Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

DHCP-Snooping für Netzwerksicherheit

DHCP-Snooping-Unterstützung

Dynamic Host Configuration Protocol (DHCP) ist ein Netzwerkverwaltungsprotokoll, das in TCP/IP-Netzwerken verwendet wird, um Netzwerkgeräten IP-Adressen und andere zugehörige Konfigurationsinformationen dynamisch zuzuweisen.

Funktionsweise von DHCP-Snooping

Dynamic Host Configuration Protocol (DHCP) weist den Geräten dynamisch IP-Adressen zu und vermietet Adressen, die wiederverwendet werden können, wenn sie nicht mehr benötigt werden. Hosts oder Endgeräte, die IP-Adressen über DHCP benötigen, müssen mit einem DHCP-Server über das LAN kommunizieren.

Die folgende Abbildung zeigt den DHCP-Snooping-Prozess.

Abbildung 1: DHCP-Snooping DHCP Snooping

In der Topologie verbindet sich ein Endbenutzergerät mit einem Junos OS-Gerät (Router, Switch oder Firewall). Das Junos OS-Gerät stellt sowohl eine Verbindung zum DHCP-Client als auch zum DHCP-Server her. Das Junos OS-Gerät, das als DHCP-Relay-Agent konfiguriert ist, fungiert als Schnittstelle zwischen DHCP-Clients und dem DHCP-Server. Dieses Junos OS-Gerät überprüft DHCP-Pakete. Der DHCP-Server weist den Clients IP-Adressen zu.

Die DHCP-Snooping-Funktion auf einem Junos OS-Gerät führt die folgenden Aktionen aus:

  • Überprüft DHCP-Nachrichten, die von nicht vertrauenswürdigen Quellen empfangen wurden, und filtert ungültige Nachrichten heraus.
  • Extrahiert die IP-Adresse, die jedem Client geleast wurde, und erstellt eine Datenbank. Die DHCP-Snooping-Datenbank (oder Bindungstabelle) enthält Informationen über die IP-Adresse, die MAC-Adresse und das VLAN jedes DHCP-Clients.
  • Verwendet die DHCP-Snooping-Bindungstabelle, um nachfolgende Anforderungen von nicht vertrauenswürdigen Hosts zu überprüfen. Durch die Überprüfung, ob DHCP-Anfragen von vertrauenswürdigen Quellen stammen, kann das Gerät von Juniper sicherstellen, dass nur gültige DHCP-Anfragen verarbeitet werden.

Auf diese Weise fungiert DHCP-Snooping als Wächter der Netzwerksicherheit, indem es gültige IP-Adressen verfolgt, die ein vertrauenswürdiger DHCP-Server (ein Server, der mit einem vertrauenswürdigen Netzwerkport verbunden ist) nachgeschalteten Netzwerkgeräten zuweist.

DHCPv6 Relay Agent Snooping

Der DHCPv6-Relay-Agent erweitert den DHCP-Relay-Agent um Unterstützung in einem IPv6-Netzwerk. Der DHCPv6-Relay-Agent übergibt Nachrichten zwischen dem DHCPv6-Client und dem DHCPv6-Server, ähnlich wie der DHCP-Relay-Agent ein IPv4-Netzwerk unterstützt. In einer Multi-Relay-Topologie mit mehreren DHCPv6-Relay-Agents zwischen dem Client und dem Server ermöglicht Snooping den dazwischen liegenden Relay-Agents, den Unicast-Datenverkehr vom Client ordnungsgemäß zu verarbeiten und an den Server weiterzuleiten. Das Snooping in dieser Topologie umfasst die folgenden Aktionen:

  • Der DHCPv6-Relay-Agent durchsucht eingehende Unicast-DHCPv6-Pakete mithilfe eines Filters mit UDP-Port 547, dem DHCPv6-UDP-Serverport, auf Weiterleitungstabelle-Basis.
  • Der DHCPv6-Relay-Agent verarbeitet dann die vom Filter abgefangenen Pakete und leitet die Pakete an den DHCPv6-Server weiter.

