Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Comprendre la surveillance DHCP (ELS)

Note:

Cette rubrique contient des informations sur l’activation de la surveillance DHCP (Dynamic Host Configuration Protocol) lors de l’utilisation de Junos OS pour les commutateurs EX Series avec prise en charge du style de configuration ELS (Enhanced Layer 2 Software). Si votre commutateur exécute le logiciel Junos OS qui ne prend pas en charge ELS, reportez-vous à la section Présentation de la surveillance DHCP (non-ELS). Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.

La surveillance DHCP permet à l’équipement de commutation, qui peut être un commutateur ou un routeur, de surveiller les messages DHCP reçus des équipements non approuvés connectés à l’équipement de commutation. Lorsque la surveillance DHCP est activée sur un VLAN, le système examine les messages DHCP envoyés par des hôtes non approuvés associés au VLAN et extrait leurs adresses IP et informations de location. Ces informations sont utilisées pour créer et gérer la base de données d’écoute DHCP. Seuls les hôtes qui peuvent être vérifiés à l’aide de cette base de données sont autorisés à accéder au réseau.

Principes de base de l’écoute DHCP

DHCP alloue les adresses IP de manière dynamique et loue des adresses aux équipements afin qu’elles puissent être réutilisées lorsqu’elles ne sont plus nécessaires aux équipements auxquels elles ont été attribuées. Les hôtes et les terminaux qui ont besoin d’adresses IP obtenues via DHCP doivent communiquer avec un serveur DHCP sur le réseau local.

L’écoute DHCP agit comme un gardien de la sécurité du réseau en gardant une trace des adresses IP valides attribuées aux périphériques réseau en aval par un serveur DHCP approuvé (le serveur est connecté à un port réseau approuvé).

Par défaut, tous les ports trunk du commutateur sont approuvés et tous les ports d’accès ne sont pas approuvés pour la surveillance DHCP.

À partir de la version 18.4R1 de Junos OS, la surveillance DHCP se produit sur les ports approuvés pour les commutateurs Juniper Series, EX2300, EX4600 et QFX5K suivants. Avant la version 18.4R1 de Junos OS, cela n’était vrai que pour la surveillance DHCPv6 pour ces équipements. En outre, la surveillance DHCP se produit sur les ports approuvés des commutateurs EX9200 Series et de Fusion Enterprise qui exécutent Junos OS version 19.1R1 et ultérieure.

Vous pouvez configurer un port d’accès comme étant approuvé ou un port trunk comme non approuvé à l’aide de l’instruction de configuration overrides avec l’option trusted ou untrust .

Lorsque la surveillance DHCP est activée, les informations de location du serveur sont utilisées pour créer la table de surveillance DHCP, également appelée table de liaison DHCP. Le tableau indique les liaisons d’adresse MAC IP-MAC actuelles, ainsi que la durée de location, le type de liaison, les noms des VLAN et des interfaces associés.

Les entrées de la table de surveillance DHCP sont mises à jour dans les événements suivants :

  • Lorsqu’un périphérique réseau libère une adresse IP (envoie un message DHCPRELEASE). Dans ce cas, l’entrée de mappage associée est supprimée de la base de données.

  • Lorsque vous déplacez un équipement réseau d’un VLAN à un autre. Dans ce cas, l’appareil doit généralement acquérir une nouvelle adresse IP. Par conséquent, son entrée dans la base de données, y compris le nom du VLAN, est mise à jour.

  • À l’expiration de la durée de bail (valeur de délai d’expiration) attribuée par le serveur DHCP. Dans ce cas, l’entrée associée est supprimée de la base de données.

  • Lorsque l’équipement réseau renouvelle son bail en envoyant un message DHCPREQUEST unicast et en recevant une réponse positive du serveur DHCP. Dans ce cas, la durée de location est mise à jour dans la base de données.

  • Si le périphérique réseau ne parvient pas à atteindre le serveur DHCP qui a initialement accordé le bail, il envoie un message DHCPREQUEST de diffusion et se relie au serveur DHCP qui répond. Dans ce cas, le client reçoit une nouvelle adresse IP et la liaison est mise à jour dans la table de surveillance DHCP.

