Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Comprendre la surveillance DHCP (non-ELS)

Note:

Cette rubrique contient des informations sur l’activation de la surveillance DHCP (Dynamic Host Configuration Protocol) pour les commutateurs Junos EX Series qui ne prennent pas en charge le logiciel ELS (Enhanced L2 Software). Si votre commutateur exécute une version de Junos qui prend en charge ELS, reportez-vous à la section Présentation de la surveillance DHCP (ELS). Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.

La surveillance DHCP permet à l’équipement de commutation, qui peut être un commutateur ou un routeur, de surveiller les messages DHCP reçus des équipements non approuvés connectés à l’équipement de commutation. Lorsque la surveillance DHCP est activée sur un VLAN, le système examine les messages DHCP envoyés par des hôtes non approuvés associés au VLAN et extrait leurs adresses IP et informations de location. Ces informations sont utilisées pour créer et gérer la base de données d’écoute DHCP. Seuls les hôtes qui peuvent être vérifiés à l’aide de cette base de données sont autorisés à accéder au réseau.

Principes de base de l’écoute DHCP

Le protocole DHCP (Dynamic Host Configuration Protocol) alloue les adresses IP de manière dynamique et loue des adresses aux équipements afin qu’elles puissent être réutilisées lorsqu’elles ne sont plus nécessaires. Les hôtes et les terminaux qui ont besoin d’adresses IP obtenues via DHCP doivent communiquer avec un serveur DHCP sur le réseau local.

L’écoute DHCP agit comme un gardien de la sécurité du réseau en gardant une trace des adresses IP valides attribuées aux périphériques réseau en aval par un serveur DHCP approuvé (le serveur est connecté à un port réseau approuvé).

Par défaut, tous les ports trunk du commutateur sont approuvés et tous les ports d’accès ne sont pas approuvés pour la surveillance DHCP.

Lorsque l’écoute DHCP est activée, les informations de location de l’équipement de commutation sont utilisées pour créer la table d’écoute DHCP, également appelée table de liaison. Le tableau indique la liaison IP-MAC, ainsi que la durée de location de l’adresse IP, le type de liaison, le nom du VLAN et l’interface pour chaque hôte.

Note:

La surveillance DHCP est désactivée dans la configuration par défaut de l’équipement de commutation. Vous devez explicitement activer la surveillance DHCP en définissant examine-dhcp au niveau de la [edit ethernet-switching-options secure-access-port] hiérarchie.

Les entrées de la base de données d’écoute DHCP sont mises à jour dans les événements suivants :

  • Lorsqu’un client DHCP libère une adresse IP (envoie un message DHCPRELEASE). Dans ce cas, l’entrée de mappage associée est supprimée de la base de données.

  • Si vous déplacez un équipement réseau d’un VLAN à un autre. Dans ce cas, l’appareil doit généralement acquérir une nouvelle adresse IP. Par conséquent, son entrée dans la base de données, y compris son ID VLAN, est mise à jour.

  • À l’expiration de la durée de bail (valeur de délai d’expiration) attribuée par le serveur DHCP. Dans ce cas, l’entrée associée est supprimée de la base de données.

Pourboire:

Par défaut, les liaisons IP-MAC sont perdues lorsque le périphérique de commutation est redémarré et que les clients DHCP (les périphériques réseau ou les hôtes) doivent acquérir à nouveau les liaisons. Toutefois, vous pouvez configurer les liaisons pour qu’elles persistent en définissant l’instruction dhcp-snooping-file pour qu’elle stocke le fichier de base de données localement ou à distance.

Vous pouvez configurer le périphérique de commutation pour qu’il espionne les réponses du serveur DHCP à partir de VLAN particuliers uniquement. Cela permet d’éviter l’usurpation des messages du serveur DHCP.

Vous configurez la surveillance DHCP par VLAN, et non par interface (port). La surveillance DHCP est désactivée par défaut sur les périphériques de commutation.

Processus d’écoute DHCP

Le processus de base de la surveillance DHCP comprend les étapes suivantes :

Note:

Lorsque la surveillance DHCP est activée pour un VLAN, tous les paquets DHCP envoyés par les périphériques réseau de ce VLAN sont soumis à la surveillance DHCP. La liaison IP-MAC finale se produit lorsque le serveur DHCP envoie DHCPACK au client DHCP.

