Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

DHCP 스누핑 이해(ELS가 아닌 경우)

참고:

이 주제에는 ELS(Enhanced Layer 2 Software)를 지원하지 않는 Junos EX 시리즈 스위치에 대한 DHCP(Dynamic Host Configuration Protocol) 스누핑 활성화에 대한 정보가 포함됩니다. 스위치에서 ELS를 지원하는 Junos 버전을 실행하는 경우 DHCP 스누핑 이해(ELS)를 참조하십시오. ELS에 대한 자세한 내용은 Enhanced Layer 2 소프트웨어 CLI를 사용하는 것을 참조하십시오.

DHCP 스누핑을 사용하면 스위치 또는 라우터가 될 수 있는 스위칭 디바이스가 스위칭 디바이스에 연결된 신뢰할 수 없는 장치에서 수신되는 DHCP 메시지를 모니터링할 수 있습니다. VLAN에서 DHCP 스누핑이 활성화되면 시스템은 VLAN과 연관된 신뢰할 수 없는 호스트에서 보낸 DHCP 메시지를 검사하고 IP 주소와 임대 정보를 추출합니다. 이 정보는 DHCP 스누핑 데이터베이스를 구축하고 유지하는 데 사용됩니다. 이 데이터베이스를 사용하여 검증할 수 있는 호스트만 네트워크에 액세스할 수 있습니다.

DHCP 스누핑 기본

DHCP(Dynamic Host Configuration Protocol)는 IP 주소를 동적으로 할당하여 더 이상 필요하지 않을 때 주소를 재사용할 수 있도록 장비에 주소를 임대 합니다. DHCP를 통해 IP 주소를 확보해야 하는 호스트 및 엔드 디바이스는 LAN상의 DHCP 서버와 통신해야 합니다.

DHCP 스누핑은 신뢰할 수 있는 DHCP 서버(서버가 신뢰할 수 있는 네트워크 포트에 연결됨)에 의해 다운스트림 네트워크 장치에 할당된 유효한 IP 주소를 추적함으로써 네트워크 보안의 수호자 역할을 합니다.

기본적으로 스위치의 모든 트렁크 포트는 신뢰할 수 있으며 DHCP 스누핑에 대한 모든 액세스 포트는 신뢰할 수 없는 상태입니다.

DHCP 스누핑이 활성화되면 스위칭 디바이스의 리스 정보를 사용하여 바인딩 테이블이라고도 하는 DHCP 스누핑 테이블을 만듭니다. 표에는 IP-MAC 바인딩과 IP 주소의 임대 시간, 바인딩 유형, VLAN 이름 및 각 호스트의 인터페이스가 표시됩니다.

참고:

DHCP 스누핑은 스위칭 디바이스의 기본 구성에서 비활성화됩니다. 계층 수준에서 설정 examine-dhcp 하여 DHCP 스누핑을 [edit ethernet-switching-options secure-access-port] 명시적으로 활성화해야 합니다.

DHCP 스누핑 데이터베이스의 항목은 다음 이벤트에서 업데이트됩니다.

  • DHCP 클라이언트가 IP 주소를 해제하면(DHCPRELEASE 메시지 전송) 이 경우 관련 매핑 항목이 데이터베이스에서 삭제됩니다.

  • 네트워크 디바이스를 한 VLAN에서 다른 VLAN으로 이동하면 됩니다. 이 경우 일반적으로 장비가 새 IP 주소를 확보해야 합니다. 따라서 VLAN ID를 포함하여 데이터베이스의 항목이 업데이트됩니다.

  • DHCP 서버가 할당하는 리스 시간(타임아웃 값)이 만료되는 경우 이 경우 관련 항목이 데이터베이스에서 삭제됩니다.

팁:

기본적으로, 스위칭 디바이스가 재부팅되면 IP-MAC 바인딩이 손실되고 DHCP 클라이언트(네트워크 디바이스 또는 호스트)가 바인딩을 다시 액세스해야 합니다. 그러나 데이터베이스 파일을 로컬 또는 원격으로 저장하도록 명령문을 설정 dhcp-snooping-file 하여 바인딩을 지속하도록 구성할 수 있습니다.

특정 VLAN에서만 DHCP 서버 응답을 스누핑하도록 스위칭 디바이스를 구성할 수 있습니다. 이는 DHCP 서버 메시지의 스푸핑을 방지합니다.

인터페이스(포트)가 아닌 VLAN당 DHCP 스누핑을 구성합니다. DHCP 스누핑은 기본적으로 스위칭 디바이스에서 비활성화됩니다.

