Activation de la surveillance DHCP (non-ELS)
La surveillance DHCP permet au commutateur de surveiller et de contrôler les messages DHCP reçus des périphériques non approuvés connectés au commutateur. Le commutateur crée et gère une base de données de liaisons valides entre l’adresse IP et les adresses MAC (liaisons IP-MAC), appelée base de données de surveillance DHCP.
Si vous configurez la surveillance DHCP pour tous les VLAN et que vous activez une autre fonctionnalité de sécurité de port sur un VLAN spécifique, vous devez également activer explicitement la surveillance DHCP sur ce VLAN. Dans le cas contraire, la valeur par défaut « Aucune surveillance DHCP » s’applique à ce VLAN.
Activation de la surveillance DHCP
Vous configurez la surveillance DHCP par VLAN, et non par interface (port). Par défaut, la surveillance DHCP est désactivée pour tous les VLAN. Vous pouvez activer la surveillance DHCP sur tous les VLAN ou sur des VLAN spécifiques.
Pour activer la surveillance DHCP :
Sur un VLAN spécifique :
[edit ethernet-switching-options secure-access port] user@switch# set vlan vlan-name examine-dhcp
Sur tous les VLAN :
[edit ethernet-switching-options secure-access port] user@switch# set vlan all examine-dhcp
Pour activer la surveillance DHCPv6 :
Sur un VLAN spécifique :
[edit ethernet-switching-options secure-access port] user@switch# set vlan vlan-name examine-dhcpv6
Sur tous les VLAN :
[edit ethernet-switching-options secure-access port] user@switch# set vlan all examine-dhcpv6
Par défaut, les liaisons IP-MAC sont perdues lorsque le commutateur est redémarré et que les clients DHCP (les périphériques réseau ou les hôtes) doivent acquérir à nouveau les liaisons. Toutefois, vous pouvez configurer les liaisons pour qu’elles persistent en configurant le commutateur pour qu’il stocke le fichier de base de données localement ou à distance. Reportez-vous à la section Configuration des liaisons persistantes dans DHCP ou DHCPv6 (non-ELS).
Pour les VLAN privés (PVLAN), activez l’écoute DHCP sur le VLAN principal. Si vous activez la surveillance DHCP uniquement sur un VLAN communautaire, les messages DHCP provenant des ports trunk PVLAN ne sont pas espionnés.
Application des classes de transfert CoS pour hiérarchiser les paquets espionnés
Sur les commutateurs EX Series, vous devrez peut-être utiliser la classe de service (CoS) pour protéger les paquets provenant d’applications critiques contre les pertes pendant les périodes de congestion et de retard du réseau, et vous devrez peut-être également configurer les fonctionnalités de sécurité des ports de surveillance DHCP sur les ports par lesquels ces paquets entrent ou sortent.
La hiérarchisation des paquets espionnés à l’aide de classes de transfert CoS n’est pas prise en charge sur le commutateur QFX Series.
Pour appliquer des classes de transfert et des files d’attente CoS à des paquets en attente :
Vérification du bon fonctionnement de la surveillance DHCP
But
Vérifiez que la surveillance DHCP fonctionne sur le commutateur et que la base de données de surveillance DHCP est correctement renseignée avec les liaisons dynamiques et statiques.
Action
Envoyez des requêtes DHCP à partir de périphériques réseau (ici des clients DHCP) connectés au commutateur.
Affichez les informations de surveillance DHCP lorsque l’interface sur laquelle le serveur DHCP se connecte au commutateur est approuvée. La sortie suivante se produit lorsque les requêtes sont envoyées à partir des adresses MAC et que le serveur a fourni les adresses IP et les baux :
user@switch> show dhcp snooping binding DHCP Snooping Information: MAC address IP address Lease (seconds) Type VLAN Interface 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee ge-0/0/2.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee ge-0/0/2.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee ge-0/0/2.0 00:05:85:27:32:88 192.0.2.22 — static data ge-0/0/4.0
Signification
Lorsque l’interface sur laquelle le serveur DHCP se connecte au commutateur a été définie sur approuvée, la sortie (voir l’exemple précédent) affiche, pour chaque adresse MAC, l’adresse IP attribuée et la durée du bail, c’est-à-dire le temps, en secondes, restant avant l’expiration du bail. Les adresses IP statiques n’ont pas de durée de bail attribuée. L’entrée configurée statiquement n’expire jamais.
Si le serveur DHCP avait été configuré comme non approuvé, aucune entrée n’aurait été ajoutée à la base de données d’écoute DHCP et rien n’aurait été affiché dans la sortie de la show dhcp snooping binding commande.