  1. L’équipement réseau envoie un paquet DHCPDISCOVER pour demander une adresse IP.

  2. L’équipement de commutation transmet le paquet au serveur DHCP.

  3. Le serveur envoie un paquet DHCPOFFER pour proposer une adresse. Si le paquet DHCPOFFER provient d’une interface sécurisée, l’équipement de commutation transmet le paquet au client DHCP.

  4. Le périphérique réseau envoie un paquet DHCPREQUEST pour accepter l’adresse IP. L’équipement de commutation ajoute une liaison d’espace réservé IP-MAC à la base de données. L’entrée est considérée comme un espace réservé jusqu’à ce qu’un paquet DHCPACK soit reçu du serveur. D’ici là, l’adresse IP pouvait toujours être attribuée à un autre hôte.

  5. Le serveur envoie un paquet DHCPACK pour assigner l’adresse IP ou un paquet DHCPNAK pour refuser la demande d’adresse.

  6. L’équipement de commutation met à jour la base de données d’écoute DHCP en fonction du type de paquet reçu :

    • Si l’équipement de commutation reçoit un paquet DHCPACK, il met à jour les informations de location pour les liaisons IP-MAC dans sa base de données.

    • Si le périphérique de commutation reçoit un paquet DHCPNACK, il supprime l’espace réservé.

Note:

La base de données d’écoute DHCP n’est mise à jour qu’après l’envoi du paquet DHCPREQUEST.

Pour obtenir des informations générales sur les messages que le client DHCP et le serveur DHCP échangent lors de l’attribution d’une adresse IP au client, reportez-vous à la bibliothèque d’administration de Junos OS.

Surveillance DHCPv6

La surveillance DHCPv6 est l’équivalent de la surveillance DHCP pour IPv6. Le processus d’écoute DHCPv6 est similaire à celui de l’écoute DHCP, mais utilise des noms différents pour les messages échangés entre le client et le serveur afin d’attribuer des adresses IPv6. Le Tableau 1 présente les messages DHCPv6 et leurs équivalents DHCP.

Tableau 1 : messages DHCPv6 et messages DHCPv4 équivalents

Envoyé par

DHCPv6 Messages

Messages DHCP équivalents

Client

SOLLICITER

DHCPDISCOVER

Serveur

ANNONCER

DHCPOFFER

Client

DEMANDER, RENOUVELER, RELIER

requête DHCP

Serveur

RÉPONDRE

DHCPACK/DHCPNAK

Client

LIBÉRER

Version DHCP

Client

DEMANDE D’INFORMATION

DHCPINFORM

Client

DÉCLINER

Refus DHCP

Client

CONFIRMER

aucun

Serveur

RECONFIGURER

DHCPFORCERENEW

Client

RELAIS-FORW, RELAIS-RÉPONSE

aucun

Validation rapide pour DHCPv6

DHCPv6 fournit une option de validation rapide (DHCPv6 option 14) qui, lorsqu’elle est prise en charge par le serveur et définie par le client, raccourcit l’échange d’un relais à quatre voies à une poignée de main à deux messages. Pour plus d’informations sur l’activation de l’option Validation rapide, reportez-vous à la section Configuration de la validation rapide DHCPv6 (MX Series, EX Series).

Dans le processus de validation rapide :

  1. Le client DHCPv6 envoie un message SOLICIT dans lequel il demande l’attribution rapide d’une adresse, d’un préfixe et d’autres paramètres de configuration.

  2. Si le serveur DHCPv6 prend en charge l’affectation rapide, il répond par un message REPLY contenant l’adresse et le préfixe IPv6 affectés, ainsi que d’autres paramètres de configuration.

Accès au serveur DHCP

Vous pouvez configurer l’accès d’un équipement de commutation au serveur DHCP de trois manières :

L’équipement de commutation, les clients DHCP et le serveur DHCP se trouvent tous sur le même VLAN

Lorsque le périphérique de commutation, les clients DHCP et le serveur DHCP sont tous membres du même VLAN, le serveur DHCP peut être connecté au périphérique de commutation de l’une des deux manières suivantes :

  • Le serveur est directement connecté au même périphérique de commutation que celui connecté aux clients DHCP (les hôtes, ou périphériques réseau, qui demandent des adresses IP au serveur). Le VLAN est activé pour la surveillance DHCP afin de protéger les ports d’accès non approuvés. Le port trunk est configuré par défaut en tant que port de confiance. Reportez-vous à la Figure 1.

  • Le serveur est connecté à un dispositif de commutation intermédiaire (dispositif de commutation 2). Les clients DHCP sont connectés à l’équipement de commutation 1, qui est connecté via un port trunk à l’équipement de commutation 2. L’appareil de commutation 2 est utilisé comme dispositif de transit. Le VLAN est activé pour la surveillance DHCP afin de protéger les ports d’accès non approuvés. Le port trunk est configuré par défaut en tant que port de confiance. Comme illustré sur la Figure 2, ge-0/0/11 est un port trunk de confiance.

Figure 1 : serveur DHCP connecté directement à un équipement DHCP Server Connected Directly to a Switching Device de commutation
Figure 2 : serveur DHCP connecté directement à l’équipement de commutation 2, l’équipement de commutation 2 étant connecté à l’équipement de commutation 1 via un port Network diagram showing DHCP clients connected to a switch via port ge-0/0/1 and then to a DHCP server via another switch using port ge-0/0/11. trunk approuvé

L’équipement de commutation fait office de serveur DHCP

Note:

Le périphérique de commutation faisant office de serveur DHCP n’est pas pris en charge sur le QFX Series.

L’équipement de commutation lui-même est configuré en tant que serveur DHCP ; C’est ce qu’on appelle une configuration locale. Reportez-vous à la figure 3.

Figure 3 : l’équipement de commutation est le serveur Switching Device Is the DHCP Server DHCP

L’appareil de commutation agit comme agent de relais

L’équipement de commutation fonctionne comme un agent de relais lorsque les clients DHCP ou le serveur DHCP sont connectés à l’appareil par le biais d’une interface de couche 3. Les interfaces de couche 3 de l’équipement de commutation sont configurées en tant qu’interfaces VLAN routées (RVI), également appelées interfaces IRB (Integrated Routing and Bridging). Les interfaces trunk sont approuvées par défaut.

Ces deux scénarios illustrent l’utilisation d’un dispositif de commutation en tant qu’agent de relais :

  • Le serveur DHCP et les clients se trouvent dans des VLAN différents.

  • L’équipement de commutation est connecté à un routeur qui est à son tour connecté au serveur DHCP. Reportez-vous à la figure 4.

Figure 4 : dispositif de commutation faisant office d’agent de relais vers un serveur DHCP par l’intermédiaire d’un routeur Network diagram showing DHCP clients connected to a switch, router, and DHCP server for IP allocation.

Ajouts d’adresses IP statiques à la base de données d’écoute DHCP

Vous pouvez ajouter des adresses IP statiques spécifiques à la base de données et leur attribuer dynamiquement via la surveillance DHCP. Pour ajouter des adresses IP statiques, vous devez fournir l’adresse IP, l’adresse MAC de l’appareil, l’interface à laquelle l’appareil est connecté et le VLAN auquel l’interface est associée. Aucune durée de location n’est affectée à l’entrée. L’entrée configurée statiquement n’expire jamais.

Surveillance des paquets DHCP dont l’adresse IP n’est pas valide

Si vous activez l’écoute DHCP sur un VLAN et que les périphériques de ce VLAN envoient des paquets DHCP demandant des adresses IP non valides, ces adresses IP non valides sont stockées dans la base de données d’écoute DHCP jusqu’à ce qu’elles soient supprimées lorsque leur délai d’expiration par défaut est atteint. Pour éliminer cette consommation inutile d’espace dans la base de données d’écoute DHCP, l’équipement de commutation abandonne les paquets DCHP qui demandent des adresses IP non valides, empêchant ainsi l’espionnage de ces paquets. Les adresses IP non valides sont les suivantes :

  • 0.0.0.0

  • 128.0.x.x

  • N° 191.255.x.x

  • 192.0.0.x

  • 223.255.255x.

  • Débloquer le niveau 224.x.x.x

  • 240.x.x.x à 255.255.255.255

Priorisation des paquets espionnés

Note:

La hiérarchisation des paquets espionnés n’est pas prise en charge sur le QFX Series et le commutateur EX4600.

Vous pouvez utiliser des classes de transfert et des files d’attente de classe de service (CoS) pour hiérarchiser les paquets espionnés DHCP pour un VLAN spécifié. Ce type de configuration place les paquets d’écoute DHCP pour ce VLAN dans une file d’attente de sortie spécifiée, de sorte que la procédure de sécurité n’interfère pas avec la transmission du trafic hautement prioritaire.

Documentation connexe