DHCP 스누핑

DHCP 스누핑 지원

DHCP(Dynamic Host Configuration Protocol)는 TCP/IP 네트워크에서 IP 주소 및 기타 관련 구성 정보를 네트워크 디바이스에 동적으로 할당하는 데 사용되는 네트워크 관리 프로토콜입니다.

DHCP 스누핑 작동 방식
DHCP 스누핑의 이점

DHCP 스누핑 작동 방식

DHCP(Dynamic Host Configuration Protocol)는 디바이스에 IP 주소를 동적으로 할당하여 더 이상 필요하지 않을 때 재사용할 수 있는 주소를 임대합니다. DHCP를 통해 IP 주소가 필요한 호스트 또는 엔드 디바이스는 LAN을 통해 DHCP 서버와 통신해야 합니다.

다음 그림에서는 DHCP 스누핑 프로세스를 보여 줍니다.

그림 1: DHCP 스누핑 DHCP Snooping

토폴로지에서 최종 사용자 디바이스는 Junos OS 디바이스(라우터, 스위치 또는 방화벽)에 연결됩니다. Junos OS 디바이스는 DHCP 클라이언트 및 DHCP 서버에 모두 연결됩니다. DHCP 릴레이 에이전트로 구성된 Junos OS 디바이스는 DHCP 클라이언트와 DHCP 서버 간의 인터페이스로 작동합니다. 이 Junos OS 디바이스는 DHCP 패킷을 검사합니다. DHCP 서버는 클라이언트에 IP 주소를 할당합니다.

Junos OS 디바이스의 DHCP 스누핑 기능은 다음 작업을 수행합니다.

신뢰할 수 없는 소스에서 수신된 DHCP 메시지를 검증하고 잘못된 메시지를 필터링합니다.
각 클라이언트에 임대된 IP 주소를 추출하고 데이터베이스를 구축합니다. DHCP 스누핑 데이터베이스(또는 바인딩 테이블)에는 각 DHCP 클라이언트의 IP 주소, MAC 주소 및 VLAN에 대한 정보가 포함됩니다.
DHCP 스누핑 바인딩 테이블을 사용하여 신뢰할 수 없는 호스트의 후속 요청을 검증합니다. 주니퍼 디바이스는 DHCP 요청이 신뢰할 수 있는 출처에서 오는 것임을 확인함으로써 유효한 DHCP 요청만 처리되도록 할 수 있습니다.

이러한 방식으로 DHCP 스누핑은 신뢰할 수 있는 DHCP 서버(신뢰할 수 있는 네트워크 포트에 연결된 서버)가 다운스트림 네트워크 디바이스에 할당하는 유효한 IP 주소를 추적하여 네트워크 보안의 수호자 역할을 합니다.

DHCPv6 릴레이 에이전트 스누핑

DHCPv6 릴레이 에이전트는 IPv6 네트워크에서 지원을 제공하여 DHCP 릴레이 에이전트를 향상시킵니다. DHCPv6 릴레이 에이전트는 DHCP 릴레이 에이전트가 IPv4 네트워크를 지원하는 방식과 유사하게 DHCPv6 클라이언트와 DHCPv6 서버 간에 메시지를 전달합니다. 클라이언트와 서버 사이에 여러 DHCPv6 릴레이 에이전트가 있는 다중 릴레이 토폴로지에서 스누핑을 사용하면 중간 릴레이 에이전트가 클라이언트의 유니캐스트 트래픽을 올바르게 처리하여 서버로 전달할 수 있습니다. 이 토폴로지의 스누핑에는 다음 작업이 포함됩니다.

DHCPv6 릴레이 에이전트는 포워딩 테이블별로 DHCPv6 UDP 서버 포트인 UDP 포트 547이 있는 필터를 사용하여 들어오는 유니캐스트 DHCPv6 패킷을 스누핑합니다.
그런 다음 DHCPv6 릴레이 에이전트는 필터가 가로챈 패킷을 처리하여 DHCPv6 서버로 전달합니다.

DHCP 스누핑의 이점

DHCP 스누핑은 IP 주소를 필터링하여 추가 보안 계층을 제공할 수 있습니다. 필터링 프로세스는 네트워크 트래픽을 평가하여 확인되고 유효한 IP 주소로부터의 통신을 허용합니다.
DHCP 스누핑은 잘못된 포트 또는 잘못된 콘텐츠로 도착하는 DHCP 패킷을 필터링하여 네트워크에서 불량 DHCP 활동을 방지할 수 있습니다.

예: DHCP 릴레이 에이전트에 대한 DHCP 스누핑 지원 구성

이 예는 DHCP 릴레이 에이전트에 대한 DHCP 스누핑 지원을 구성하는 방법을 보여줍니다.

요구 사항
개요
구성

요구 사항

DHCP 릴레이 에이전트를 구성합니다. 확장 DHCP 릴레이 에이전트 개요를 참조하십시오.

개요

이 예에서는 다음 작업을 완료하여 DHCP 릴레이 에이전트에 대한 DHCP 스누핑 지원을 구성합니다.

기본 DHCP 스누핑 구성을 무시하고 그룹의 frankfurt인터페이스에 대한 DHCP 스누핑 지원을 활성화합니다.
스누핑된 패킷을 구성된 인터페이스로만 전달하도록 DHCP 릴레이 에이전트를 구성합니다.

구성

단계별 절차

DHCP 스누핑을 위한 DHCP 릴레이 지원을 구성하려면 다음을 수행합니다.

DHCP 릴레이 에이전트를 구성할 것인지 지정합니다.
DHCP 스누핑이 지원되는 인터페이스의 명명된 그룹을 지정합니다.
그룹에 포함할 인터페이스를 지정합니다. DHCP 릴레이 에이전트는 트래픽을 포워딩 또는 드롭할지 여부를 결정할 때 구성된 인터페이스로 간주합니다.

그룹에 대한 기본 구성을 재정의하도록 지정합니다.

그룹에 대한 DHCP 스누핑 지원을 활성화합니다.

[edit forwarding-options dhcp-relay] 계층 수준으로 돌아가 포워딩 작업을 구성하고 DHCP 릴레이 에이전트가 구성된 인터페이스에서만 스누핑된 패킷을 포워딩하도록 지정합니다.
DHCP 릴레이 에이전트에 대한 DHCP 스누핑 패킷 전달을 활성화합니다.
스누핑된 패킷이 구성된 인터페이스(그룹 frankfurt의 인터페이스)에서만 포워딩되도록 지정합니다.

결과

구성 모드에서 명령을 입력하여 show forwarding-options 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 수정하십시오. 다음 출력은 프랑크푸르트 그룹에서 구성된 인터페이스의 범위도 보여줍니다.

디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .

DHCP 스누핑 활성화

Junos OS 디바이스에서는 DHCP 보안, DHCP 릴레이, 특정 VLAN 또는 라우팅 인스턴스에 대한 DHCP 서버 설정을 구성할 때 DHCP 스누핑 기능이 자동으로 활성화됩니다.

Junos OS 디바이스에서는 DHCP 스누핑을 독립적인 기능으로 구성할 수 없습니다.

Junos OS는 다음 기능 중 하나 또는 모두를 구성할 때 스위치, 라우터 또는 방화벽에서 DHCP 스누핑을 활성화합니다.

DHCP 릴레이 또는 DHCP 로컬 서버 옵션을 추가할 수 있습니다.
- 또는 [edit routing-instances routing-instance-name forwarding-options] 계층 수준의 문 [edit forwarding-options] 입니다dhcp-relay.
- 또는 [edit routing-instances routing-instance-name system services] 계층 수준의 문 [edit system services] 입니다dhcp-local-server.
  메모:
  DHCP 릴레이를 구성할 때 가입자 관리 또는 CoS(class-of-service)가 필요하지 않은 한 문을 사용합니다 forward-only . 구성은 forward-only 가입자 세션을 생성하지 않고 지정된 DHCP 클라이언트 패킷을 전달합니다.
특정 VLAN의 DHCP 보안은 해당 VLAN에 대한 DHCP 스누핑을 활성화합니다.

스위치의 계층 수준에 있는 [edit vlans vlan-name forwarding-options] dhcp-security 명령문입니다.
라우터의 계층 수준에 있는 [edit bridge-domains bridge-domain-name forwarding-options dhcp-security] 문입니다dhcp-security.
모든 인터페이스, 구성된 인터페이스만 또는 구성되지 않은 인터페이스에 대해 스누핑된 패킷을 포워딩하거나 드롭하도록 DHCP 로컬 서버를 구성할 수 있습니다. 자세한 내용은 DHCP 로컬 서버에 대한 DHCP 스누핑 패킷 전달 지원 구성을 참조하십시오.

DHCP 릴레이 에이전트에 대한 DHCP 스누핑 패킷 전달

문을 사용하여 forward-snooped-clients DHCP 스누핑 동작에 대한 제어를 더욱 구체화할 수 있습니다.

인터페이스를 기반으로 모니터링되는 트래픽을 포워딩 또는 드롭할지 여부를 결정할 때 명령문을 사용할 forward-snooped-clients 수 있습니다.

