Comprendre l’écoute DHCP (non-ELS)
Cette rubrique contient des informations sur l’activation de l’écoute DHCP (Dynamic Host Configuration Protocol) pour les commutateurs Junos EX Series qui ne prennent pas en charge le logiciel ELS (Enhanced L2 Software). Si votre commutateur exécute une version de Junos qui prend en charge ELS, reportez-vous à la section Présentation de la surveillance DHCP (ELS). Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.
La surveillance DHCP permet à l’équipement de commutation, qui peut être un commutateur ou un routeur, de surveiller les messages DHCP reçus de périphériques non approuvés connectés à l’équipement de commutation. Lorsque la surveillance DHCP est activée sur un VLAN, le système examine les messages DHCP envoyés par des hôtes non approuvés associés au VLAN et extrait leurs adresses IP et les informations de location. Ces informations sont utilisées pour créer et gérer la base de données d’écoute DHCP. Seuls les hôtes qui peuvent être vérifiés à l’aide de cette base de données sont autorisés à accéder au réseau.
Principes de base de l’écoute DHCP
Le protocole DHCP (Dynamic Host Configuration Protocol) alloue les adresses IP de façon dynamique et loue des adresses aux équipements afin qu’elles puissent être réutilisées lorsqu’elles ne sont plus nécessaires. Les hôtes et les terminaux qui ont besoin d’adresses IP obtenues via DHCP doivent communiquer avec un serveur DHCP sur le réseau local.
L’espionnage DHCP agit comme un gardien de la sécurité du réseau en gardant une trace des adresses IP valides attribuées aux périphériques réseau en aval par un serveur DHCP approuvé (le serveur est connecté à un port réseau approuvé).
Par défaut, tous les ports trunk du commutateur sont approuvés et tous les ports d’accès ne sont pas approuvés pour la surveillance DHCP.
Lorsque l’écoute DHCP est activée, les informations de bail de l’unité de commutation sont utilisées pour créer la table d’écoute DHCP, également appelée table de liaison. Le tableau indique la liaison IP-MAC, ainsi que la durée du bail pour l’adresse IP, le type de liaison, le nom du VLAN et l’interface pour chaque hôte.
La surveillance DHCP est désactivée dans la configuration par défaut de l’équipement de commutation. Vous devez explicitement activer la surveillance DHCP en définissant examine-dhcp au niveau de la [edit ethernet-switching-options secure-access-port] hiérarchie.
Les entrées de la base de données d’écoute DHCP sont mises à jour dans les événements suivants :
Lorsqu’un client DHCP libère une adresse IP (envoie un message DHCPRELEASE). Dans ce cas, l’entrée de mappage associée est supprimée de la base de données.
Si vous déplacez un périphérique réseau d’un VLAN à un autre. Dans ce cas, l’appareil doit généralement acquérir une nouvelle adresse IP. Par conséquent, son entrée dans la base de données, y compris son ID de VLAN, est mise à jour.
À l’expiration de la durée du bail (valeur du délai d’expiration) attribuée par le serveur DHCP. Dans ce cas, l’entrée associée est supprimée de la base de données.
Par défaut, les liaisons IP-MAC sont perdues lorsque le périphérique de commutation est redémarré et que les clients DHCP (les périphériques réseau ou les hôtes) doivent acquérir à nouveau les liaisons. Toutefois, vous pouvez configurer les liaisons pour qu’elles soient conservées en définissant l’instruction dhcp-snooping-file pour qu’elle stocke le fichier de base de données localement ou à distance.
Vous pouvez configurer le périphérique de commutation pour qu’il espionne les réponses du serveur DHCP à partir de VLAN particuliers uniquement. Cela permet d’éviter l’usurpation des messages du serveur DHCP.
Vous configurez la surveillance DHCP par VLAN, et non par interface (port). La surveillance DHCP est désactivée par défaut sur les périphériques de commutation.
Processus d’écoute DHCP
Le processus de base de l’écoute DHCP comprend les étapes suivantes :
Lorsque la surveillance DHCP est activée pour un VLAN, tous les paquets DHCP envoyés par les périphériques réseau de ce VLAN sont soumis à la surveillance DHCP. La liaison IP-MAC finale se produit lorsque le serveur DHCP envoie DHCPACK au client DHCP.