DHCP 스누핑 프로세스

DHCP 스누핑의 기본 프로세스는 다음과 같은 단계로 구성됩니다.

참고:

VLAN에 대한 DHCP 스누핑이 활성화되면 VLAN의 네트워크 디바이스에서 전송되는 모든 DHCP 패킷에는 DHCP 스누핑이 적용됩니다. 마지막 IP-MAC 바인딩은 DHCP 서버가 DHCP 클라이언트로 DHCPACK을 보낼 때 발생합니다.

  1. 네트워크 디바이스는 IP 주소를 요청하기 위해 DHCPDISCOVER 패킷을 보냅니다.

  2. 스위칭 장비는 패킷을 DHCP 서버로 전달합니다.

  3. 서버는 주소를 제공하기 위해 DHCPOFFER 패킷을 보냅니다. DHCPOFFER 패킷이 신뢰할 수 있는 인터페이스에서 나온 경우 스위칭 장비는 패킷을 DHCP 클라이언트로 전달합니다.

  4. 네트워크 디바이스는 IP 주소를 수락하기 위해 DHCPREQUEST 패킷을 보냅니다. 스위칭 장비는 데이터베이스에 바인딩된 IP-MAC placeholder를 추가합니다. DHCPACK 패킷이 서버로부터 수신될 때까지 엔트리는 자리 표시자(placeholder)로 간주됩니다. 그때까지 IP 주소는 여전히 다른 호스트에 할당될 수 있습니다.

  5. 서버는 DHCPACK 패킷을 전송하여 IP 주소 또는 DHCPNAK 패킷을 할당하여 주소 요청을 거부합니다.

  6. 스위칭 장비는 수신 패킷 유형에 따라 DHCP 스누핑 데이터베이스를 업데이트합니다.

    • 스위칭 장비가 DHCPACK 패킷을 수신하면 데이터베이스에서 IP-MAC 바인딩에 대한 임대 정보를 업데이트합니다.

    • 스위칭 장비가 DHCPNACK 패킷을 수신하면 placeholder가 삭제됩니다.

참고:

DHCP 스누핑 데이터베이스는 DHCPREQUEST 패킷이 전송된 후에만 업데이트됩니다.

클라이언트에 대한 IP 주소 할당 시 DHCP 클라이언트 및 DHCP 서버가 교환하는 메시지에 대한 일반적인 정보는 Junos OS 관리 라이브러리를 참조하십시오.

DHCPv6 스누핑

DHCPv6 스누핑은 IPv6에 대한 DHCP 스누핑과 동일합니다. DHCPv6 스누핑 프로세스는 DHCP 스누핑과 유사하지만, IPv6 주소를 할당하기 위해 클라이언트와 서버 간에 교환된 메시지에 대해 서로 다른 이름을 사용합니다. 표 1 에는 DHCPv6 메시지와 DHCP와 동등한 메시지가 표시되어 있습니다.

표 1: DHCPv6 메시지 및 동급 DHCPv4 메시지

송수신자:

DHCPv6 메시지

동급 DHCP 메시지

클라이언트

간청

DHCP디스커버

서버

광고

DHCPOFFER

클라이언트

요청, 갱신, 리빈드

DHCPREQUEST

서버

응답

DHCPACK/DHCPNAK

클라이언트

릴리스

DHCPRELEASE

클라이언트

정보 요청

DHCPINFORM

클라이언트

감소

DHCPDECLINE

클라이언트

확인

없음

서버

재구성

DHCPFORCERENEW

클라이언트

릴레이-FORW, 릴레이-응답

없음

DHCPv6를 위한 신속한 커밋

DHCPv6는 Rapid Commit 옵션(DHCPv6 옵션 14)을 제공하며, 이는 서버가 지원하고 클라이언트가 설정한 경우 거래소를 4방향 릴레이에서 2메시지 핸드셰이크로 단축합니다. Rapid Commit 옵션 활성화에 대한 자세한 내용은 DHCPv6 Rapid Commit 구성(MX 시리즈, EX 시리즈)을 참조하십시오.

신속한 커밋 프로세스:

  1. DHCPv6 클라이언트는 주소, 접두사 및 기타 구성 매개 변수의 신속한 할당을 선호하는 요청이 포함된 SOLICIT 메시지를 보냅니다.

  2. DHCPv6 서버가 빠른 할당을 지원하는 경우 할당된 IPv6 주소와 접두사 및 기타 구성 매개변수가 포함된 REPLY 메시지로 응답합니다.

DHCP 서버 액세스

다음과 같은 3가지 방법으로 DHCP 서버에 대한 스위칭 디바이스의 액세스를 구성할 수 있습니다.

