Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Vertrauenswürdige DHCP-Server verstehen und verwenden

Grundlegendes zu vertrauenswürdigen und nicht vertrauenswürdigen Ports und DHCP-Servern

DHCP-Server stellen IP-Adressen und andere Konfigurationsinformationen für die DHCP-Clients des Netzwerks bereit. Die Verwendung vertrauenswürdiger Ports für den DHCP-Server schützt Sie davor, dass nicht autorisierte DHCP-Server Leases senden.

Nicht vertrauenswürdige Ports verwerfen Datenverkehr von DHCP-Servern, um zu verhindern, dass nicht autorisierte Server Client-Clients Konfigurationsinformationen zur Verfügung stellen.

Standardmäßig sind alle Trunk-Ports für DHCP vertrauenswürdig und alle Zugriffsports nicht vertrauenswürdig.

Sie können eine Überschreibung des Standardverhaltens konfigurieren, um einen Trunk-Port als nicht vertrauenswürdig festzulegen, wodurch alle eingehenden DHCP-Servernachrichten von dieser Schnittstelle blockiert werden. Dies ist nützlich, um einen betrügerischen DHCP-Serverangriff zu verhindern, bei dem ein Angreifer einen nicht autorisierten Server in das Netzwerk eingeschleust hat. Die Informationen, die DHCP-Clients von diesem Server zur Verfügung gestellt werden, können deren Netzwerkzugriff unterbrechen. Der nicht autorisierte Server kann sich auch selbst als Standard-Gateway-Gerät für das Netzwerk zuweisen. Ein Angreifer kann dann den Netzwerkverkehr ausspionieren und einen Man-in-the-Middle-Angriff durchführen, d. h., er leitet Datenverkehr, der für ein legitimes Netzwerkgerät bestimmt ist, an ein Gerät seiner Wahl weiter.

Sie können einen Zugriffsport auch als vertrauenswürdig konfigurieren. Wenn Sie einen DHCP-Server an einen Zugriffsport anschließen, müssen Sie den Port als vertrauenswürdig konfigurieren. Bevor Sie dies tun, stellen Sie sicher, dass der Server physisch sicher ist, d. h., dass der Zugriff auf den Server überwacht und gesteuert wird.

Aktivieren eines vertrauenswürdigen DHCP-Servers (ELS)

Anmerkung:

In diesem Beispiel wird Junos OS für Switches der EX-Serie mit Unterstützung für den Konfigurationsstil Enhanced Layer 2 Software (ELS) verwendet.

Sie können jede Schnittstelle auf einem Switch, die eine Verbindung zu einem DHCP-Server herstellt, als vertrauenswürdige Schnittstelle (Port) konfigurieren. Die Konfiguration eines DHCP-Servers auf einer vertrauenswürdigen Schnittstelle schützt Sie davor, dass nicht autorisierte DHCP-Server Leases senden.

Standardmäßig sind alle Zugriffsschnittstellen nicht vertrauenswürdig, und alle Trunkschnittstellen sind vertrauenswürdig. Sie können jedoch die Standardeinstellung für Zugriffsschnittstellen außer Kraft setzen, indem Sie eine Gruppe von Zugriffsschnittstellen in einem VLAN konfigurieren, eine Schnittstelle angeben, die zu dieser Gruppe gehören soll, und dann die Gruppe als vertrauenswürdig konfigurieren.

Bevor Sie einen vertrauenswürdigen DHCP-Server konfigurieren können, müssen Sie ein VLAN konfigurieren. Weitere Informationen finden Sie unter Konfigurieren von VLANs für Switches der EX-Serie mit ELS-Unterstützung (CLI-Verfahren).

So konfigurieren Sie eine nicht vertrauenswürdige Zugriffsschnittstelle mithilfe der CLI als vertrauenswürdige Schnittstelle für einen DHCP-Server:

  1. Konfigurieren Sie eine Gruppe in einem VLAN mit einer bestimmten Zugriffsschnittstelle:
  2. Konfigurieren Sie diese Gruppe so, trusted dass die angegebene Schnittstelle, die in der Gruppe enthalten ist, zu einer vertrauenswürdigen Schnittstelle wird:

Aktivieren eines vertrauenswürdigen DHCP-Servers (Nicht-ELS)

Sie können sich vor nicht autorisierten DHCP-Servern schützen, die nicht autorisierte Leases in Ihrem Netzwerk senden, indem Sie vertrauenswürdige DHCP-Server und -Ports verwenden. Standardmäßig sind bei DHCP alle Trunk-Ports vertrauenswürdig und alle Zugriffsports nicht vertrauenswürdig. Und Sie können den DHCP-Server nur auf einer Schnittstelle einrichten. d. h., die Verwendung eines VLAN wird nicht unterstützt.

Vertrauenswürdige Ports ermöglichen es DHCP-Servern, IP-Adressen und andere Informationen für anfordernde Geräte bereitzustellen. Nicht vertrauenswürdige Ports verwerfen Datenverkehr von DHCP-Servern, um zu verhindern, dass nicht autorisierte Server Client-Clients Konfigurationsinformationen zur Verfügung stellen.