L’équipement réseau envoie un paquet DHCPDISCOVER pour demander une adresse IP.
L’équipement de commutation transmet le paquet au serveur DHCP.
Le serveur envoie un paquet DHCPOFFER pour proposer une adresse. Si le paquet DHCPOFFER provient d’une interface sécurisée, le périphérique de commutation transmet le paquet au client DHCP.
L’équipement réseau envoie un paquet DHCPREQUEST pour accepter l’adresse IP. L’équipement de commutation ajoute une liaison d’espace réservé IP-MAC à la base de données. L’entrée est considérée comme un espace réservé jusqu’à ce qu’un paquet DHCPACK soit reçu du serveur. Jusque-là, l’adresse IP pouvait toujours être attribuée à un autre hôte.
Le serveur envoie un paquet DHCPACK pour attribuer l’adresse IP ou un paquet DHCPNAK pour refuser la demande d’adresse.
L’équipement de commutation met à jour la base de données d’écoute DHCP en fonction du type de paquet reçu :
Si l’équipement de commutation reçoit un paquet DHCPACK, il met à jour les informations de bail pour les liaisons IP-MAC dans sa base de données.
Si le périphérique de commutation reçoit un paquet DHCPNACK, il supprime l’espace réservé.
La base de données de surveillance DHCP n’est mise à jour qu’après l’envoi du paquet DHCPREQUEST.
Pour obtenir des informations générales sur les messages que le client DHCP et le serveur DHCP échangent lors de l’attribution d’une adresse IP au client, reportez-vous à la Bibliothèque d’administration de Junos OS.
Surveillance DHCPv6
L’écoute DHCPv6 est l’équivalent de l’écoute DHCP pour IPv6. Le processus d’écoute DHCPv6 est similaire à celui de l’écoute DHCP, mais utilise des noms différents pour les messages échangés entre le client et le serveur afin d’attribuer des adresses IPv6. Le Tableau 1 présente les messages DHCPv6 et leurs équivalents DHCP.
Envoyé par |
DHCPv6 Messages |
Messages DHCP équivalents |
|---|---|---|
Client |
SOLLICITER |
DHCPDÉCOUVRIR |
Serveur |
ANNONCER |
DHCPOFFER |
Client |
DEMANDER, RENOUVELER, RELIER |
DHCPREQUEST |
Serveur |
RÉPONDRE |
DHCPACK/DHCPNAK |
Client |
LIBÉRER |
Version DHCP |
Client |
DEMANDE D’INFORMATION |
DHCPINFORM |
Client |
DÉCLINER |
DHCPDECLINE |
Client |
CONFIRMER |
aucun |
Serveur |
RECONFIGURER |
DHCPFORCERENEW |
Client |
RELAIS-FORW, RELAIS-RÉPONSE |
aucun |
Validation rapide pour DHCPv6
DHCPv6 prévoit une option de validation rapide (DHCPv6 option 14) qui, lorsqu’elle est prise en charge par le serveur et définie par le client, raccourcit l’échange d’un relais à quatre voies à une négociation à deux messages. Pour plus d’informations sur l’activation de l’option Validation rapide, reportez-vous à la section Configuration de la validation rapide DHCPv6 (MX Series, EX Series).
Dans le processus de validation rapide :
Le client DHCPv6 envoie un message SOLICIT dans lequel il demande l’attribution rapide d’une adresse, d’un préfixe et d’autres paramètres de configuration.
Si le serveur DHCPv6 prend en charge l’affectation rapide, il répond par un message REPLY, qui contient l’adresse et le préfixe IPv6 attribués, ainsi que d’autres paramètres de configuration.
