Aktivieren von DHCP-Snooping (Nicht-ELS)
DHCP-Snooping ermöglicht es dem Switch, DHCP-Nachrichten zu überwachen und zu steuern, die von nicht vertrauenswürdigen Geräten empfangen werden, die mit dem Switch verbunden sind. Der Switch erstellt und verwaltet eine Datenbank mit gültigen Bindungen zwischen IP-Adresse und MAC-Adressen (IP-MAC-Bindungen), die als DHCP-Snooping-Datenbank bezeichnet wird.
Wenn Sie DHCP-Snooping für alle VLANs konfigurieren und eine andere Portsicherheitsfunktion für ein bestimmtes VLAN aktivieren, müssen Sie DHCP-Snooping auch explizit für dieses VLAN aktivieren. Andernfalls gilt der Standardwert "Kein DHCP-Snooping" für dieses VLAN.
Aktivieren von DHCP-Snooping
Sie konfigurieren DHCP-Snooping pro VLAN, nicht pro Schnittstelle (Port). Standardmäßig ist DHCP-Snooping für alle VLANs deaktiviert. Sie können DHCP-Snooping in allen VLANs oder in bestimmten VLANs aktivieren.
So aktivieren Sie DHCP-Snooping:
In einem bestimmten VLAN:
[edit ethernet-switching-options secure-access port] user@switch# set vlan vlan-name examine-dhcp
In allen VLANs:
[edit ethernet-switching-options secure-access port] user@switch# set vlan all examine-dhcp
So aktivieren Sie DHCPv6-Snooping:
In einem bestimmten VLAN:
[edit ethernet-switching-options secure-access port] user@switch# set vlan vlan-name examine-dhcpv6
In allen VLANs:
[edit ethernet-switching-options secure-access port] user@switch# set vlan all examine-dhcpv6
Standardmäßig gehen die IP-MAC-Bindungen verloren, wenn der Switch neu gestartet wird, und DHCP-Clients (die Netzwerkgeräte oder Hosts) müssen die Bindungen erneut abrufen. Sie können die Bindungen jedoch so konfigurieren, dass sie beibehalten werden, indem Sie den Schalter so einstellen, dass die Datenbankdatei entweder lokal oder remote gespeichert wird. Weitere Informationen finden Sie unter Konfigurieren persistenter Bindungen in DHCP oder DHCPv6 (Nicht-ELS).
Aktivieren Sie für private VLANs (PVLANs) DHCP-Snooping im primären VLAN. Wenn Sie DHCP-Snooping nur in einem Community-VLAN aktivieren, werden DHCP-Nachrichten, die von PVLAN-Trunk-Ports kommen, nicht ausgespäht.
Anwenden von CoS-Weiterleitungsklassen zur Priorisierung von Snooping-Paketen
Auf Switches der EX-Serie müssen Sie möglicherweise CoS (Class of Service) verwenden, um Pakete von kritischen Anwendungen vor dem Verwerfen in Zeiten von Netzwerküberlastung und -verzögerungen zu schützen, und möglicherweise müssen Sie auch die Portsicherheitsfunktionen von DHCP-Snooping an den Ports konfigurieren, über die diese Pakete ein- oder ausgehen.
Die Priorisierung von Snooped-Paketen mithilfe von CoS-Weiterleitungsklassen wird auf dem Switch der QFX-Serie nicht unterstützt.
So wenden Sie CoS-Weiterleitungsklassen und -Warteschlangen auf Snooped-Pakete an:
Überprüfen, ob DHCP-Snooping ordnungsgemäß funktioniert
Zweck
Stellen Sie sicher, dass DHCP-Snooping auf dem Switch funktioniert und dass die DHCP-Snooping-Datenbank ordnungsgemäß mit dynamischen und statischen Bindungen gefüllt ist.
Aktion
Senden Sie einige DHCP-Anfragen von Netzwerkgeräten (hier sind dies DHCP-Clients), die mit dem Switch verbunden sind.
Zeigen Sie die DHCP-Snooping-Informationen an, wenn die Schnittstelle, über die der DHCP-Server eine Verbindung zum Switch herstellt, vertrauenswürdig ist. Die folgende Ausgabe ergibt sich, wenn Anforderungen von den MAC-Adressen gesendet werden und der Server die IP-Adressen und Leases bereitgestellt hat:
user@switch> show dhcp snooping binding DHCP Snooping Information: MAC address IP address Lease (seconds) Type VLAN Interface 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee ge-0/0/2.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee ge-0/0/2.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee ge-0/0/2.0 00:05:85:27:32:88 192.0.2.22 — static data ge-0/0/4.0
Bedeutung
Wenn die Schnittstelle, über die der DHCP-Server eine Verbindung zum Switch herstellt, auf vertrauenswürdig festgelegt wurde, zeigt die Ausgabe (siehe vorheriges Beispiel) für jede MAC-Adresse die zugewiesene IP-Adresse und die Lease-Zeit an, d. h. die Zeit in Sekunden, die bis zum Ablauf der Lease verbleibt. Statischen IP-Adressen ist keine Leasezeit zugewiesen. Der statisch konfigurierte Eintrag läuft nie ab.
Wenn der DHCP-Server als nicht vertrauenswürdig konfiguriert wurde, wurden der DHCP-Snooping-Datenbank keine Einträge hinzugefügt, und in der Ausgabe des show dhcp snooping binding Befehls wurde nichts angezeigt.