Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Aktivieren von DHCP-Snooping (nicht-ELS)

DHCP-Snooping ermöglicht dem Switch die Überwachung und Steuerung von DHCP-Nachrichten, die von nicht vertrauenswürdigen Geräten empfangen werden, die mit dem Switch verbunden sind. Der Switch erstellt und verwaltet eine Datenbank mit gültigen Bindungen zwischen IP-Adresse und MAC-Adressen (IP-MAC-Bindungen), die als DHCP-Snooping-Datenbank bezeichnet wird.

Hinweis:

Wenn Sie DHCP-Snooping für alle VLANs konfigurieren und in einem bestimmten VLAN eine andere Portsicherheitsfunktion aktivieren, müssen Sie auch dhcp-Snooping in diesem VLAN explizit aktivieren. Andernfalls gilt der Standardwert kein DHCP-Snooping für dieses VLAN.

Aktivieren von DHCP-Snooping

Sie konfigurieren DHCP-Snooping pro VLAN, nicht pro Schnittstelle (Port). Standardmäßig ist DHCP-Snooping für alle VLANs deaktiviert. Sie können DHCP-Snooping auf allen VLANs oder in bestimmten VLANs aktivieren.

So aktivieren Sie DHCP-Snooping:

  • Auf einem bestimmten VLAN:

  • Auf allen VLANs:

So aktivieren Sie DHCPv6-Snooping:

  • Auf einem bestimmten VLAN:

  • Auf allen VLANs:

Tipp:

Standardmäßig geht die IP-MAC-Bindung verloren, wenn der Switch neu gestartet wird und DHCP-Clients (die Netzwerkgeräte oder Hosts) Bindungen erneut benötigen. Sie können die Bindungen jedoch so konfigurieren, dass sie beibehalten werden, indem Sie den Switch so einstellen, dass die Datenbankdatei entweder lokal oder remote gespeichert wird. Siehe Konfigurieren von dauerhaften Bindungen in DHCP oder DHCPv6 (nicht-ELS).

Tipp:

Aktivieren Sie für private VLANs (PVLANs) DHCP-Snooping im primären VLAN. Wenn Sie DHCP-Snooping nur in einem Community-VLAN aktivieren, werden DHCP-Nachrichten, die von PVLAN-Trunk-Ports stammen, nicht geoopst.

Anwenden von CoS-Weiterleitungsklassen zur Priorisierung von Snooped-Paketen

Auf Switches der EX-Serie müssen Sie möglicherweise Class of Service (CoS) verwenden, um Pakete vor dem Abbruch wichtiger Anwendungen während Zeiten von Netzwerküberlastung und -verzögerung zu schützen, und möglicherweise müssen Sie auch die Portsicherheitsfunktionen von DHCP-Snooping auf den Ports konfigurieren, über die diese Pakete eingehen oder verlassen.

Hinweis:

Die Priorisierung von Snooped-Paketen mitHilfe von CoS-Weiterleitungsklassen wird auf dem Switch der QFX-Serie nicht unterstützt.

So wenden Sie CoS-Weiterleitungsklassen und Warteschlangen auf Snooped-Pakete an:

  1. Erstellen Sie eine benutzerdefinierte Weiterleitungsklasse, die für die Priorisierung von Snooped-Paketen verwendet wird:
  2. Aktivieren Sie DHCP-Snooping auf einem bestimmten VLAN oder auf allen VLANs, und wenden Sie die erforderliche Weiterleitungsklasse auf die Snooped-Pakete an:
    • Auf einem bestimmten VLAN:

    • Auf allen VLANs:

    Hinweis:

    Ersetzen durch examine-dhcp examine-dhcpv6 , um DHCPv6-Snooping zu aktivieren.

Überprüfen der ordnungsgemäßen Funktionsweise von DHCP-Snooping

Zweck

Stellen Sie sicher, dass DHCP-Snooping auf dem Switch funktioniert und dass die DHCP-Snooping-Datenbank sowohl mit dynamischen als auch statischen Bindungen ausgestattet ist.

Aktion

Senden Sie einige DHCP-Anfragen von Netzwerkgeräten (hier sind es DHCP-Clients), die mit dem Switch verbunden sind.

Zeigen Sie die DHCP-Snooping-Informationen an, wenn die Schnittstelle, über die sich der DHCP-Server mit dem Switch verbindet, vertrauenswürdig ist. Die folgenden Ausgabeergebnisse ergeben sich, wenn Anfragen von den MAC-Adressen gesendet werden und der Server die IP-Adressen zur Verfügung gestellt hat und leaset:

Bedeutung

Wenn die Schnittstelle, über die sich der DHCP-Server mit dem Switch verbindet, auf vertrauenswürdig festgelegt wurde, zeigt die Ausgabe (siehe vorheriges Beispiel) für jede MAC-Adresse die zugewiesene IP-Adresse und Leasingzeit an, d. h. die Zeit, die in Sekunden verbleibt, bevor der Leasing abläuft. Statische IP-Adressen haben keine zugewiesene Leasingzeit. Der statisch konfigurierte Eintrag läuft nie ab.

Wenn der DHCP-Server als nicht vertrauenswürdig konfiguriert wurde, werden der DHCP-Snooping-Datenbank keine Einträge hinzugefügt, und in der Ausgabe des show dhcp snooping binding Befehls wird nichts angezeigt.