrauenswürdig.

Wenn DHCP-Snooping aktiviert ist, werden die Lease-Informationen vom Switching-Gerät verwendet, um die DHCP-Snooping-Tabelle zu erstellen, die auch als Bindungstabelle bezeichnet wird. Die Tabelle zeigt die IP-MAC-Bindung sowie die Lease-Zeit für die IP-Adresse, den Bindungstyp, den VLAN-Namen und die Schnittstelle für jeden Host.

Anmerkung:

DHCP-Snooping ist in der Standardkonfiguration des Switching-Geräts deaktiviert. Sie müssen DHCP-Snooping explizit aktivieren, indem Sie eine Einstellung auf Hierarchieebene [edit ethernet-switching-options secure-access-port] vornehmenexamine-dhcp.

Einträge in der DHCP-Snooping-Datenbank werden in den folgenden Ereignissen aktualisiert:

  • Wenn ein DHCP-Client eine IP-Adresse freigibt (sendet eine DHCPRELEASE-Nachricht). In diesem Fall wird der zugehörige Zuordnungseintrag aus der Datenbank gelöscht.

  • Wenn Sie ein Netzwerkgerät von einem VLAN in ein anderes verschieben. In diesem Fall muss das Gerät in der Regel eine neue IP-Adresse abrufen. Daher wird sein Eintrag in der Datenbank, einschließlich seiner VLAN-ID, aktualisiert.

  • Wenn die vom DHCP-Server zugewiesene Leasezeit (Timeoutwert) abläuft. In diesem Fall wird der zugehörige Eintrag aus der Datenbank gelöscht.

Trinkgeld:

Standardmäßig gehen die IP-MAC-Bindungen verloren, wenn das Switching-Gerät neu gestartet wird, und DHCP-Clients (die Netzwerkgeräte oder Hosts) müssen die Bindungen erneut abrufen. Sie können die Bindungen jedoch so konfigurieren, dass sie beibehalten werden, indem Sie die dhcp-snooping-file Anweisung so festlegen, dass die Datenbankdatei entweder lokal oder remote gespeichert wird.

Sie können das Switching-Gerät so konfigurieren, dass es nur DHCP-Serverantworten von bestimmten VLANs ausspäht. Dadurch wird Spoofing von DHCP-Servernachrichten verhindert.

Sie konfigurieren DHCP-Snooping pro VLAN, nicht pro Schnittstelle (Port). DHCP-Snooping ist auf Switching-Geräten standardmäßig deaktiviert.

DHCP-Snooping-Prozess

Der grundlegende Prozess des DHCP-Snoopings besteht aus den folgenden Schritten:

Anmerkung:

Wenn DHCP-Snooping für ein VLAN aktiviert ist, werden alle DHCP-Pakete, die von den Netzwerkgeräten in diesem VLAN gesendet werden, DHCP-Snooping unterzogen. Die endgültige IP-MAC-Bindung erfolgt, wenn der DHCP-Server DHCPACK an den DHCP-Client sendet.

  1. Das Netzwerkgerät sendet ein DHCPDISCOVER-Paket, um eine IP-Adresse anzufordern.

  2. Das Switching-Gerät leitet das Paket an den DHCP-Server weiter.

  3. Der Server sendet ein DHCPOFFER-Paket, um eine Adresse anzubieten. Wenn das DHCPOFFER-Paket von einer vertrauenswürdigen Schnittstelle stammt, leitet das Switching-Gerät das Paket an den DHCP-Client weiter.

  4. Das Netzwerkgerät sendet ein DHCPREQUEST-Paket, um die IP-Adresse zu akzeptieren. Das Switching-Gerät fügt der Datenbank eine IP-MAC-Platzhalterbindung hinzu. Der Eintrag wird als Platzhalter betrachtet, bis ein DHCPACK-Paket vom Server empfangen wird. Bis dahin könnte die IP-Adresse noch einem anderen Host zugeordnet werden.

  5. Der Server sendet ein DHCPACK-Paket, um die IP-Adresse zuzuweisen, oder ein DHCPNAK-Paket, um die Adressanforderung abzulehnen.

  6. Das Switching-Gerät aktualisiert die DHCP-Snooping-Datenbank entsprechend dem Typ des empfangenen Pakets:

    • Wenn das Switching-Gerät ein DHCPACK-Paket empfängt, aktualisiert es die Lease-Informationen für die IP-MAC-Bindungen in seiner Datenbank.

