Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comprendre la surveillance DHCP (ELS)

Note:

Cette rubrique inclut des informations sur l’activation de la surveillance DHCP (Dynamic Host Configuration Protocol) lors de l’utilisation de Junos OS pour les commutateurs EX Series avec prise en charge du style de configuration ELS (Enhanced Layer 2 Software). Si votre commutateur exécute le logiciel Junos OS qui ne prend pas en charge ELS, consultez Understanding DHCP Snooping (non-ELS). Pour plus de détails sur ELS, reportez-vous à l’interface CLI du logiciel de couche 2 améliorée.

La surveillance DHCP permet à l’équipement de commutation, qui peut être un commutateur ou un routeur, de surveiller les messages DHCP reçus par des équipements non sécurisés connectés à l’équipement de commutation. Lorsque la surveillance DHCP est activée sur un VLAN, le système examine les messages DHCP envoyés par les hôtes non fiables associés au VLAN, puis extrait leurs adresses IP et les informations de location. Ces informations sont utilisées pour créer et entretenir la base de données de surveillance DHCP. Seuls les hôtes pouvant être vérifiés à l’aide de cette base de données peuvent accéder au réseau.

Bases de la surveillance DHCP

Dhcp alloue les adresses IP de manière dynamique et les crédit-bail aux équipements afin que ces adresses puissent être réutilisées lorsqu’elles ne sont plus nécessaires par les équipements auxquels elles ont été attribuées. Les hôtes et les équipements finaux qui nécessitent des adresses IP obtenues via DHCP doivent communiquer avec un serveur DHCP à travers le réseau local.

La surveillance DHCP agit comme un gardien de la sécurité du réseau en gardant un suivi des adresses IP valides attribuées aux équipements réseau en aval par un serveur DHCP fiable (le serveur est connecté à un port réseau approuvé).

Par défaut, tous les ports d’agrégation du commutateur sont approuvés et tous les ports d’accès ne sont pas sécurisés pour la surveillance DHCP.

À partir de Junos OS version 18.4R1, la surveillance DHCP se produit sur les ports sécurisés des commutateurs Juniper Series, EX2300, EX4600 et QFX5K suivants. Avant junos OS version 18.4R1, pour ces équipements, cela était vrai uniquement pour la surveillance DHCPv6. En outre, la surveillance DHCP est effectuée sur les ports de confiance des commutateurs EX9200 Series et des entreprises Fusion, qui exécutent Junos OS version 19.1R1 et versions ultérieures.

Vous pouvez configurer un port d’accès comme étant approuvé ou un port d’agrégation comme non sécurisé, à l’aide de l’instruction de configuration de remplacement avec l’option approuvée ou non approuvée .

Lorsque la surveillance DHCP est activée, les informations de location du serveur sont utilisées pour créer la table de surveillance DHCP, également appelée table de liaison DHCP. Le tableau affiche les liaisons d’adresses IP-MAC actuelles, ainsi que le temps de location, le type de liaison, les noms des VLAN et des interfaces associés.

Les entrées de la table de surveillance DHCP sont mises à jour dans les événements suivants :

  • Lorsqu’un équipement réseau publie une adresse IP (envoie un message DHCPRELEASE). Dans cet événement, l’entrée de mappage associée est supprimée de la base de données.

  • Lorsque vous déplacez un équipement réseau d’un VLAN à un autre. Dans ce cas, l’équipement doit généralement acquérir une nouvelle adresse IP. Par conséquent, son entrée dans la base de données, y compris le nom VLAN, est mise à jour.

  • Lorsque le temps de location (valeur d’expiration) attribué par le serveur DHCP expire. Dans ce cas, l’entrée associée est supprimée de la base de données.

  • Lorsque l’équipement réseau renouvelle son contrat de location en envoyant un message DHCPREQUEST unicast et en recevant une réponse positive du serveur DHCP. Dans ce cas, le temps de location est mis à jour dans la base de données.

  • Si l’équipement réseau ne peut pas atteindre le serveur DHCP qui a initialement accordé le bail, il envoie un message DHCPREQUEST de diffusion et se relit au serveur DHCP qui répond. Dans ce cas, le client reçoit une nouvelle adresse IP et la liaison est mise à jour dans la table de surveillance DHCP.

  • À partir de Junos OS Version 14.1X53-D35, si un équipement réseau doté d’une allocation IP fixe à partir du serveur DHCP est remplacé par un nouvel équipement avec une adresse MAC différente, la nouvelle liaison d’adresse IP-MAC est stockée jusqu’à ce que le serveur envoie un message DHCPACK ; ensuite, l’entrée dans la table de surveillance DHCP est mise à jour avec la nouvelle liaison d’adresse.

Pointe:

Par défaut, les liaisons IP-MAC sont perdues lors du redémarrage du commutateur, et les clients DHCP (les équipements réseau ou les hôtes) doivent les réacquire. Toutefois, vous pouvez configurer les liaisons pour qu’elles persistent en définissant l’instruction dhcp-snooping-file de stockage local ou distant du fichier de base de données.