Vorteile von DHCP-Snooping

  • DHCP-Snooping kann durch das Filtern von IP-Adressen eine zusätzliche Sicherheitsebene bieten. Bei der Filterung wird der Netzwerkdatenverkehr ausgewertet, um die Kommunikation von verifizierten und gültigen IP-Adressen aus zu ermöglichen.
  • DHCP-Snooping kann unbefugte DHCP-Aktivitäten im Netzwerk verhindern, indem DHCP-Pakete herausgefiltert werden, die an den falschen Ports ankommen oder einen falschen Inhalt haben.

Konfigurieren der Unterstützung für die Weiterleitung von DHCP-Snooped-Paketen für den lokalen DHCP-Server

Sie können konfigurieren, wie der lokale DHCP-Server mit DHCP-Snooped-Paketen umgeht. Je nach Konfiguration leitet der lokale DHCP-Server die empfangenen Snooped-Pakete entweder weiter oder verwirft sie.

Tabelle 1 zeigt die Aktion, die der Router für Snooped-Pakete des lokalen DHCP-Servers ausführt.

Anmerkung:

Konfigurierte Schnittstellen sind die Schnittstellen, die mit der group Anweisung in der Hierarchie [edit system services dhcp-local-server] konfiguriert wurden. Nicht konfigurierte Schnittstellen sind solche, die sich im logischen System/in der Routing-Instanz befinden, aber nicht von der Anweisung group konfiguriert wurden.

Tabelle 1: Aktionen für DHCP-Pakete mit lokaler Serveraussicht

forward-snooped-clients Konfiguration

Aktion für konfigurierte Schnittstellen

Aktion für nicht konfigurierte Schnittstellen

forward-snooped-clients Nicht konfiguriert

abgeworfen

abgeworfen

all-interfaces

weitergegeben

weitergegeben

configured-interfaces

weitergegeben

abgeworfen

non-configured-interfaces

abgeworfen

weitergegeben

So konfigurieren Sie die DHCP-Snooped-Paketweiterleitung für den lokalen DHCP-Server:

  1. Geben Sie an, dass Sie den lokalen DHCP-Server konfigurieren möchten.
  2. Aktivieren Sie die DHCP-Snooped-Paketweiterleitung für den lokalen DHCP-Server.
  3. Geben Sie die Schnittstellen an, die für die Weiterleitung von Snooped-Paketen unterstützt werden.

Gehen Sie beispielsweise folgendermaßen wie folgt vor, um den lokalen DHCP-Server so zu konfigurieren, dass DHCP-Snooped-Pakete nur an konfigurierte Schnittstellen weitergeleitet werden:

Siehe auch

Aktivieren und Deaktivieren von DHCP-Snooped-Paketen Unterstützung für DHCP Relay Agent

Der DHCP-Relay-Agent verwendet eine zweiteilige Konfiguration, um zu bestimmen, wie DHCP-Snooped-Pakete behandelt werden sollen. In diesem Thema wird das erste Verfahren beschrieben, bei dem Sie die Snooping-Unterstützung für den DHCP-Relay-Agent aktivieren oder deaktivieren und optional die Standard-Snoopingkonfiguration außer Kraft setzen.

Das zweite Verfahren, das nur für den DHCPv4-Relay-Agent gilt, wird unter Konfigurieren der Unterstützung für die Weiterleitung von DHCP-Snooped-Paketen für den DHCP-Relay-Agent beschrieben und konfiguriert die Weiterleitungsaktion für Snooped-Clients, die angibt, ob der DHCP-Relay-Agent den geschnallten Datenverkehr weiterleitet oder verwirft.

Sie können DHCP global für DHCP-Relay, für eine Gruppe von Schnittstellen oder für eine bestimmte Schnittstelle in einer Gruppe aktivieren oder deaktivieren.