  • À partir de la version 14.1X53-D35 de Junos OS, si un périphérique réseau avec une allocation IP fixe du serveur DHCP est remplacé par un nouveau périphérique avec une adresse MAC différente, la nouvelle liaison adresse MAC IP-MAC est stockée jusqu’à ce que le serveur envoie un message DHCPACK ; Ensuite, l’entrée de la table d’écoute DHCP est mise à jour avec la nouvelle liaison d’adresse.

Pourboire:

Par défaut, les liaisons IP-MAC sont perdues lorsque le commutateur est redémarré, et les clients DHCP (les périphériques réseau ou les hôtes) doivent acquérir à nouveau les liaisons. Toutefois, vous pouvez configurer les liaisons pour qu’elles persistent en définissant l’instruction dhcp-snooping-file pour qu’elle stocke le fichier de base de données localement ou à distance. Lorsque vous configurez et activez le VLAN dynamique 802.1x, les entrées de surveillance DHCP sont également supprimées. Pour cette raison, il est recommandé de configurer un serveur DHCP pour qu’il stocke les informations de location des clients et leur fournisse une adresse IP prévisible même après le redémarrage du client (persistance DHCP).

Vous pouvez configurer le commutateur pour espionner les réponses du serveur DHCP uniquement à partir de VLAN spécifiques. Cela permet d’éviter l’usurpation des messages du serveur DHCP.

Activation de la surveillance DHCP

Lorsque vous utilisez la fonctionnalité d’écoute DHCP, il est important que vous compreniez comment l’activer est d’espionnage DHCP.

Sur un périphérique Junos OS, vous ne pouvez pas configurer la fonctionnalité de surveillance DHCP en tant que fonction indépendante. Chaque fois que vous configurez la sécurité DHCP pour un VLAN spécifique de l’appareil, la surveillance DHCP est automatiquement activée sur ce VLAN pour effectuer sa tâche.

Par exemple:

  • Lorsque vous activez la sécurité DHCP sur un VLAN spécifique, la surveillance DHCP est automatiquement activée sur ce VLAN.

Junos OS active l’écoute DHCP sur un commutateur :

  • Lorsque vous configurez l’option suivante pour les fonctionnalités de sécurité de port :

    • dhcp-security au niveau de la hiérarchie [edit vlans vlan-name forwarding-options].

Avant Junos OS version 17.1, Junos OS activait automatiquement la surveillance DHCP si vous configurez l’une des fonctionnalités de sécurité de port suivantes dans la hiérarchie [edit vlans vlan-name forwarding-options] :

  • Inspection ARP dynamique (DAI)
  • IP Source Guard
  • Option DHCP 82
  • IP statique

À partir de Junos OS version 17.1R1, vous pouvez configurer la surveillance DHCP ou DHCPv6 sur un VLAN sans activer d’autres fonctionnalités de sécurité de port. Utilisez l’instruction de configuration suivante pour activer la surveillance DHCP :

[set vlans vlan-name forwarding-options dhcp-security].

Pour plus d’informations sur l’activation de la surveillance DHCP, reportez-vous à la section Configuration de la sécurité des ports (ELS)
Note:

Pour désactiver l’écoute DHCP, vous devez supprimer l’instruction dhcp-security de la configuration. La surveillance DHCP n’est pas désactivée automatiquement lorsque vous désactivez d’autres fonctionnalités de sécurité de port.

Processus d’écoute DHCP

Le processus d’écoute DHCP comprend les étapes suivantes :

Note:

Lorsque la surveillance DHCP est activée pour un VLAN, tous les paquets DHCP envoyés par les périphériques réseau de ce VLAN sont soumis à la surveillance DHCP. La liaison IP-MAC finale se produit lorsque le serveur DHCP envoie un paquet DHCPACK au client DHCP.

  1. L’équipement réseau envoie un paquet DHCPDISCOVER pour demander une adresse IP.

  2. Le commutateur transfère le paquet au serveur DHCP.

  3. Le serveur envoie un paquet DHCPOFFER pour proposer une adresse. Si le paquet DHCPOFFER provient d’une interface sécurisée, le commutateur transmet le paquet au périphérique réseau.

  4. Le périphérique réseau envoie un paquet DHCPREQUEST pour accepter l’adresse IP. Le commutateur ajoute une liaison d’espace réservé IP-MAC à la table d’écoute DHCP. L’entrée est considérée comme un espace réservé jusqu’à ce qu’un paquet DHCPACK soit reçu du serveur. D’ici là, l’adresse IP pouvait toujours être attribuée à un autre hôte.

  5. Le serveur envoie un paquet DHCPACK pour assigner l’adresse IP ou un paquet DHCPNAK pour refuser la demande d’adresse.

  6. Le commutateur met à jour la base de données DHCP en fonction du type de paquet reçu :

    • Si le commutateur reçoit un paquet DHCPACK, il met à jour les informations de location pour les liaisons IP-adresse MAC dans sa base de données.

    • Si le commutateur reçoit un paquet DHCPNACK, il supprime l’espace réservé.

Note:

La base de données DHCP n’est mise à jour qu’après l’envoi du paquet DHCPREQUEST.

Pour obtenir des informations générales sur les messages que le client DHCP et le serveur DHCP échangent lors de l’attribution d’une adresse IP au client, reportez-vous au Guide de configuration des principes de base du système Junos OS.

Surveillance DHCPv6

À partir de la version 14.1X53-D10 de Junos OS, la surveillance DHCP est prise en charge pour les paquets IPv6 sur les commutateurs EX 9200.La surveillance DHCP est également prise en charge pour les paquets IPv6. Le processus d’écoute DHCPv6 est similaire à celui de l’écoute DHCP, mais utilise des noms différents pour les messages échangés entre le client et le serveur afin d’attribuer des adresses IPv6. Le Tableau 1 présente les messages DHCPv6 et leurs équivalents DHCPv4.

Tableau 1 : messages DHCPv6 et messages équivalents DHCPv4

Envoyé par

DHCPv6 Messages

Messages équivalents DHCPv4

Client

SOLLICITER

DHCPDISCOVER

Serveur

ANNONCER

DHCPOFFER

Client

DEMANDER, RENOUVELER, RELIER

requête DHCP

Serveur

RÉPONDRE

DHCPACK/DHCPNAK

Client

LIBÉRER

Version DHCP

Client

DEMANDE D’INFORMATION

DHCPINFORM

Client

DÉCLINER

Refus DHCP

Client

CONFIRMER

aucun

Serveur

RECONFIGURER

DHCPFORCERENEW

Client

RELAIS-FORW, RELAIS-RÉPONSE

aucun

Validation rapide pour DHCPv6

L’option de validation rapide DHCPv6 peut raccourcir l’échange de messages entre le client et le serveur. Lorsqu’elle est prise en charge par le serveur et définie par le client, cette option raccourcit l’échange d’un relais à quatre voies à une négociation à deux messages. Pour plus d’informations sur l’activation de l’option Validation rapide, reportez-vous à la section Configuration de la validation rapide DHCPv6 (MX Series, EX Series).

Lorsque l’option Validation rapide est activée, l’échange de messages est le suivant :

  1. Le client DHCPv6 envoie un message SOLICIT dans lequel il demande l’attribution rapide d’une adresse, d’un préfixe et d’autres paramètres de configuration.

  2. Si le serveur DHCPv6 prend en charge l’affectation rapide, il répond par un message REPLY contenant l’adresse et le préfixe IPv6 affectés, ainsi que d’autres paramètres de configuration.

Accès au serveur DHCP

L’accès d’un commutateur au serveur DHCP peut être configuré de trois manières :

Le commutateur, les clients DHCP et le serveur DHCP se trouvent tous sur le même VLAN

Lorsque le commutateur, les clients DHCP et le serveur DHCP sont tous membres du même VLAN, le serveur DHCP peut être connecté au commutateur de l’une des deux manières suivantes :

Note:

Pour activer l’écoute DHCP sur le VLAN, configurez l’instruction dhcp-security au niveau de la [edit vlans vlan-name forwarding-options] hiérarchie.

  • ( Reportez-vous à la Figure 1.) Le serveur est directement connecté au même commutateur que celui connecté aux clients DHCP (les hôtes, ou périphériques réseau, qui demandent des adresses IP au serveur). Le VLAN est activé pour la surveillance DHCP afin de protéger les ports d’accès non approuvés. Le port trunk est configuré par défaut en tant que port de confiance.

  • ( Reportez-vous à la Figure 2.) Le serveur est connecté à un commutateur intermédiaire (commutateur 2) qui est connecté via un port trunk au commutateur (commutateur 1) auquel les clients DHCP sont connectés. L’interrupteur 2 est utilisé comme commutateur de transit. Le VLAN est activé pour la surveillance DHCP afin de protéger les ports d’accès non approuvés du commutateur 1. Le port trunk est configuré par défaut en tant que port de confiance. Sur la Figure 2, ge-0/0/11 est un port trunk de confiance.

Figure 1 : serveur DHCP connecté directement à un commutateur DHCP Server Connected Directly to a Switch
Figure 2 : serveur DHCP connecté directement au commutateur 2, le commutateur 2 étant connecté au commutateur 1 via un port DHCP Server Connected Directly to Switch 2, with Switch 2 Connected to Switch 1 Through a Trusted Trunk Port trunk approuvé

Le commutateur joue le rôle de serveur DHCP

Vous pouvez configurer les options du serveur local DHCP sur le commutateur, ce qui permet au commutateur de fonctionner comme un serveur local DHCP étendu. Sur la Figure 3, les clients DHCP sont connectés au serveur local DHCP étendu via des ports d’accès non approuvés.

Figure 3 : le commutateur est le serveur Switch Is the DHCP Server DHCP

Le commutateur agit comme un agent de relais

Le commutateur fonctionne comme un agent de relais lorsque les clients DHCP ou le serveur DHCP sont connectés au commutateur via une interface de couche 3 (sur un commutateur ou un routeur). Les interfaces de couche 3 du commutateur sont configurées en tant qu’interfaces VLAN routées (RVI), également appelées interfaces de routage et de pontage intégrées (IRB). Les interfaces trunk sont approuvées par défaut.

Le commutateur peut jouer le rôle d’agent de relais dans les deux scénarios suivants :

  • Le serveur DHCP et les clients se trouvent dans des VLAN différents.

  • Le commutateur est connecté à un routeur qui est, à son tour, connecté au serveur DHCP. Reportez-vous à la figure 4.

Figure 4 : commutateur faisant office d’agent de relais vers le serveur Switch Acting as a Relay Agent Through a Router to the DHCP Server DHCP via un routeur

Ajouts d’adresses IP statiques à la base de données d’écoute DHCP

Vous pouvez ajouter des adresses IP statiques (fixes) et les lier à des adresses MAC fixes dans la base de données de surveillance DHCP. Ces liaisons sont étiquetées statiques dans la base de données, tandis que les liaisons qui ont été ajoutées via le processus d’écoute DHCP sont étiquetées dynamiques. L’attribution statique d’adresses IPv6 est également disponible pour DHCPv6. Pour plus d’informations sur la configuration, reportez-vous à la section Configuration des adresses IP DHCP statiques pour la surveillance DHCP.

Documentation connexe

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libérer
Description
14.1X53-D35
À partir de Junos OS version 14.1X53-D35, un périphérique réseau avec une allocation IP fixe du serveur DHCP est remplacé par un nouveau périphérique avec une adresse MAC différente.
14.1X53-D10
À partir de la version 14.1X53-D10 de Junos OS, la surveillance DHCP est prise en charge pour les paquets IPv6 sur les commutateurs EX 9200.
13.2X51-D20
À partir de Junos OS version 17.1R1, vous pouvez configurer la surveillance DHCP ou DHCPv6 sur un VLAN sans activer d’autres fonctionnalités de sécurité de port en configurant l’instruction dhcp-security CLI à l’adresse [edit vlans vlan-name forwarding-options dhcp-security].