    • Wenn das Switching-Gerät ein DHCPNACK-Paket empfängt, löscht es den Platzhalter.

Anmerkung:

Die DHCP-Snooping-Datenbank wird erst aktualisiert, nachdem das DHCPREQUEST-Paket gesendet wurde.

Allgemeine Informationen zu den Nachrichten, die der DHCP-Client und der DHCP-Server bei der Zuweisung einer IP-Adresse für den Client austauschen, finden Sie in der Junos OS Administration Library.

DHCPv6-Snooping

DHCPv6-Snooping ist das Äquivalent zu DHCP-Snooping für IPv6. Der Prozess für DHCPv6-Snooping ähnelt dem für DHCP-Snooping, verwendet jedoch andere Namen für die Nachrichten, die zwischen Client und Server ausgetauscht werden, um IPv6-Adressen zuzuweisen. Tabelle 1 zeigt DHCPv6-Nachrichten und ihre DHCP-Entsprechungen.

Tabelle 1: DHCPv6-Nachrichten und entsprechende DHCPv4-Nachrichten

Gesendet von

DHCPv6-Nachrichten

Äquivalente DHCP-Nachrichten

Kunde

ERBITTEN

DHCPDISCOVER

Server

INSERIEREN

DHCPOFFER

Kunde

ANFORDERN, ERNEUERN, NEU BINDEN

DHCPREQUEST

Server

ANTWORT

DHCPACK/DHCPNAK

Kunde

LOSLASSEN

DHCPRELEASE

Kunde

INFORMATIONS-ANFRAGE

DHCPINFORM

Kunde

ABLEHNEN

DHCPDECLINE

Kunde

BESTÄTIGEN

nichts

Server

REKONFIGURIEREN

DHCPFORCERENEW

Kunde

RELAIS-FORW, RELAIS-ANTWORT

nichts

Rapid Commit für DHCPv6

DHCPv6 sieht eine Rapid-Commit-Option (DHCPv6-Option 14) vor, die, wenn sie vom Server unterstützt und vom Client festgelegt wird, den Austausch von einem Vier-Wege-Relay auf einen Zwei-Nachrichten-Handshake verkürzt. Weitere Informationen zum Aktivieren der Option "Rapid Commit" finden Sie unter Konfigurieren von DHCPv6 Rapid Commit (MX-Serie, EX-Serie).

Im Rapid-Commit-Prozess:

  1. Der DHCPv6-Client sendet eine SOLICIT-Nachricht mit der Anforderung, dass die schnelle Zuweisung von Adresse, Präfix und anderen Konfigurationsparametern bevorzugt wird.

  2. Wenn der DHCPv6-Server die schnelle Zuweisung unterstützt, antwortet er mit einer REPLY-Nachricht, die die zugewiesene IPv6-Adresse und das Präfix sowie andere Konfigurationsparameter enthält.

DHCP-Serverzugriff

Sie können den Zugriff eines Switching-Geräts auf den DHCP-Server auf drei Arten konfigurieren:

Switching-Gerät, DHCP-Clients und DHCP-Server befinden sich alle im selben VLAN

Wenn das Switching-Gerät, die DHCP-Clients und der DHCP-Server alle Mitglieder desselben VLANs sind, kann der DHCP-Server auf zwei Arten mit dem Switching-Gerät verbunden werden:

  • Der Server ist direkt mit demselben Switching-Gerät verbunden wie dasjenige, das mit den DHCP-Clients verbunden ist (die Hosts oder Netzwerkgeräte, die IP-Adressen vom Server anfordern). Das VLAN ist für DHCP-Snooping aktiviert, um die nicht vertrauenswürdigen Zugriffsports zu schützen. Der Trunk-Port ist standardmäßig als vertrauenswürdiger Port konfiguriert. Siehe Abbildung 1.

  • Der Server ist mit einem zwischengeschalteten Vermittlungsgerät (Switching-Gerät 2) verbunden. Die DHCP-Clients sind mit Switching-Gerät 1 verbunden, das über einen Trunk-Port mit Switching-Gerät 2 verbunden ist. Switching-Gerät 2 wird als Transitgerät verwendet. Das VLAN ist für DHCP-Snooping aktiviert, um die nicht vertrauenswürdigen Zugriffsports zu schützen. Der Trunk-Port ist standardmäßig als vertrauenswürdiger Port konfiguriert. Wie in Abbildung 2 dargestellt, ist ge-0/0/11 ein vertrauenswürdiger Trunk-Port.

Abbildung 1: DHCP-Server, der direkt mit einem Switching-Gerät DHCP Server Connected Directly to a Switching Device verbunden ist
Abbildung 2: DHCP-Server, der direkt mit Switching-Gerät 2 verbunden ist, wobei Switching-Gerät 2 über einen vertrauenswürdigen Trunk-Port Network diagram showing DHCP clients connected to a switch via port ge-0/0/1 and then to a DHCP server via another switch using port ge-0/0/11. mit Switching-Gerät 1 verbunden ist

Switching-Gerät fungiert als DHCP-Server

Anmerkung:

Das Switching-Gerät, das als DHCP-Server fungiert, wird von der QFX-Serie nicht unterstützt.

Das Switching-Gerät selbst ist als DHCP-Server konfiguriert. Dies wird als lokale Konfiguration bezeichnet. Siehe Abbildung 3.

Abbildung 3: Bei dem Switching-Gerät handelt es sich um den DHCP-Server Switching Device Is the DHCP Server.

Switching-Gerät fungiert als Relais-Agent

Das Switching-Gerät fungiert als Relay-Agent, wenn die DHCP-Clients oder der DHCP-Server über eine Layer-3-Schnittstelle mit dem Gerät verbunden sind. Die Layer-3-Schnittstellen auf dem Switching-Gerät sind als geroutete VLAN-Schnittstellen (RVIs) konfiguriert, die auch als IRB-Schnittstellen (Integrated Routing and Bridging) bezeichnet werden. Die Trunk-Schnittstellen werden standardmäßig als vertrauenswürdig eingestuft.

Diese beiden Szenarien veranschaulichen, dass das Switching-Gerät als Relais-Agent fungiert:

  • Der DHCP-Server und die Clients befinden sich in unterschiedlichen VLANs.

  • Das Switching-Gerät ist mit einem Router verbunden, der wiederum mit dem DHCP-Server verbunden ist. Siehe Abbildung 4.

Abbildung 4: Switching-Gerät, das als Relais-Agent über den Router zum DHCP-Server Network diagram showing DHCP clients connected to a switch, router, and DHCP server for IP allocation. fungiert

Hinzufügen statischer IP-Adressen zur DHCP-Snooping-Datenbank

Sie können der Datenbank bestimmte statische IP-Adressen hinzufügen und die Adressen dynamisch über DHCP-Snooping zuweisen lassen. Um statische IP-Adressen hinzuzufügen, geben Sie die IP-Adresse, die MAC-Adresse des Geräts, die Schnittstelle, mit der das Gerät verbunden ist, und das VLAN, mit dem die Schnittstelle verknüpft ist, an. Dem Eintrag wird keine Lease-Zeit zugewiesen. Der statisch konfigurierte Eintrag läuft nie ab.

Ausspionieren von DHCP-Paketen mit ungültigen IP-Adressen

Wenn Sie DHCP-Snooping in einem VLAN aktivieren und dann Geräte in diesem VLAN DHCP-Pakete senden, die ungültige IP-Adressen anfordern, werden diese ungültigen IP-Adressen in der DHCP-Snooping-Datenbank gespeichert, bis sie gelöscht werden, wenn ihre Standardzeitüberschreitung erreicht ist. Um diesen unnötigen Speicherplatzverbrauch in der DHCP-Snooping-Datenbank zu vermeiden, verwirft das Switching-Gerät die DCHP-Pakete, die ungültige IP-Adressen anfordern, und verhindert so das Snooping dieser Pakete. Die ungültigen IP-Adressen sind:

  • 0.0.0.0

  • 128.0.x.x

  • 191.255.x.x

  • 192.0.0.x

  • 223.255.255x.

  • 224.x.x.x

  • 240.x.x.x bis 255.255.255.255

Priorisierung von ausgeschnüffelten Paketen

Anmerkung:

Die Priorisierung von Snooped-Paketen wird auf der QFX-Serie und dem EX4600-Switch nicht unterstützt.

Sie können CoS-Weiterleitungsklassen und -Warteschlangen (Class-of-Service) verwenden, um DHCP-Snooped-Pakete für ein bestimmtes VLAN zu priorisieren. Bei dieser Art der Konfiguration werden die DHCP-Snooped-Pakete für dieses VLAN in einer bestimmten Ausgangswarteschlange platziert, sodass das Sicherheitsverfahren die Übertragung von Datenverkehr mit hoher Priorität nicht beeinträchtigt.

Zugehörige Dokumentation