Um einen Port für das Hosten eines DHCP-Servers zu konfigurieren, geben Sie den folgenden Befehl in der Junos CLI ein:

Dabei ist die Schnittstelle GE-0/0/8 eine vertrauenswürdige und physisch sichere Schnittstelle, die für Ihr Netzwerk gültig ist.

Siehe auch

Aktivieren eines vertrauenswürdigen DHCP-Servers (Router der MX-Serie)

Sie können jede Schnittstelle auf einem Switching-Gerät, das eine Verbindung zu einem DHCP-Server herstellt, als vertrauenswürdige Schnittstelle (Port) konfigurieren. Die Konfiguration eines DHCP-Servers auf einer vertrauenswürdigen Schnittstelle schützt Sie davor, dass nicht autorisierte DHCP-Server Leases senden.

Standardmäßig sind alle Zugriffsschnittstellen nicht vertrauenswürdig, und alle Trunkschnittstellen sind vertrauenswürdig. Sie können jedoch die Standardeinstellung für Zugriffsschnittstellen außer Kraft setzen, indem Sie eine Gruppe von Zugriffsschnittstellen innerhalb einer Bridge-Domäne konfigurieren, eine Schnittstelle angeben, die zu dieser Gruppe gehören soll, und dann die Gruppe als vertrauenswürdig konfigurieren.

Bevor Sie einen vertrauenswürdigen DHCP-Server konfigurieren können, müssen Sie eine Bridge-Domäne konfigurieren.

So konfigurieren Sie eine nicht vertrauenswürdige Zugriffsschnittstelle mithilfe der CLI als vertrauenswürdige Schnittstelle für einen DHCP-Server:

  1. Konfigurieren Sie eine Gruppe innerhalb einer Bridge-Domäne mit einer bestimmten Zugriffsschnittstelle:

  2. Konfigurieren Sie diese Gruppe so, trusted dass die angegebene Schnittstelle, die in der Gruppe enthalten ist, zu einer vertrauenswürdigen Schnittstelle wird:

Überprüfen, ob ein vertrauenswürdiger DHCP-Server ordnungsgemäß funktioniert

Zweck

Stellen Sie sicher, dass ein vertrauenswürdiger DHCP-Server auf dem Switch funktioniert. Erfahren Sie, was passiert, wenn der DHCP-Server als vertrauenswürdig und dann als nicht vertrauenswürdig eingestuft wird.

Aktion

Senden Sie einige DHCP-Anfragen von Netzwerkgeräten (hier sind dies DHCP-Clients), die mit dem Switch verbunden sind.

Zeigen Sie die DHCP-Snooping-Informationen an, wenn die Schnittstelle, über die der DHCP-Server eine Verbindung zum Switch herstellt, vertrauenswürdig ist. Die folgende Ausgabe ergibt sich, wenn Anforderungen von den MAC-Adressen gesendet werden und der Server die IP-Adressen und Leases bereitgestellt hat:

Bedeutung

Wenn die Schnittstelle, über die der DHCP-Server eine Verbindung zum Switch herstellt, auf vertrauenswürdig festgelegt wurde, zeigt die Ausgabe (siehe vorheriges Beispiel) für jede MAC-Adresse die zugewiesene IP-Adresse und die Lease-Zeit an, d. h. die Zeit in Sekunden, die bis zum Ablauf der Lease verbleibt.

Wenn der DHCP-Server als nicht vertrauenswürdig konfiguriert wurde, wurden der DHCP-Snooping-Datenbank keine Einträge hinzugefügt, und in der Ausgabe des show dhcp snooping binding Befehls wurde nichts angezeigt.

Siehe auch

Konfigurieren einer Trunk-Schnittstelle als nicht vertrauenswürdig für die DHCP-Sicherheit (CLI-Verfahren)

Bevor Sie eine Gruppe von Schnittstellen konfigurieren können, müssen Sie ein VLAN konfigurieren. Weitere Informationen finden Sie unter Konfigurieren von VLANs für Switches der EX-Serie mit ELS-Unterstützung (CLI-Verfahren).

Nicht vertrauenswürdige Trunk-Schnittstellen unterstützen die folgenden DHCP-Sicherheitsfunktionen, wenn sie im VLAN aktiviert sind:

  • DHCP- und DHCPv6-Snooping

  • Dynamische ARP-Inspektion

  • Überprüfung der IPv6 Neighbor Discovery

Um eine Trunk-Schnittstelle als nicht vertrauenswürdig zu konfigurieren, müssen Sie eine Gruppe von Schnittstellen in einem VLAN konfigurieren, die Trunk-Schnittstelle zur Gruppe hinzufügen und dann die Gruppe als nicht vertrauenswürdig konfigurieren. Eine Gruppe muss über mindestens eine Schnittstelle verfügen.

So konfigurieren Sie eine Trunk-Schnittstelle aus Gründen der DHCP-Sicherheit als nicht vertrauenswürdig:

  1. Konfigurieren Sie eine Gruppe in einem VLAN mit der Trunk-Schnittstelle als Mitglied:
  2. Konfigurieren Sie die Gruppe so, untrusted dass die angegebene Schnittstelle, die in der Gruppe enthalten ist, zu einer nicht vertrauenswürdigen Schnittstelle wird: