DHCP 스누핑
Junos OS 디바이스의 DHCP 스누핑은 DHCP 메시지를 검증하고 잘못된 트래픽을 삭제합니다. DHCP 릴레이 에이전트가 DHCP 스누핑 패킷을 처리하는 방법을 구성할 수 있습니다. 구성에 따라 DHCP 릴레이 에이전트는 수신한 스누핑 패킷을 전달하거나 삭제합니다. 자세한 내용은 이 주제를 읽어보십시오.
DHCP 스누핑 지원
DHCP 스누핑은 들어오는 DHCP 패킷을 식별하고 네트워크의 신뢰할 수 없는 디바이스에서 허용되지 않는 것으로 확인된 DHCP 트래픽을 거부하여 추가 보안을 제공합니다.
DHCP 스누핑이란?
DHCP는 IP 주소를 동적으로 할당하여 할당된 디바이스에서 더 이상 필요하지 않을 때 주소를 재사용할 수 있도록 디바이스에 주소를 임대합니다. DHCP를 통해 얻은 IP 주소가 필요한 호스트 및 최종 디바이스는 LAN을 통해 DHCP 서버와 통신해야 합니다.
DHCP 스누핑은 들어오는 DHCP 패킷을 조사하고 DHCP 메시지를 검사합니다. 클라이언트에 할당된 IP 주소 및 임대 정보를 추출하고 데이터베이스를 구축합니다. 이 데이터베이스를 사용하여 도착하는 패킷이 유효한 클라이언트에서 온 것인지, 즉 DHCP 서버에서 할당한 클라이언트의 IP 주소인지 확인할 수 있습니다. 이러한 방식으로 DHCP 스누핑은 신뢰할 수 있는 DHCP 서버(서버가 신뢰할 수 있는 네트워크 포트에 연결됨)에 의해 다운스트림 네트워크 디바이스에 할당된 유효한 IP 주소를 추적하여 네트워크 보안의 수호자 역할을 합니다.
DHCP 스누핑의 이점
DHCP 스누핑은 동적 IP 소스 필터링을 통해 추가적인 보안 계층을 제공합니다.
DHCP 스누핑은 잘못된 포트 또는 잘못된 내용으로 도착하는 DHCP 패킷을 필터링하여 네트워크에서 불량 DHCP 활동을 방지할 수 있습니다.
DHCP 스누핑 활성화
DHCP 스누핑 기능을 사용할 때 DHCP 스누핑 기능 활성화에 대해 이해하는 것이 중요합니다.
Junos OS 디바이스에서는 DHCP 스누핑 기능을 독립 기능으로 구성할 수 없습니다. 디바이스의 특정 VLAN, 인터페이스 또는 라우팅 인스턴스에 대해 DHCP 보안 또는 DHCP 릴레이 또는 DHCP 서버를 구성할 때마다 해당 VLAN/인터페이스/라우팅 인스턴스에서 DHCP 스누핑이 자동으로 활성화되어 작업을 수행합니다.
예를 들어:
- 특정 라우팅 인스턴스의 지정된 인터페이스 목록에서 DHCP 릴레이를 활성화하면
- DHCP 스누핑은 해당 라우팅 인스턴스의 인터페이스에서 자동으로 활성화됩니다.
- 특정 VLAN에서 DHCP 보안을 활성화하면 해당 VLAN에서 DHCP 스누핑이 자동으로 활성화됩니다.
Junos OS는 다음의 스위치/라우터/방화벽에서 DHCP 스누핑을 지원합니다.
-
라우팅 인스턴스에서 다음 옵션을 구성할 때의 라우팅 인스턴스:
dhcp-relay[edit forwarding-options] 계층 수준의 문입니다.dhcp-local-server[edit system services] 계층 수준의 문입니다.
-
포트 보안 기능에 대해 다음 옵션을 구성할 때의 스위치:
dhcp-security[edit vlans vlan-name forwarding-options] 계층 수준의 문입니다.
DHCP 릴레이를 구성해야 하는 경우 가입자 관리 또는 CoS(Class-of-Service)가 forward-only 필요하지 않은 경우 문을 사용합니다.
DHCP 설명서를 읽고 DHCP traceoptions가 활성화된 랩을 사용하여 구성을 확인하고 이해하는 것이 좋습니다.
DHCP 스누핑 구성
기본 DHCP 스누핑 구성에서는 모든 트래픽이 스누핑됩니다.
Junos OS 디바이스에서 라우팅 인스턴스에서 다음 옵션을 구성하면 라우팅 인스턴스에서 DHCP 스누핑이 활성화됩니다.
dhcp-relay[edit forwarding-options]계층 수준의 문dhcp-local-server[edit system services]계층 수준의 문선택적으로 문을 사용하여
forward-snooped-clients스누핑된 트래픽을 평가하고 인터페이스가 그룹의 일부로 구성되었는지 여부에 따라 트래픽이 전달 또는 삭제되었는지 여부를 결정할 수 있습니다.
라우터는 패킷과 연결된 가입자가 없는 경우 기본적으로 스누핑된 패킷을 버립니다. 스누핑된 패킷의 정상적인 처리를 활성화하려면 계층 수준에서 [edit forwarding-options dhcp-relay] 문을 명시적으로 구성해야 allow-snooped-clients 합니다.
다음을 위해 특정 라우팅 인스턴스에 대한 DHCP 스누핑 지원을 구성할 수 있습니다.
DHCPv4 릴레이 에이전트—라우터(또는 스위치)의 기본 스누핑 구성을 재정의하고 명명된 인터페이스 그룹 또는 명명된 그룹 내의 특정 인터페이스에 대해 DHCP 스누핑이 전역적으로 활성화 또는 비활성화되도록 지정합니다.
별도의 절차에서 글로벌 구성을 설정하여 DHCPv4 릴레이 에이전트가 모든 인터페이스에 대해 스누핑된 패킷을 전달하거나 삭제할지, 구성된 인터페이스만 전달할지 또는 구성되지 않은 인터페이스만 삭제할지를 지정할 수 있습니다. 또한 라우터는 글로벌 DHCP 릴레이 에이전트 스누핑 구성을 사용하여 스누핑된 BOOTREPLY 패킷을 전달할지 삭제할지 여부를 결정합니다. 갱신 요청은 DHCP 서버에 직접 유니캐스트될 수 있습니다. 이것은 BOOTPREQUEST 패킷이며 스누핑됩니다.
DHCPv6 릴레이 에이전트—DHCPv4 릴레이 에이전트에 대한 스누핑 지원과 마찬가지로 라우터의 기본 DHCPv6 릴레이 에이전트 스누핑 구성을 재정의하여 명명된 인터페이스 그룹 또는 명명된 인터페이스 그룹이 있는 특정 인터페이스에 대해 전역적으로 스누핑 지원을 명시적으로 활성화 또는 비활성화할 수 있습니다.
DHCPv6 클라이언트와 DHCPv6 서버 사이에 둘 이상의 DHCPv6 릴레이 에이전트가 있는 다중 릴레이 토폴로지에서 스누핑을 사용하면 클라이언트와 서버 사이에 DHCPv6 릴레이 에이전트가 개입하여 클라이언트로부터 유니캐스트 트래픽을 올바르게 수신 및 처리하고 서버로 전달할 수 있습니다. DHCPv6 릴레이 에이전트는 포워딩 테이블별로 UDP 포트 547(DHCPv6 UDP 서버 포트)로 필터를 설정하여 들어오는 유니캐스트 DHCPv6 패킷을 스누핑합니다. 그런 다음 DHCPv6 릴레이 에이전트는 필터에 의해 가로챈 패킷을 처리하고 패킷을 DHCPv6 서버로 전달합니다.
DHCPv4 릴레이 에이전트와 달리 DHCPv6 릴레이 에이전트는 DHCPv6 스누핑 패킷에 대한 포워딩 지원의 글로벌 구성을 지원하지 않습니다.
DHCP 로컬 서버 - DHCP 로컬 서버가 모든 인터페이스에 대해 스누핑 패킷을 전달할지 또는 삭제할지, 구성된 인터페이스만 또는 구성되지 않은 인터페이스만 전달할지 또는 삭제할지를 구성합니다.
스누핑 필터를 비활성화할 수도 있습니다. 앞의 구성에서 모든 DHCP 트래픽은 전달되거나 삭제되기 전에 라우팅 인스턴스의 느린 라우팅 플레인으로 전달됩니다. 스누핑 필터를 비활성화하면 더 빠른 하드웨어 컨트롤 플레인에서 직접 전달될 수 있는 DHCP 트래픽이 라우팅 컨트롤 플레인을 우회하게 됩니다.
예: DHCP 릴레이 에이전트에 대한 DHCP 스누핑 지원 구성
이 예는 DHCP 릴레이 에이전트에 대한 DHCP 스누핑 지원을 구성하는 방법을 보여줍니다.
요구 사항
DHCP 릴레이 에이전트를 구성합니다. 확장 DHCP 릴레이 에이전트 개요를 참조하십시오.
개요
이 예에서는 다음 작업을 완료하여 DHCP 릴레이 에이전트에 대한 DHCP 스누핑 지원을 구성합니다.
기본 DHCP 스누핑 구성을 재정의하고 그룹 frankfurt의 인터페이스에 대한 DHCP 스누핑 지원을 활성화합니다.
스누핑된 패킷을 구성된 인터페이스로만 전달하도록 DHCP 릴레이 에이전트를 구성합니다.
구성
절차
단계별 절차
DHCP 스누핑을 위한 DHCP 릴레이 지원을 구성하려면 다음과 같이 하십시오.
DHCP 릴레이 에이전트를 구성할 것을 지정합니다.
[edit] user@host# edit forwarding-options dhcp-relay
DHCP 스누핑이 지원되는 명명된 인터페이스 그룹을 지정합니다.
[edit forwarding-options dhcp-relay] user@host# edit group frankfurt
그룹에 포함할 인터페이스를 지정합니다. DHCP 릴레이 에이전트는 트래픽 전달 또는 삭제 여부를 결정할 때 이를 구성된 인터페이스로 간주합니다.
[edit forwarding-options dhcp-relay group frankfurt] user@host# set interface fe-1/0/1.3 upto fe-1/0/1.9
그룹에 대한 기본 구성을 재정의할 것을 지정합니다.
[edit forwarding-options dhcp-relay group frankfurt] user@host# edit overrides
그룹에 대한 DHCP 스누핑 지원을 활성화합니다.
[edit forwarding-options dhcp-relay group frankfurt overrides] user@host# set allow-snooped-clients
[edit forwarding-options dhcp-relay]계층 수준으로 돌아가 전달 작업을 구성하고 DHCP 릴레이 에이전트가 구성된 인터페이스에서만 스누핑 패킷을 전달하도록 지정합니다.[edit forwarding-options dhcp-relay group frankfurt overrides] user@host# up 2
DHCP 릴레이 에이전트에 대해 DHCP 스누핑 패킷 포워딩을 활성화합니다.
[edit forwarding-options dhcp-relay] user@host# edit forward-snooped-clients
스누핑된 패킷이 구성된 인터페이스(그룹의
frankfurt인터페이스)에서만 전달되도록 지정합니다.[edit forwarding-options dhcp-relay forward-snooped-clients] user@host# set configured-interfaces
결과
구성 모드에서 명령을 입력하여 show forwarding-options 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 수정합니다. 다음 출력은 그룹 프랑크푸르트에서 구성된 인터페이스의 범위를 보여줍니다.
[edit]
user@host# show forwarding-options
dhcp-relay {
forward-snooped-clients configured-interfaces;
group frankfurt {
overrides {
allow-snooped-clients;
}
interface fe-1/0/1.3 {
upto fe-1/0/1.9;
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .
DHCP 릴레이 에이전트에 대한 DHCP 스누핑 패킷 전달 지원 구성
DHCP 릴레이 에이전트가 DHCP 스누핑 패킷을 처리하는 방법을 구성할 수 있습니다. 구성에 따라 DHCP 릴레이 에이전트는 수신한 스누핑 패킷을 전달하거나 삭제합니다.
DHCP 릴레이는 두 부분으로 구성된 구성을 사용하여 DHCP 스누핑 패킷을 처리하는 방법을 결정합니다. 이 주제는 패킷이 forward-snooped-clients 스누핑되는 인터페이스 유형에 따라 DHCP 릴레이 에이전트가 스누핑된 패킷을 포워딩할지 또는 삭제할지를 관리하기 위해 문을 사용하는 방법에 대해 설명합니다. DHCP 릴레이 에이전트 스누핑 구성의 다른 부분에서는 DHCP 릴레이 스누핑 기능을 활성화 또는 비활성화합니다.
표 1 은 문에 의해 DHCP 스누핑이 활성화될 때 라우터 또는 스위치가 스누핑된 패킷에 대해 취하는 allow-snooped-clients 작업을 보여줍니다.
또한 라우터 또는 스위치는 DHCP 릴레이 에이전트 포워딩 지원의 구성을 사용하여 스누핑된 BOOTREPLY 패킷을 처리하는 방법을 결정합니다.
forward-snooped-clients 구성 |
구성된 인터페이스에 대한 작업 |
구성되지 않은 인터페이스에 대한 작업 |
|---|---|---|
|
스누핑된 패킷으로 인한 가입자(DHCP 클라이언트) 생성 |
떨어졌다 |
|
전달 |
전달 |
|
전달 |
떨어졌다 |
|
스누핑된 패킷으로 인한 가입자(DHCP 클라이언트) 생성 |
전달 |
표 2 는 명령문에 의해 DHCP 스누핑이 비활성화될 때 라우터(또는 스위치)가 스누핑된 패킷에 대해 취하는 no-allow-snooped-clients 작업을 보여줍니다.
forward-snooped-clients 구성 |
구성된 인터페이스에 대한 작업 |
구성되지 않은 인터페이스에 대한 작업 |
|---|---|---|
|
떨어졌다 |
떨어졌다 |
|
떨어졌다 |
전달 |
|
떨어졌다 |
떨어졌다 |
|
떨어졌다 |
전달 |
표 3 은 라우터(또는 스위치)가 스누핑된 BOOTREPLY 패킷에 대해 취하는 작업을 보여줍니다.
forward-snooped-clients 구성 |
작업 |
|---|---|
|
클라이언트를 찾을 수 없는 경우 스누핑된 BOOTREPLY 패킷 삭제 |
|
클라이언트를 찾을 수 없는 경우 전달된 스누핑 BOOTREPLY 패킷 |
구성된 인터페이스는 계층에서 [edit forwarding-options dhcp-relay] 명령문으로 group 구성되었습니다. 구성되지 않은 인터페이스는 논리적 시스템/라우팅 인스턴스에 있지만 문에 group 의해 구성되지 않았습니다.
DHCP 릴레이 에이전트에 대한 DHCP 스누핑 패킷 포워딩 및 BOOTREPLY 스누핑 패킷 포워딩을 구성하려면 다음을 수행합니다.
예를 들어, 구성된 인터페이스에서만 DHCP 스누핑 패킷을 전달하도록 DHCP 릴레이 에이전트를 구성하려면 다음을 수행합니다.
[edit]
forwarding-options {
dhcp-relay {
forward-snooped-clients configured-interfaces;
}
}