Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Grundlegendes zu DHCP-Snooping (Nicht-ELS)

Anmerkung:

Dieses Thema enthält Informationen zum Aktivieren von DHCP-Snooping (Dynamic Host Configuration Protocol) für Switches der Junos EX-Serie, die die erweiterte Layer-2-Software (ELS) nicht unterstützen. Wenn auf Ihrem Switch eine Version von Junos ausgeführt wird, die ELS unterstützt, finden Sie weitere Informationen unter Grundlegendes zu DHCP-Snooping (ELS). Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.

DHCP-Snooping ermöglicht es dem Switching-Gerät, bei dem es sich entweder um einen Switch oder einen Router handeln kann, DHCP-Nachrichten zu überwachen, die von nicht vertrauenswürdigen Geräten empfangen werden, die mit dem Switching-Gerät verbunden sind. Wenn DHCP-Snooping in einem VLAN aktiviert ist, untersucht das System DHCP-Nachrichten, die von nicht vertrauenswürdigen Hosts gesendet werden, die dem VLAN zugeordnet sind, und extrahiert deren IP-Adressen und Lease-Informationen. Diese Informationen werden verwendet, um die DHCP-Snooping-Datenbank aufzubauen und zu verwalten. Nur Hosts, die mithilfe dieser Datenbank verifiziert werden können, erhalten Zugriff auf das Netzwerk.

DHCP-Snooping-Grundlagen

DHCP (Dynamic Host Configuration Protocol) weist IP-Adressen dynamisch zu und vermietet Adressen an Geräte, sodass die Adressen wiederverwendet werden können, wenn sie nicht mehr benötigt werden. Hosts und Endgeräte, die IP-Adressen benötigen, die über DHCP bezogen werden, müssen über das LAN mit einem DHCP-Server kommunizieren.

DHCP-Snooping fungiert als Wächter der Netzwerksicherheit, indem es gültige IP-Adressen verfolgt, die nachgeschalteten Netzwerkgeräten von einem vertrauenswürdigen DHCP-Server zugewiesen wurden (der Server ist mit einem vertrauenswürdigen Netzwerkport verbunden).

Standardmäßig sind alle Trunk-Ports auf dem Switch vertrauenswürdig und alle Zugriffsports sind für DHCP-Snooping nicht vertrauenswürdig.

Wenn DHCP-Snooping aktiviert ist, werden die Lease-Informationen vom Switching-Gerät verwendet, um die DHCP-Snooping-Tabelle zu erstellen, die auch als Bindungstabelle bezeichnet wird. Die Tabelle zeigt die IP-MAC-Bindung sowie die Lease-Zeit für die IP-Adresse, den Bindungstyp, den VLAN-Namen und die Schnittstelle für jeden Host.

Anmerkung:

DHCP-Snooping ist in der Standardkonfiguration des Switching-Geräts deaktiviert. Sie müssen DHCP-Snooping explizit aktivieren, indem Sie die Einstellung auf Hierarchieebene [edit ethernet-switching-options secure-access-port] vornehmenexamine-dhcp.

Einträge in der DHCP-Snooping-Datenbank werden bei folgenden Ereignissen aktualisiert:

  • Wenn ein DHCP-Client eine IP-Adresse freigibt (eine DHCPRELEASE-Nachricht sendet). In diesem Fall wird der zugehörige Mapping-Eintrag aus der Datenbank gelöscht.

  • Wenn Sie ein Netzwerkgerät von einem VLAN in ein anderes verschieben. In diesem Fall muss das Gerät in der Regel eine neue IP-Adresse abrufen. Daher wird sein Eintrag in der Datenbank, einschließlich seiner VLAN-ID, aktualisiert.

  • Wenn die vom DHCP-Server zugewiesene Lease-Zeit (Timeout-Wert) abläuft. In diesem Fall wird der zugehörige Eintrag aus der Datenbank gelöscht.

Trinkgeld:

Standardmäßig gehen die IP-MAC-Bindungen verloren, wenn das Switching-Gerät neu gestartet wird und DHCP-Clients (die Netzwerkgeräte oder Hosts) die Bindungen erneut abrufen müssen. Sie können die Bindungen jedoch so konfigurieren, dass sie beibehalten werden, indem Sie die dhcp-snooping-file Anweisung so festlegen, dass die Datenbankdatei entweder lokal oder remote gespeichert wird.

Sie können das Switching-Gerät so konfigurieren, dass DHCP-Serverantworten nur von bestimmten VLANs ausspioniert werden. Dadurch wird das Spoofing von DHCP-Servernachrichten verhindert.

Sie konfigurieren DHCP-Snooping pro VLAN, nicht pro Schnittstelle (Port). DHCP-Snooping ist auf Switching-Geräten standardmäßig deaktiviert.

DHCP-Snooping-Prozess

Der grundlegende Prozess des DHCP-Snoopings besteht aus den folgenden Schritten:

Anmerkung:

Wenn DHCP-Snooping für ein VLAN aktiviert ist, werden alle DHCP-Pakete, die von den Netzwerkgeräten in diesem VLAN gesendet werden, dem DHCP-Snooping unterzogen. Die letzte IP-MAC-Bindung erfolgt, wenn der DHCP-Server DHCPACK an den DHCP-Client sendet.

  1. Das Netzwerkgerät sendet ein DHCPDISCOVER-Paket, um eine IP-Adresse anzufordern.

  2. Das Switching-Gerät leitet das Paket an den DHCP-Server weiter.

  3. Der Server sendet ein DHCPOFFER-Paket, um eine Adresse anzubieten. Wenn das DHCPOFFER-Paket von einer vertrauenswürdigen Schnittstelle stammt, leitet das Switching-Gerät das Paket an den DHCP-Client weiter.

  4. Das Netzwerkgerät sendet ein DHCP-Anforderungspaket, um die IP-Adresse zu akzeptieren. Das Switching-Gerät fügt der Datenbank eine IP-MAC-Platzhalterbindung hinzu. Der Eintrag wird als Platzhalter betrachtet, bis ein DHCPACK-Paket vom Server empfangen wird. Bis dahin könnte die IP-Adresse noch einem anderen Host zugewiesen werden.

  5. Der Server sendet ein DHCPACK-Paket, um die IP-Adresse zuzuweisen, oder ein DHCPNAK-Paket, um die Adressanforderung abzulehnen.

  6. Das Switching-Gerät aktualisiert die DHCP-Snooping-Datenbank entsprechend der Art des empfangenen Pakets:

    • Wenn das Switching-Gerät ein DHCPACK-Paket empfängt, aktualisiert es die Lease-Informationen für die IP-MAC-Bindungen in seiner Datenbank.

    • Wenn das Switching-Gerät ein DHCPNACK-Paket empfängt, löscht es den Platzhalter.

Anmerkung:

Die DHCP-Snooping-Datenbank wird erst aktualisiert, nachdem das DHCPREQUEST-Paket gesendet wurde.

Allgemeine Informationen zu den Meldungen, die der DHCP-Client und der DHCP-Server während der Zuweisung einer IP-Adresse für den Client austauschen, finden Sie in der Junos OS-Administrationsbibliothek.

DHCPv6-Snooping

DHCPv6-Snooping ist das Äquivalent zum DHCP-Snooping für IPv6. Der Prozess für DHCPv6-Snooping ähnelt dem für DHCP-Snooping, verwendet jedoch unterschiedliche Namen für die Nachrichten, die zwischen Client und Server ausgetauscht werden, um IPv6-Adressen zuzuweisen. Tabelle 1 zeigt DHCPv6-Meldungen und ihre DHCP-Entsprechungen.