스누핑된 트래픽을 평가하고 나중에 트래픽을 포워딩 또는 드롭할지 결정하려면 ] 계층 수준에서 문을 [edit forwarding-options dhcp-relay구성합니다forward-snooped-clients.
다음 시나리오에 대해 옵션을 설정할 forward-snooped-clients 수 있습니다.
- 모든 인터페이스: 모든 인터페이스에 작업을 적용합니다.
- 구성된 인터페이스: 인터페이스 그룹의 일부로 구성된 인터페이스에만 작업을 적용합니다.
- 구성되지 않은 인터페이스: 인터페이스 그룹의 일부가 아닌 인터페이스에만 작업을 적용합니다.
스누핑된 패킷을 포워딩하거나 삭제하려면 옵션으로 forward-snooped-clients 또는 no-allow-snooped-clients을(를) 각각 구성합니다allow-snooped-clients.
- 을 구성 allow-snooped-clients하면 유효한 가입자가 연결된 경우 스누핑된 패킷이 전달됩니다.
- 을 구성 no-allow-snooped-clients하면 유효한 가입자가 연결되어 있더라도 스누핑된 패킷이 누락됩니다.

또는 no-allow-snooped-clients 의 forward-snooped-clients조합을 allow-snooped-clients 기반으로 디바이스가 DHCP 스누핑 패킷에 수행하는 작업에 대한 자세한 내용은 표 1 및 표 2를 참조하십시오.

표 1 은 옵션으로 forward-snooped-clients 구성할 allow-snooped-clients 때 DHCP 릴레이 에이전트에 의해 스누핑된 패킷에 대해 디바이스가 수행하는 작업을 보여줍니다.

표 1: 스누핑된 패킷 전달을 활성화할 때 스누핑된 패킷에 대한 디바이스 작업
구성 적용 대상	구성된 인터페이스에 대한 작업	비구성 인터페이스에 대한 작업
모든 인터페이스	전달	전달
구성된 인터페이스	전달	떨어졌다
구성되지 않은 인터페이스	스누핑된 DHCP 패킷은 DHCP 스누핑 데이터베이스에 가입자 항목을 생성합니다.	전달
구성 없음	스누핑된 DHCP 패킷은 DHCP 스누핑 데이터베이스에 가입자 항목을 생성합니다.	떨어졌다

표 2 는 로 forward-snooped-clients구성할 no-allow-snooped-clients 때 DHCP 릴레이 에이전트에 의해 스누핑된 패킷에 대해 디바이스가 수행하는 작업을 보여줍니다.

표 2: 스누핑된 패킷 전달을 비활성화할 때 스누핑된 패킷에 대한 디바이스 작업
구성 적용 대상	구성된 인터페이스에 대한 작업	비구성 인터페이스에 대한 작업
모든 인터페이스	떨어졌다	전달
구성된 인터페이스	떨어졌다	떨어졌다
구성되지 않은 인터페이스	떨어졌다	전달
구성 없음	떨어졌다	떨어졌다

DHCP 릴레이 에이전트 스누핑 중 디바이스는 전역 구성에 의존하여 BOOTREPLY 패킷을 포워딩할지 또는 폐기할지 결정합니다. 또한 임대 갱신 중에 BOOTPREQUEST 패킷이 DHCP 서버에 직접 유니캐스트될 수 있으며 이 패킷도 스누핑의 대상이 됩니다.

표 3 은 디바이스가 스누핑 BOOTREPLY 된 패킷에 대해 수행하는 작업을 보여줍니다.

표 3: 스누핑 `BOOTREPLY` 에 대한 작업 패킷을
구성 상태	작업
`forward-snooped-clients` 구성되지 않음	클라이언트를 찾을 수 없는 경우 스누핑된 `BOOTREPLY` 패킷 삭제
`forward-snooped-clients` 구성	클라이언트를 찾을 수 없는 경우 스누핑된 `BOOTREPLY` 패킷 전달

기본 구성과 문을 사용하는 forward-snooped-clients 구성 모두에서 디바이스는 DHCP 패킷 가로채기 위해 하드웨어 컨트롤 플레인의 모든 DHCP 트래픽을 라우팅 인스턴스의 라우팅 플레인으로 전달합니다.

옵션을 no-snoop하여 DHCP 트래픽에 대한 스누핑 필터를 비활성화할 수 있습니다.

옵션을 구성하면 DHCP 트래픽은 no-snoop 하드웨어 컨트롤 플레인으로 이동하지만 라우팅 플레인을 우회하여 가로채기를 피합니다.

DHCP 스누핑 구성

다음 구성 옵션을 사용하여 전역적으로, 또는 인터페이스 그룹 또는 그룹의 특정 인터페이스에서 DHCP 스누핑을 활성화 또는 비활성화할 수 있습니다.

인터페이스 그룹 설정
DHCP 스누핑을 지원하는 명명된 인터페이스 그룹을 생성합니다. 이 그룹에는 공통 DHCP 또는 DHCPv6 릴레이 에이전트 구성이 있는 인터페이스가 포함되어야 합니다. 그룹에 인터페이스를 추가하려면 인터페이스 이름을 지정해야 합니다. DHCP 릴레이 에이전트는 트래픽을 포워딩 또는 드롭할지 결정할 때 이러한 인터페이스를 구성된 인터페이스로 간주합니다.
- DHCP 릴레이 에이전트의 경우:
- DHCPv6 릴레이 에이전트의 경우:
기본 DHCP 릴레이 스누핑 재정의
디바이스에서 기본 DHCP 릴레이 스누핑 구성을 재정의하여 스누핑 지원을 명시적으로 활성화 또는 비활성화할 수 있습니다. 종속 문 없이 문을 지정 overrides 하면 해당 계층 수준에서 모든 DHCP 릴레이 에이전트 재정의가 제거됩니다. 지정된 인터페이스 그룹 또는 지정된 인터페이스 그룹이 있는 특정 인터페이스에 대한 기본 구성을 재정의할 수 있습니다.
글로벌 수준에서 DHCP 릴레이 에이전트 및 DHCPv6 릴레이 에이전트에 대해 각각 다음 문을 사용합니다.
- DHCP 릴레이 에이전트의 경우
- DHCPv6 릴레이 에이전트의 경우
명명된 인터페이스 그룹의 경우, DHCP 릴레이 에이전트 및 DHCPv6 릴레이 에이전트에 대해 각각 다음 문을 사용합니다.
- DHCP 릴레이 에이전트의 경우
- DHCPv6 릴레이 에이전트의 경우
그룹의 특정 인터페이스의 경우 DHCP 릴레이 에이전트 및 DHCPv6 릴레이 에이전트에 대해 각각 다음 문을 사용합니다.
- DHCP 릴레이 에이전트의 경우
- DHCPv6 릴레이 에이전트의 경우
스누핑된 패킷 처리 활성화

라우터는 패킷과 연관된 가입자가 없는 경우 기본적으로 스누핑된 패킷을 버립니다. 기본 DHCP 구성을 무시하고 릴레이 에이전트가 스누핑된 클라이언트에서 DHCP 메시지를 전달할 수 있도록 하려면 문을 명시적으로 구성해야 allow-snooped-clients 합니다.
글로벌 수준에서 DHCP 릴레이 에이전트 및 DHCPv6 릴레이 에이전트에 대해 각각 다음 문을 사용합니다.
- DHCP 릴레이 에이전트의 경우
- DHCPv6 릴레이 에이전트의 경우
인터페이스 그룹의 경우 DHCP 릴레이 에이전트 및 DHCPv6 릴레이 에이전트에 대해 각각 다음 문을 사용합니다.
- DHCP 릴레이 에이전트의 경우
- DHCPv6 릴레이 에이전트의 경우
그룹 내 특정 인터페이스의 경우 다음 문을 사용합니다.
- DHCP 릴레이 에이전트의 경우
- DHCPv6 릴레이 에이전트의 경우
스누핑된 클라이언트의 DHCP 메시지 전달 방지

기본 DHCP 구성을 무시하고 릴레이 에이전트가 스누핑된 클라이언트의 메시지를 전달하지 못하도록 하려면 다음 명령을 사용합니다.
글로벌 수준에서 DHCP 릴레이 에이전트 및 DHCPv6 릴레이 에이전트에 대해 각각 다음 문을 사용합니다.
- DHCP 릴레이 에이전트의 경우
- DHCPv6 릴레이 에이전트의 경우
인터페이스 그룹의 경우 DHCP 릴레이 에이전트 및 DHCPv6 릴레이 에이전트에 대해 각각 다음 문을 사용합니다.
- DHCP 릴레이 에이전트의 경우
- DHCPv6 릴레이 에이전트의 경우
그룹 내 특정 인터페이스의 경우 다음 문을 사용합니다.
- DHCP 릴레이 에이전트의 경우
- DHCPv6 릴레이 에이전트의 경우
스누핑된 패킷 전달
DHCP 릴레이 에이전트에 대한 DHCP 스누핑 패킷 전달을 활성화합니다. 모든 인터페이스, 모든 구성된 인터페이스 또는 구성되지 않은 인터페이스를 지정할 수 있습니다.

DHCP 스누핑 패킷 전달의 샘플 구성

DHCP 릴레이 에이전트에 대해 명명된 그룹을 구성하고 그룹에 인터페이스를 추가합니다. DHCP 릴레이 에이전트는 트래픽을 포워딩 또는 드롭할지 여부를 결정할 때 이러한 인터페이스를 구성된 인터페이스로 간주합니다.
그룹에 대한 릴레이 에이전트의 기본 구성을 재정의하려면 옵션을 설정합니다.