Accès au serveur DHCP
Vous pouvez configurer l’accès d’un équipement de commutation au serveur DHCP de trois manières :
- L’équipement de commutation, les clients DHCP et le serveur DHCP se trouvent tous sur le même VLAN
- L’équipement de commutation joue le rôle de serveur DHCP
- L’appareil de commutation joue le rôle d’agent de relais
L’équipement de commutation, les clients DHCP et le serveur DHCP se trouvent tous sur le même VLAN
Lorsque le périphérique de commutation, les clients DHCP et le serveur DHCP sont tous membres du même VLAN, le serveur DHCP peut être connecté au périphérique de commutation de l’une des deux manières suivantes :
Le serveur est directement connecté au même périphérique de commutation que celui connecté aux clients DHCP (les hôtes, ou périphériques réseau, qui demandent des adresses IP au serveur). Le VLAN est activé pour la surveillance DHCP afin de protéger les ports d’accès non approuvés. Le port trunk est configuré par défaut en tant que port approuvé. Reportez-vous à la figure 1.
Le serveur est connecté à un dispositif de commutation intermédiaire (dispositif de commutation 2). Les clients DHCP sont connectés au périphérique de commutation 1, qui est connecté via un port trunk au périphérique de commutation 2. Le dispositif de commutation 2 est utilisé comme dispositif de transit. Le VLAN est activé pour la surveillance DHCP afin de protéger les ports d’accès non approuvés. Le port trunk est configuré par défaut en tant que port approuvé. Comme illustré sur la Figure 2, ge-0/0/11 est un port trunk approuvé.
de commutation
trunk approuvé
L’équipement de commutation joue le rôle de serveur DHCP
Le périphérique de commutation faisant office de serveur DHCP n’est pas pris en charge sur le QFX Series.
L’équipement de commutation lui-même est configuré en tant que serveur DHCP ; C’est ce qu’on appelle une configuration locale. Reportez-vous à la figure 3.
DHCP
L’appareil de commutation joue le rôle d’agent de relais
L’équipement de commutation fonctionne comme un agent de relais lorsque les clients DHCP ou le serveur DHCP sont connectés à l’équipement via une interface de couche 3. Les interfaces de couche 3 de l’équipement de commutation sont configurées en tant qu’interfaces VLAN routées (RVI), également connues sous le nom d’interfaces de routage et de pontage intégrées (IRB). Les interfaces trunk sont approuvées par défaut.
Ces deux scénarios illustrent l’appareil de commutation agissant en tant qu’agent de relais :
Le serveur DHCP et les clients se trouvent dans des VLAN différents.
Le commutateur est connecté à un routeur qui est à son tour connecté au serveur DHCP. Reportez-vous à la figure 4.
DHCP via un routeur
Ajouts d’adresses IP statiques à la base de données DHCP Snooping
Vous pouvez ajouter des adresses IP statiques spécifiques à la base de données et leur attribuer dynamiquement par le biais de la surveillance DHCP. Pour ajouter des adresses IP statiques, vous devez fournir l’adresse IP, l’adresse MAC du périphérique, l’interface sur laquelle le périphérique est connecté et le VLAN auquel l’interface est associée. Aucune durée de bail n’est affectée à l’entrée. L’entrée configurée statiquement n’expire jamais.
Surveillance des paquets DHCP dont les adresses IP ne sont pas valides
Si vous activez la surveillance DHCP sur un VLAN et que les périphériques de ce VLAN envoient des paquets DHCP qui demandent des adresses IP non valides, ces adresses IP non valides sont stockées dans la base de données de surveillance DHCP jusqu’à ce qu’elles soient supprimées lorsque leur délai d’expiration par défaut est atteint. Pour éliminer cette consommation inutile d’espace dans la base de données d’écoute DHCP, l’équipement de commutation abandonne les paquets DCHP qui demandent des adresses IP non valides, empêchant ainsi l’espionnage de ces paquets. Les adresses IP non valides sont les suivantes :
0.0.0.0
128.0.x.x
191.255.x.x
192.0.0.x
223.255.255.x
224.x.x.x
240.x.x.x à 255.255.255.255
Priorisation des paquets espionnés
La hiérarchisation des paquets en attente n’est pas prise en charge sur le QFX Series et le commutateur EX4600.
Vous pouvez utiliser des classes de transfert et des files d’attente de classe de service (CoS) pour donner la priorité aux paquets espionnés DHCP pour un VLAN spécifié. Ce type de configuration place les paquets DHCP espionnés pour ce VLAN dans une file d’attente de sortie spécifiée, de sorte que la procédure de sécurité n’interfère pas avec la transmission du trafic hautement prioritaire.