Vous pouvez configurer le commutateur pour espionner les réponses du serveur DHCP uniquement à partir de VLAN spécifiques. Cela évite l’usurpation des messages du serveur DHCP.

Activation de la surveillance DHCP

La surveillance DHCP n’est pas activée dans la configuration du commutateur par défaut. Junos OS active automatiquement la surveillance DHCP lorsque vous configurez des fonctionnalités de sécurité des ports au niveau de la [edit vlans vlan-name forwarding-options dhcp-security] hiérarchie. À partir de Junos OS Version 17.1R1, vous pouvez configurer la surveillance DHCP ou la surveillance DHCPv6 sur un VLAN sans activer d’autres fonctionnalités de sécurité de port en configurant l’instruction dhcp-security CLI à l’adresse [edit vlans vlan-name forwarding-options dhcp-security]. Vous activez la surveillance DHCP par VLAN, et non par interface (port). Pour plus d’informations sur l’activation de la surveillance DHCP, consultez Configuration de la sécurité des ports (ELS).

Note:

Pour désactiver la surveillance DHCP, vous devez supprimer l’instruction dhcp-security de la configuration. La surveillance DHCP n’est pas automatiquement désactivée lorsque vous désactivez les autres fonctions de sécurité des ports.

Processus de surveillance DHCP

Le processus de surveillance DHCP se compose des étapes suivantes :

Note:

Lorsque la surveillance DHCP est activée pour un VLAN, tous les paquets DHCP envoyés à partir d’équipements réseau dans ce VLAN sont soumis à une surveillance DHCP. La liaison IP-MAC finale se produit lorsque le serveur DHCP envoie un paquet DHCPACK au client DHCP.

  1. L’équipement réseau envoie un paquet DHCPDISCOVER pour demander une adresse IP.

  2. Le commutateur transfère le paquet au serveur DHCP.

  3. Le serveur envoie un paquet DHCPOFFER afin de proposer une adresse. Si le paquet DHCPOFFER provient d’une interface sécurisée, le commutateur transfère le paquet vers l’équipement réseau.

  4. L’équipement réseau envoie un paquet DHCPREQUEST afin d’accepter l’adresse IP. Le commutateur ajoute une liaison d’espace réservé IP-MAC à la table de surveillance DHCP. L’entrée est considérée comme un espace réservé jusqu’à ce qu’un paquet DHCPACK soit reçu du serveur. Jusque-là, l’adresse IP pouvait toujours être attribuée à un autre hôte.

  5. Le serveur envoie un paquet DHCPACK pour lui attribuer une adresse IP ou un paquet DHCPNAK afin de refuser la requête d’adresse.

  6. Le commutateur met à jour la base de données DHCP en fonction du type de paquet reçu :

    • Si le commutateur reçoit un paquet DHCPACK, il met à jour les informations de location pour les liaisons d’adresse IP-MAC dans sa base de données.

    • Si le commutateur reçoit un paquet DHCPNACK, il supprime l’espace réservé.

Note:

La base de données DHCP n’est mise à jour qu’après l’envoi du paquet DHCPREQUEST.

Pour plus d’informations sur les messages échangés par le client DHCP et le serveur DHCP pendant l’attribution d’une adresse IP pour le client, consultez le Guide de configuration des bases du système Junos OS.

Surveillance DHCPv6

À partir de Junos OS version 14.1X53-D10, la surveillance DHCP est prise en charge pour les paquets IPv6 sur les commutateurs EX 9200.La surveillance DHCP est également prise en charge pour les paquets IPv6. Le processus de surveillance DHCPv6 est similaire à celui de la surveillance DHCP, mais utilise différents noms pour les messages échangés entre le client et le serveur pour attribuer des adresses IPv6. Le tableau 1 montre les messages DHCPv6 et leurs équivalents DHCPv4.

Tableau 1 : Messages DHCPv6 et messages équivalents DHCPv4

Envoyé par

DHCPv6 Messages

Messages équivalents À DHCPv4

Client

SOLLICITER

DHCPDISCOVER

Serveur

ANNONCER

DHCPOFFER

Client

DEMANDER, RENOUVELER, REBIND

DHCPREQUEST

Serveur

RÉPONSE

DHCPACK/DHCPNAK

Client

LIBÉRATION

DHCPRELEASE

Client

DEMANDE D’INFORMATIONS

DHCPINFORME

Client

DÉCLIN

DHCPDECLINE

Client

CONFIRMER

Aucun

Serveur

RECONFIGURER

DHCPFORCERENEW

Client

RELAIS-FORW, RELAIS-REPONSE

Aucun

Validation rapide pour DHCPv6

L’option de validation rapide DHCPv6 permet de réduire l’échange de messages entre le client et le serveur. Lorsqu’elle est prise en charge par le serveur et définie par le client, cette option réduit l’échange d’un relais à quatre à une négociation à deux messages. Pour plus d’informations sur l’activation de l’option Validation rapide, consultez Configuration de la validation rapide DHCPv6 (MX Series, EX Series).

Lorsque l’option Validation rapide est activée, l’échange de messages est le suivant :

  1. Le client DHCPv6 envoie un message SOLICIT contenant une demande visant à privilégier l’attribution rapide de l’adresse, du préfixe et d’autres paramètres de configuration.

  2. Si le serveur DHCPv6 prend en charge l’attribution rapide, il répond par un message REPLY qui contient l’adresse et le préfixe IPv6 assignés, ainsi que d’autres paramètres de configuration.

Accès au serveur DHCP

L’accès d’un commutateur au serveur DHCP peut être configuré de trois manières :

Les commutateurs, les clients DHCP et le serveur DHCP sont tous sur le même VLAN

Lorsque le commutateur, les clients DHCP et le serveur DHCP sont tous membres du même VLAN, le serveur DHCP peut être connecté au commutateur de deux façons :

Note:

Pour activer la surveillance DHCP sur le VLAN, configurez l’instruction dhcp-security au niveau de la [edit vlans vlan-name forwarding-options] hiérarchie.

  • (Voir Figure 1.) Le serveur est directement connecté au même commutateur que celui connecté aux clients DHCP (les hôtes ou les équipements réseau qui demandent des adresses IP au serveur). Le VLAN est activé pour la surveillance DHCP afin de protéger les ports d’accès non sécurisés. Le port d’agrégation est configuré par défaut en tant que port de confiance.

  • (Voir Figure 2.) Le serveur est connecté à un commutateur intermédiaire (commutateur 2) connecté par un port d’agrégation au commutateur (commutateur 1) auquel les clients DHCP sont connectés. Le commutateur 2 est utilisé comme commutateur de transit. Le VLAN est activé pour la surveillance DHCP afin de protéger les ports d’accès non sécurisés du commutateur 1. Le port d’agrégation est configuré par défaut en tant que port de confiance. Sur la Figure 2, ge-0/0/11 est un port trunk fiable.

Figure 1 : Serveur DHCP connecté directement à un commutateur DHCP Server Connected Directly to a Switch
Figure 2 : Serveur DHCP connecté directement au commutateur 2, le commutateur 2 étant connecté au commutateur 1 via un port DHCP Server Connected Directly to Switch 2, with Switch 2 Connected to Switch 1 Through a Trusted Trunk Port trunk sécurisé

Le commutateur agit en tant que serveur DHCP

Vous pouvez configurer les options de serveur local DHCP sur le commutateur, ce qui permet au commutateur de fonctionner comme un serveur local DHCP étendu. Sur la figure 3, les clients DHCP sont connectés au serveur local DHCP étendu via des ports d’accès non sécurisés.

Figure 3 : Le commutateur est le serveur Switch Is the DHCP Server DHCP

Le commutateur agit en tant qu’agent relais

Le commutateur fonctionne comme un agent relais lorsque les clients DHCP ou le serveur DHCP sont connectés au commutateur via une interface de couche 3 (sur un commutateur ou un routeur). Les interfaces de couche 3 du commutateur sont configurées en tant qu’interfaces VLAN routage (RVIs), également appelées interfaces de routage et de pontage intégrées (IRB). Les interfaces d’agrégation sont approuvées par défaut.

Le commutateur peut jouer le rôle d’agent relais dans ces deux scénarios :

  • Le serveur DHCP et les clients sont dans différents VLAN.

  • Le commutateur est connecté à un routeur qui est lui-même connecté au serveur DHCP. Voir figure 4.

Figure 4 : Commutateur agissant en tant qu’agent relais via un routeur vers le serveur Switch Acting as a Relay Agent Through a Router to the DHCP Server DHCP

Ajouts d’adresses IP statiques à la base de données de surveillance DHCP

Vous pouvez ajouter des adresses IP statiques (fixes) et les lier à des adresses MAC fixes dans la base de données de surveillance DHCP. Ces liaisons sont étiquetées statiques dans la base de données, tandis que les liaisons qui ont été ajoutées au cours du processus de surveillance DHCP sont étiquetées dynamiques. L’attribution d’adresses IPv6 statiques est également disponible pour DHCPv6. Pour plus de détails sur la configuration, voir Configuration des adresses IP DHCP statiques pour la surveillance DHCP.

Tableau Historique des versions
Libération
Description
14,1X53-D35
À partir de Junos OS version 14.1X53-D35, un équipement réseau avec une allocation IP fixe à partir du serveur DHCP est remplacé par un nouvel équipement avec une adresse MAC différente.
14,1X53-D10
À partir de Junos OS version 14.1X53-D10, la surveillance DHCP est prise en charge pour les paquets IPv6 sur les commutateurs EX 9200.
13,2X51-D20
À partir de Junos OS Version 17.1R1, vous pouvez configurer la surveillance DHCP ou la surveillance DHCPv6 sur un VLAN sans activer d’autres fonctionnalités de sécurité de port en configurant l’instruction dhcp-security CLI à l’adresse [edit vlans vlan-name forwarding-options dhcp-security].