Tabelle 1: DHCPv6-Nachrichten und äquivalente DHCPv4-Nachrichten

Gesendet von

DHCPv6-Meldungen

Äquivalente DHCP-Meldungen

Kunde

ERBITTEN

DHCPDISCOVER

Server

INSERIEREN

DHCP-Angebot

Kunde

ANFORDERN, ERNEUERN, NEU BINDEN

DHCP-Anfrage

Server

ANTWORT

DHCPACK/DHCPNAK

Kunde

LOSLASSEN

DHCP-Freigabe

Kunde

INFORMATIONS-ANFRAGE

DHCPINFORM

Kunde

ABLEHNEN

DHCP-Ablehnung

Kunde

BESTÄTIGEN

nichts

Server

REKONFIGURIEREN

DHCPFORCERENEW

Kunde

RELAY-FORW, RELAY-REPLY

nichts

Rapid Commit für DHCPv6

DHCPv6 bietet eine Rapid Commit-Option (DHCPv6-Option 14), die, wenn sie vom Server unterstützt und vom Client festgelegt wird, den Austausch von einem Vier-Wege-Relay auf einen Zwei-Nachrichten-Handshake verkürzt. Weitere Informationen zum Aktivieren der Option "Rapid Commit" finden Sie unter Konfigurieren von DHCPv6 Rapid Commit (MX-Serie, EX-Serie).

Im Rapid-Commit-Prozess:

  1. Der DHCPv6-Client sendet eine SOLICIT-Nachricht, die die Aufforderung enthält, die schnelle Zuweisung von Adresse, Präfix und anderen Konfigurationsparametern zu bevorzugen.

  2. Wenn der DHCPv6-Server die schnelle Zuweisung unterstützt, antwortet er mit einer REPLY-Nachricht, die die zugewiesene IPv6-Adresse und das Präfix sowie andere Konfigurationsparameter enthält.

DHCP-Serverzugriff

Es gibt drei Möglichkeiten, den Zugriff eines Switching-Geräts auf den DHCP-Server zu konfigurieren:

Switching-Gerät, DHCP-Clients und DHCP-Server befinden sich alle im selben VLAN

Wenn das Switching-Gerät, die DHCP-Clients und der DHCP-Server alle Mitglieder desselben VLANs sind, kann der DHCP-Server auf zwei Arten mit dem Switching-Gerät verbunden werden:

  • Der Server ist direkt mit demselben Switching-Gerät verbunden wie dasjenige, das mit den DHCP-Clients verbunden ist (die Hosts oder Netzwerkgeräte, die IP-Adressen vom Server anfordern). Das VLAN ist für DHCP-Snooping aktiviert, um die nicht vertrauenswürdigen Zugriffsports zu schützen. Der Trunk-Port ist standardmäßig als vertrauenswürdiger Port konfiguriert. Siehe Abbildung 1.

  • Der Server ist mit einem zwischengeschalteten Vermittlungsgerät (Vermittlungsgerät 2) verbunden. Die DHCP-Clients sind mit dem Switching-Gerät 1 verbunden, das über einen Trunk-Port mit dem Switching-Gerät 2 verbunden ist. Switching-Gerät 2 wird als Transitgerät verwendet. Das VLAN ist für DHCP-Snooping aktiviert, um die nicht vertrauenswürdigen Zugriffsports zu schützen. Der Trunk-Port ist standardmäßig als vertrauenswürdiger Port konfiguriert. Wie in Abbildung 2 dargestellt, ist ge-0/0/11 ein vertrauenswürdiger Trunk-Port.

Abbildung 1: DHCP-Server, der direkt mit einem Switching-Gerät DHCP Server Connected Directly to a Switching Device verbunden ist
Abbildung 2: DHCP-Server, der direkt mit Switching-Gerät 2 verbunden ist, wobei Switching-Gerät 2 über einen vertrauenswürdigen Trunk-Port DHCP Server Connected Directly to Switching Device 2, with Switching Device 2 Connected to Switching Device 1 Through a Trusted Trunk Port mit Switching-Gerät 1 verbunden ist

Switching-Gerät fungiert als DHCP-Server

Anmerkung:

Das Switching-Gerät, das als DHCP-Server fungiert, wird von der QFX-Serie nicht unterstützt.