Standardmäßig ist DHCP-Snooping für DHCP-Relay aktiviert. So aktivieren oder deaktivieren Sie die DHCP-Snooping-Unterstützung global:

  1. Geben Sie an, dass Sie den DHCP-Relay-Agent konfigurieren möchten.

    • Für DHCP-Relay-Agent:

    • Für DHCPv6-Relay-Agent:

  2. Geben Sie an, dass Sie die Standardkonfiguration überschreiben möchten.

    • Für DHCP-Relay-Agent:

    • Für DHCPv6-Relay-Agent:

  3. Aktivieren oder deaktivieren Sie die DHCP-Snooping-Unterstützung.

    • So aktivieren Sie DHCP-Snooping:

      • Für DHCP-Relay-Agent:

      • Für DHCPv6-Relay-Agent:

    • So deaktivieren Sie DHCP-Snooping:

      • Für DHCP-Relay-Agent:

      • Für DHCPv6-Relay-Agent:

So aktivieren Sie beispielsweise die globale DHCP-Snooping-Unterstützung:

So aktivieren oder deaktivieren Sie die DHCP-Snooping-Unterstützung für eine Gruppe von Schnittstellen:

  1. Geben Sie an, dass Sie den DHCP-Relay-Agent konfigurieren möchten.

    • Für DHCP-Relay-Agent:

    • Für DHCPv6-Relay-Agent:

  2. Geben Sie die benannte Gruppe an.

    • Für DHCP-Relay-Agent:

    • Für DHCPv6-Relay-Agent:

  3. Geben Sie an, dass Sie die Standardkonfiguration überschreiben möchten.

    • Für DHCP-Relay-Agent:

    • Für DHCPv6-Relay-Agent:

  4. Aktivieren oder deaktivieren Sie die DHCP-Snooping-Unterstützung.

    • So aktivieren Sie DHCP-Snooping:

      • Für DHCP-Relay-Agent:

      • Für DHCPv6-Relay-Agent:

    • So deaktivieren Sie DHCP-Snooping:

      • Für DHCP-Relay-Agent:

      • Für DHCPv6-Relay-Agent:

So aktivieren Sie beispielsweise die DHCP-Snooping-Unterstützung auf allen Schnittstellen in der Gruppe boston:

So aktivieren oder deaktivieren Sie die DHCP-Snooping-Unterstützung auf einer bestimmten Schnittstelle:

  1. Geben Sie an, dass Sie den DHCP-Relay-Agent konfigurieren möchten.

    • Für DHCP-Relay-Agent:

    • Für DHCPv6-Relay-Agent:

  2. Geben Sie die benannte Gruppe an, die die Schnittstelle enthält.

    • Für DHCP-Relay-Agent:

    • Für DHCPv6-Relay-Agent:

  3. Geben Sie die Schnittstelle an, für die Sie DHCP-Snooping konfigurieren möchten.

    • Für DHCP-Relay-Agent:

    • Für DHCPv6-Relay-Agent:

  4. Geben Sie an, dass Sie die Standardkonfiguration auf der Schnittstelle überschreiben möchten.

    • Für DHCP-Relay-Agent:

    • Für DHCPv6-Relay-Agent:

  5. Aktivieren oder deaktivieren Sie die DHCP-Snooping-Unterstützung.

    • So aktivieren Sie DHCP-Snooping:

      • Für DHCP-Relay-Agent:

      • Für DHCPv6-Relay-Agent:

    • So deaktivieren Sie DHCP-Snooping:

      • Für DHCP-Relay-Agent:

      • Für DHCPv6-Relay-Agent:

So deaktivieren Sie beispielsweise die DHCP-Snooping-Unterstützung auf der Schnittstelle ge-2/1/8.0 in der Gruppe boston:

So aktivieren Sie die DHCPv6-Snooping-Unterstützung auf der Schnittstelle ge-3/2/1.1 in der Gruppe sunnyvale:

Siehe auch

DHCP-Snooping-Konfiguration

Verwenden Sie die folgenden Konfigurationsoptionen, um das DHCP-Snooping global oder für eine Schnittstellengruppe oder für eine bestimmte Schnittstelle in einer Gruppe zu aktivieren oder zu deaktivieren.
  • Schnittstellengruppe einrichten
    Erstellen Sie eine benannte Gruppe von Schnittstellen, die DHCP-Snooping unterstützt. Diese Gruppe muss die Schnittstellen enthalten, die über eine gemeinsame DHCP- oder DHCPv6-Relay-Agent-Konfiguration verfügen. Sie müssen die Schnittstellennamen angeben, um die Schnittstelle der Gruppe hinzuzufügen. Der DHCP-Relay-Agent betrachtet diese Schnittstellen als konfigurierte Schnittstellen, wenn er bestimmt, ob Datenverkehr weitergeleitet oder verworfen werden soll.

    • Für einen DHCP-Relay-Agenten:

    • Für einen DHCPv6-Relay-Agent:
  • Standardmäßiges DHCP-Relay-Snooping außer Kraft setzen
    Sie können die standardmäßige DHCP-Relay-Snooping-Konfiguration auf dem Gerät außer Kraft setzen, um die Snooping-Unterstützung explizit zu aktivieren oder zu deaktivieren. Wenn Sie die overrides Anweisung ohne untergeordnete Anweisungen angeben, werden alle Außerkraftsetzungen des DHCP-Relay-Agents auf dieser Hierarchieebene entfernt. Sie können die Standardkonfiguration für eine benannte Gruppe von Schnittstellen oder für eine bestimmte Schnittstelle mit einer benannten Gruppe von Schnittstellen überschreiben.
    Verwenden Sie auf globaler Ebene die folgenden Anweisungen für einen DHCP-Relay-Agent bzw. einen DHCPv6-Relay-Agent.

    • Für einen DHCP-Relay-Agent

    • Für einen DHCPv6-Relay-Agent

    Verwenden Sie für eine benannte Gruppe von Schnittstellen die folgenden Anweisungen für einen DHCP-Relay-Agent bzw. einen DHCPv6-Relay-Agent.

    • Für einen DHCP-Relay-Agent

    • Für einen DHCPv6-Relay-Agent
    Verwenden Sie für eine bestimmte Schnittstelle in einer Gruppe die folgenden Anweisungen für einen DHCP-Relay-Agent bzw. einen DHCPv6-Relay-Agent.

    • Für einen DHCP-Relay-Agent

    • Für einen DHCPv6-Relay-Agent

  • Ermöglichen der Verarbeitung von ausgeschnüffelten Paketen

    Der Router verwirft standardmäßig ausgeschnühte Pakete, wenn dem Paket kein Abonnent zugeordnet ist. Um die standardmäßige DHCP-Konfiguration außer Kraft zu setzen und dem Relay-Agent das Weiterleiten von DHCP-Nachrichten von Snooped-Clients zu ermöglichen, müssen Sie die Anweisung allow-snooped-clients explizit konfigurieren.

    Verwenden Sie auf globaler Ebene die folgenden Anweisungen für einen DHCP-Relay-Agent bzw. einen DHCPv6-Relay-Agent.

    • Für einen DHCP-Relay-Agent

    • Für einen DHCPv6-Relay-Agent

    Verwenden Sie für eine Schnittstellengruppe die folgenden Anweisungen für einen DHCP-Relay-Agent bzw. einen DHCPv6-Relay-Agent.

    • Für einen DHCP-Relay-Agent

    • Für einen DHCPv6-Relay-Agent

    Verwenden Sie für eine bestimmte Schnittstelle in einer Gruppe die folgenden Anweisungen.

    • Für einen DHCP-Relay-Agent

    • Für einen DHCPv6-Relay-Agent

  • Verhindern der Weiterleitung von DHCP-Nachrichten von Snooped-Clients

    Verwenden Sie die folgenden Befehle, um eine standardmäßige DHCP-Konfiguration außer Kraft zu setzen und zu verhindern, dass der Relay-Agent Nachrichten von Snooped-Clients weiterleitet.

    Verwenden Sie auf globaler Ebene die folgenden Anweisungen für einen DHCP-Relay-Agent bzw. einen DHCPv6-Relay-Agent.
    • Für einen DHCP-Relay-Agent
    • Für einen DHCPv6-Relay-Agent
    Verwenden Sie für eine Schnittstellengruppe die folgenden Anweisungen für einen DHCP-Relay-Agent bzw. einen DHCPv6-Relay-Agent.
    • Für einen DHCP-Relay-Agent
    • Für einen DHCPv6-Relay-Agent
    Verwenden Sie für eine bestimmte Schnittstelle in einer Gruppe die folgenden Anweisungen:

    • Für einen DHCP-Relay-Agent

    • Für einen DHCPv6-Relay-Agent

  • Weiterleitung von Snooped-Paketen
    Aktivieren Sie die DHCP-Snooped-Paketweiterleitung für den DHCP-Relay-Agenten. Sie können alle Schnittstellen, alle konfigurierten Schnittstellen oder nicht konfigurierte Schnittstellen angeben.

Deaktivieren von DHCP-Snooping-Filtern

DHCP-Snooping bietet DHCP-Sicherheit durch Identifizierung eingehender DHCP-Pakete. In der standardmäßigen DHCP-Snooping-Konfiguration wird der gesamte Datenverkehr ausgespäht. Sie können die forward-snooped-clients Anweisung optional verwenden, um den ausgeblendeten Datenverkehr auszuwerten und zu bestimmen, ob der Datenverkehr weitergeleitet oder gelöscht wird, je nachdem, ob die Schnittstelle als Teil einer Gruppe konfiguriert ist oder nicht.

Sowohl in der Standardkonfiguration als auch in Konfigurationen, die die Anweisung verwenden, wird der forward-snooped-clients gesamte DHCP-Datenverkehr von der Hardwaresteuerungsebene an die Routing-Ebene der Routing-Instanz weitergeleitet, um sicherzustellen, dass alle DHCP-Pakete abgefangen werden. In bestimmten Topologien, wie z. B. einer Metropolitan Routing-Ringtopologie, kann die Weiterleitung des gesamten DHCP-Datenverkehrs an die Steuerungsebene zu übermäßigem Datenverkehr führen. Die no-snoop Konfigurationsanweisung deaktiviert den Snooping-Filter für DHCP-Datenverkehr, der direkt auf der Hardwaresteuerungsebene weitergeleitet werden kann, z. B. Layer 3-Unicastpakete mit einer gültigen Route, wodurch diese DHCP-Pakete die langsamere Routing-Ebene umgehen. Sie können DHCP-Snooping-Filter ab Junos OS Version 15.1R2 deaktivieren.

So deaktivieren Sie DHCP-Snooping-Filter auf dem lokalen DHCP-Server:

  1. Geben Sie an, dass Sie den lokalen DHCP-Server konfigurieren möchten.
  2. Deaktivieren Sie DHCP-Snooping-Filter für den lokalen DHCP-Server.
  3. Geben Sie an, dass Sie den lokalen DHCPv6-Server konfigurieren möchten.
  4. Deaktivieren Sie DHCP-Snooping-Filter für den lokalen DHCPv6-Server.

So deaktivieren Sie DHCP-Snooping-Filter auf dem DHCP-Relay-Server:

  1. Geben Sie an, dass Sie den DHCP-Relay-Server konfigurieren möchten.

  2. Deaktivieren Sie DHCP-Snooping-Filter für den lokalen DHCP-Server.

  3. Geben Sie an, dass Sie den DHCPv6-Relayserver konfigurieren möchten.

  4. Deaktivieren Sie DHCP-Snooping-Filter für den lokalen DHCPv6-Server.

Siehe auch

Beispiel: Konfigurieren der DHCP-Snooping-Unterstützung für den DHCP-Relay-Agent

In diesem Beispiel wird gezeigt, wie die DHCP-Snooping-Unterstützung für den DHCP-Relay-Agent konfiguriert wird.

Anforderungen

Überblick

In diesem Beispiel konfigurieren Sie die DHCP-Snooping-Unterstützung für den DHCP-Relay-Agent, indem Sie die folgenden Vorgänge ausführen:

  • Überschreiben Sie die standardmäßige DHCP-Snooping-Konfiguration, und aktivieren Sie die DHCP-Snooping-Unterstützung für die Schnittstellen in der Gruppe frankfurt.

  • Konfigurieren Sie den DHCP-Relay-Agent so, dass geschnüffelte Pakete nur an konfigurierte Schnittstellen weitergeleitet werden.

Konfiguration

Verfahren

Schritt-für-Schritt-Anleitung

So konfigurieren Sie die DHCP-Relay-Unterstützung für DHCP-Snooping:

  1. Geben Sie an, dass Sie den DHCP-Relay-Agent konfigurieren möchten.

  2. Geben Sie die benannte Gruppe von Schnittstellen an, auf denen DHCP-Snooping unterstützt wird.

  3. Geben Sie die Schnittstellen an, die Sie in die Gruppe aufnehmen möchten. Der DHCP-Relay-Agent betrachtet diese als konfigurierte Schnittstellen, wenn er bestimmt, ob Datenverkehr weitergeleitet oder gelöscht werden soll.

  4. Geben Sie an, dass Sie die Standardkonfiguration für die Gruppe überschreiben möchten.

  5. Aktivieren Sie die DHCP-Snooping-Unterstützung für die Gruppe.

  6. Kehren Sie zur [edit forwarding-options dhcp-relay] Hierarchieebene zurück, um die Weiterleitungsaktion zu konfigurieren, und geben Sie an, dass der DHCP-Relay-Agent Snooped-Pakete nur auf konfigurierten Schnittstellen weiterleitet:

  7. Aktivieren Sie die DHCP-Snooped-Paketweiterleitung für den DHCP-Relay-Agent.

  8. Legen Sie fest, dass Snooped-Pakete nur an konfigurierte Schnittstellen (die Schnittstellen in der Gruppe frankfurt) weitergeleitet werden.

Befund

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show forwarding-options Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um sie zu korrigieren. Die folgende Ausgabe zeigt auch eine Reihe von konfigurierten Schnittstellen in group frankfurt.

Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.

Beispiel: Aktivieren der DHCP-Snooping-Unterstützung für DHCPv6 Relay Agent

Die Snooping-Unterstützung für den DHCPv6-Relay-Agent ist auf dem Router standardmäßig deaktiviert. In diesem Beispiel wird gezeigt, wie die standardmäßige DHCPv6-Relay-Agent-Snoopingkonfiguration überschrieben wird, um DHCPv6-Snooping für eine benannte Gruppe von Schnittstellen und für eine bestimmte Schnittstelle innerhalb einer anderen benannten Gruppe explizit zu aktivieren.

Anmerkung:

Sie können die DHCPv6-Snooping-Unterstützung auch global aktivieren, indem Sie die Anweisung auf der allow-snooped-clients [edit forwarding-options dhcp-relay dhcpv6 overrides] Hierarchieebene verwenden.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Universelle Routing-Plattformen 5G der MX-Serie

  • Junos OS Version 12.1 oder höher

Bevor Sie beginnen:

Überblick

In diesem Beispiel überschreiben Sie die standardmäßige DHCPv6-Relay-Agent-Snooping-Konfiguration, um DHCP-Snooping explizit für die beiden folgenden Optionen zu aktivieren:

  • Alle Schnittstellen in der Gruppe mit dem Namen boston

  • Schnittstelle ge-3/2/1.1 in der Gruppe mit dem Namen sunnyvale

Konfiguration

Führen Sie die folgenden Aufgaben aus, um die standardmäßige DHCPv6-Relay-Agent-Snoopingkonfiguration zu überschreiben, um DHCPv6-Snooping für eine benannte Gruppe von Schnittstellen und für eine bestimmte Schnittstelle innerhalb einer benannten Gruppe explizit zu aktivieren:

CLI Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, und kopieren Sie dann die Befehle, und fügen Sie sie dann in die CLI auf der [edit] Hierarchieebene ein.

Aktivieren der DHCPv6-Snooping-Unterstützung für eine benannte Gruppe von Schnittstellen

Schritt-für-Schritt-Anleitung

So aktivieren Sie die DHCPv6-Snooping-Unterstützung für eine benannte Gruppe von Schnittstellen:

  1. Geben Sie an, dass Sie den DHCPv6-Relay-Agent konfigurieren möchten.

  2. Geben Sie die benannte Gruppe von Schnittstellen an, für die Sie DHCPv6-Snooping aktivieren möchten.

  3. Geben Sie an, dass Sie die DHCPv6-Standardkonfiguration für die Schnittstellen in dieser Gruppe außer Kraft setzen möchten.

  4. Aktivieren Sie die DHCPv6-Snooping-Unterstützung für alle Schnittstellen in der Gruppe boston.

Befund

Bestätigen Sie im Konfigurationsmodus die Ergebnisse Ihrer Konfiguration, indem Sie die show Anweisung auf Hierarchieebene [edit forwarding-options dhcp-relay] absetzen. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Routers fertig sind, wechseln Sie commit aus dem Konfigurationsmodus.

Aktivieren der DHCPv6-Snooping-Unterstützung für eine bestimmte Schnittstelle in einer benannten Gruppe

Schritt-für-Schritt-Anleitung

So aktivieren Sie die DHCPv6-Snooping-Unterstützung für eine bestimmte Schnittstelle innerhalb einer benannten Gruppe von Schnittstellen:

  1. Kehren Sie zur [edit forwarding-options dhcp-relay dhcpv6] Hierarchieebene zurück, um anzugeben, dass Sie den DHCPv6-Relay-Agent konfigurieren möchten.

  2. Geben Sie die benannte Gruppe an, die die Schnittstelle enthält.

  3. Geben Sie die Schnittstelle in der Gruppe sunnyvale an, für die Sie DHCPv6-Snooping aktivieren möchten.

  4. Geben Sie an, dass Sie die standardmäßige DHCPv6-Konfiguration für die Schnittstelle ge-3/2/1.1 in der Gruppe sunnyvaleüberschreiben möchten.

  5. Aktivieren Sie die DHCPv6-Snooping-Unterstützung für die Schnittstelle ge-3/2/1.1 in der Gruppe sunnyvale.

Befund

Bestätigen Sie im Konfigurationsmodus die Ergebnisse Ihrer Konfiguration, indem Sie die show Anweisung auf Hierarchieebene [edit forwarding-options dhcp-relay] absetzen. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Routers fertig sind, wechseln Sie commit aus dem Konfigurationsmodus.

Verifizierung

Gehen Sie folgendermaßen vor, um die DHCPv6-Konfiguration in einer Multi-Relay-Topologie zu überprüfen:

Überprüfen der Adressbindungen für DHCPv6-Relay-Agent-Clients

Zweck

Überprüfen Sie die DHCPv6-Adressbindungen in der DHCP-Clienttabelle (Dynamic Host Configuration Protocol).

Aktion

Zeigen Sie detaillierte Informationen zu Adressbindungen für DHCPv6-Relay-Agent-Clients an.

Bedeutung

Das Server Address Feld in der Befehlsausgabe zeigt in der show dhcpv6 relay binding detail Regel die IP-Adresse des DHCPv6-Servers an. In diesem Beispiel gibt der Server Address Wert unknown im Feld an, dass es sich um eine Topologie mit mehreren Relays handelt, bei der sich der DHCPv6-Relay-Agent nicht direkt neben dem DHCPv6-Server befindet und die IP-Adresse des Servers nicht erkennt.

In diesem Fall enthält die Ausgabe stattdessen das Next Hop Server Facing Relay Feld, das die Adresse des nächsten Hops in Richtung des DHCPv6-Servers anzeigt.

Siehe auch

Verhindern von DHCP-Spoofing

Ein Problem, das manchmal bei DHCP auftritt, ist DHCP spoofing. Beim DHCP-Spoofing überflutet ein nicht vertrauenswürdiger Client ein Netzwerk mit DHCP-Nachrichten. Häufig nutzen diese Angriffe Quell-IP-Adressen-Spoofing, um die wahre Quelle des Angriffs zu verschleiern.

DHCP-Snooping verhindert DHCP-Spoofing durch Kopieren von DHCP-Nachrichten auf die Steuerungsebene und Verwenden der Informationen in den Paketen zum Erstellen von Anti-Spoofing-Filtern. Die Anti-Spoofing-Filter binden die MAC-Adresse eines Clients an seine DHCP-zugewiesene IP-Adresse und verwenden diese Informationen zum Filtern gefälschter DHCP-Nachrichten. In einer typischen Topologie verbindet ein Carrier-Edge-Router (in dieser Funktion auch als Breitband-Netzwerk-Gateway [BNG] bezeichnet) den DHCP-Server mit dem Router der MX-Serie (oder Breitbanddienstaggregator [BSA]), der das Snooping durchführt. Der Router der MX-Serie stellt eine Verbindung zum Client und zum BNG her.

Um DHCP-Snooping zu konfigurieren, schließen Sie die entsprechenden Schnittstellen in eine DHCP-Gruppe ein. Sie können DHCP-Snooping für VPLS-Umgebungen und Bridge-Domänen konfigurieren.

  • In einer VPLS-Umgebung werden DHCP-Anfragen über Pseudowires weitergeleitet. Sie konfigurieren DHCP-Snooping über VPLS auf Hierarchieebene [edit routing-instances routing-instance-name] .

  • In Bridge-Domänen funktioniert DHCP-Snooping auf der Basis jeder Lern-Bridge. Für jede Lerndomäne muss eine Upstreamschnittstelle konfiguriert sein. Diese Schnittstelle fungiert als Flood-Port für DHCP-Anfragen von der Client-Seite. DHCP-Anforderungen werden lerndomänenübergreifend in einer Bridge-Domäne weitergeleitet. Sie konfigurieren DHCP-Snooping für Bridgedomänen auf Hierarchieebene [edit routing-instances routing-instance-name bridge-domains bridge-domain-name] .

So konfigurieren Sie DHCP-Relay, um DHCP-Spoofing zu verhindern:

  1. Greifen Sie auf die entsprechende Hierarchie für eine VPLS- oder Bridge-Domänenkonfiguration zu.
  2. Geben Sie an, dass Sie das DHCP-Relay konfigurieren möchten.
  3. Erstellen Sie die Gruppe und vergeben Sie einen Namen.

  4. Geben Sie die Namen einer oder mehrerer Schnittstellen an. DHCP vertraut nur den MAC-Adressen, die auf den angegebenen Schnittstellen gelernt wurden.
Anmerkung:

Sie können die Schnittstellenunterstützung für DHCP-Snooped-Clients explizit aktivieren und deaktivieren. Weitere Informationen finden Sie unter Aktivieren und Deaktivieren der Unterstützung von DHCP-Snooped-Paketen für den DHCP-Relay-Agent.

Siehe auch

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
15.1R2
Sie können DHCP-Snooping-Filter ab Junos OS Version 15.1R2 deaktivieren.