Das Switching-Gerät selbst ist als DHCP-Server konfiguriert. Dies wird als lokale Konfiguration bezeichnet. Siehe Abbildung 3.

Abbildung 3: Switching-Gerät ist der DHCP-Server Switching Device Is the DHCP Server

Das Switching-Gerät fungiert als Relais-Agent

Das Switching-Gerät fungiert als Relais-Agent, wenn die DHCP-Clients oder der DHCP-Server über eine Layer-3-Schnittstelle mit dem Gerät verbunden sind. Die Layer-3-Schnittstellen auf dem Switching-Gerät sind als geroutete VLAN-Schnittstellen (RVIs) konfiguriert, die auch als integrierte Routing- und Bridging-Schnittstellen (IRB) bezeichnet werden. Die Trunk-Schnittstellen sind standardmäßig vertrauenswürdig.

Diese beiden Szenarien veranschaulichen das Schaltgerät, das als Relaisagent fungiert:

  • Der DHCP-Server und die Clients befinden sich in unterschiedlichen VLANs.

  • Das Switching-Gerät ist mit einem Router verbunden, der wiederum mit dem DHCP-Server verbunden ist. Siehe Abbildung 4.

Abbildung 4: Switching-Gerät, das als Relais-Agent fungiert, über den Router zum DHCP-Server Switching Device Acting as Relay Agent Through Router to DHCP Server

Statische IP-Adressen-Ergänzungen zur DHCP-Snooping-Datenbank

Sie können der Datenbank bestimmte statische IP-Adressen hinzufügen und die Adressen dynamisch über DHCP-Snooping zuweisen lassen. Um statische IP-Adressen hinzuzufügen, geben Sie die IP-Adresse, die MAC-Adresse des Geräts, die Schnittstelle, mit der das Gerät verbunden ist, und das VLAN, mit dem die Schnittstelle verknüpft ist, an. Dem Eintrag ist keine Leasezeit zugeordnet. Der statisch konfigurierte Eintrag läuft nie ab.

Snooping von DHCP-Paketen mit ungültigen IP-Adressen

Wenn Sie DHCP-Snooping in einem VLAN aktivieren und dann Geräte in diesem VLAN DHCP-Pakete senden, die ungültige IP-Adressen anfordern, werden diese ungültigen IP-Adressen in der DHCP-Snooping-Datenbank gespeichert, bis sie gelöscht werden, wenn ihr Standard-Timeout erreicht ist. Um diesen unnötigen Speicherplatzverbrauch in der DHCP-Snooping-Datenbank zu vermeiden, verwirft das Switching-Gerät die DCHP-Pakete, die ungültige IP-Adressen anfordern, und verhindert so das Snooping dieser Pakete. Die ungültigen IP-Adressen sind:

  • 0.0.0.0

  • 128.0.x.x

  • 191.255.x.x

  • 192.0.0.x

  • 223.255.255.x

  • 224.x.x.x

  • 240.x.x.x bis 255.255.255.255

Priorisierung von Snooping-Paketen

Anmerkung:

Die Priorisierung von Snooping-Paketen wird bei der QFX-Serie und dem EX4600-Switch nicht unterstützt.

Sie können Class-of-Service (CoS)-Weiterleitungsklassen und Warteschlangen verwenden, um DHCP-Snooped-Pakete für ein bestimmtes VLAN zu priorisieren. Bei dieser Art der Konfiguration werden die DHCP-Snoop-Pakete für dieses VLAN in einer angegebenen Ausgangswarteschlange platziert, sodass das Sicherheitsverfahren die Übertragung von Datenverkehr mit hoher Priorität nicht beeinträchtigt.

Zugehörige Dokumentation