스위칭 디바이스, DHCP 클라이언트 및 DHCP 서버가 모두 동일한 VLAN에 있습니다.

스위칭 장비, DHCP 클라이언트 및 DHCP 서버가 모두 동일한 VLAN의 구성원일 때, DHCP 서버는 두 가지 방법 중 하나로 스위칭 장치에 연결할 수 있습니다.

  • 서버는 DHCP 클라이언트(서버에서 IP 주소를 요청하는 호스트 또는 네트워크 디바이스)에 연결된 장치와 동일한 스위칭 장치에 직접 연결됩니다. VLAN은 DHCP 스누핑을 통해 신뢰할 수 없는 액세스 포트를 보호합니다. 트렁크 포트는 기본적으로 신뢰할 수 있는 포트로 구성됩니다. 그림 1을 참조하십시오.

  • 서버는 중개자 스위칭 디바이스(스위칭 디바이스 2)에 연결됩니다. DHCP 클라이언트는 트렁크 포트를 통해 Switching Device 2로 연결되는 Switching Device 1에 연결됩니다. 스위칭 디바이스 2는 전송 디바이스로 사용되고 있습니다. VLAN은 DHCP 스누핑을 통해 신뢰할 수 없는 액세스 포트를 보호합니다. 트렁크 포트는 기본적으로 신뢰할 수 있는 포트로 구성됩니다. 그림 2에서와 같이 ge-0/0/11은 신뢰할 수 있는 트렁크 포트입니다.

그림 1: 스위칭 디바이스 DHCP Server Connected Directly to a Switching Device 에 직접 연결된 DHCP 서버
그림 2: 신뢰할 수 있는 트렁크 포트를 통해 스위칭 디바이스 1에 연결된 스위칭 디바이스 2와 함께 스위칭 디바이스 2에 직접 연결된 DHCP 서버 DHCP Server Connected Directly to Switching Device 2, with Switching Device 2 Connected to Switching Device 1 Through a Trusted Trunk Port

DHCP 서버의 역할을 하는 스위칭 디바이스

참고:

DHCP 서버의 역할을 하는 스위칭 장비는 QFX 시리즈에서 지원되지 않습니다.

스위칭 장비 자체는 DHCP 서버로 구성됩니다. 로컬 구성이라고 합니다. 그림 3을 참조하십시오.

그림 3: 스위칭 디바이스가 DHCP 서버 Switching Device Is the DHCP Server

스위칭 디바이스가 릴레이 에이전트 역할을 합니다.

DHCP 클라이언트 또는 DHCP 서버가 Layer 3 인터페이스를 통해 장비에 연결되면 스위칭 장비는 릴레이 에이전트 역할을 합니다. 스위칭 장비의 Layer 3 인터페이스는 IRB(Integrated Routing and Bridging) 인터페이스라고도 하는 라우팅 VLAN 인터페이스(RIS)로 구성됩니다. 트렁크 인터페이스는 기본적으로 신뢰할 수 있습니다.

이 두 시나리오는 릴레이 에이전트 역할을 하는 스위칭 디바이스를 보여 줍니다.

  • DHCP 서버와 클라이언트는 서로 다른 VLAN에 있습니다.

  • 스위칭 장비는 DHCP 서버에 연결된 라우터에 연결됩니다. 그림 4를 참조하십시오.

그림 4: 라우터를 통해 DHCP 서버로 릴레이 에이전트 역할을 하는 스위칭 장비 Switching Device Acting as Relay Agent Through Router to DHCP Server

DHCP 스누핑 데이터베이스에 정적 IP 주소 추가

특정 정적 IP 주소를 데이터베이스에 추가할 뿐만 아니라 DHCP 스누핑을 통해 동적으로 할당된 주소를 지정할 수 있습니다. 정적 IP 주소를 추가하려면 IP 주소, 장치의 MAC 주소, 디바이스가 연결된 인터페이스 및 인터페이스가 연결된 VLAN을 제공합니다. 입력에 리스 시간이 할당되지 않습니다. 정적으로 구성된 엔트리는 만료되지 않습니다.

잘못된 IP 주소가 있는 DHCP 패킷 스누핑

VLAN에서 DHCP 스누핑을 활성화한 다음 해당 VLAN의 디바이스가 잘못된 IP 주소를 요청하는 DHCP 패킷을 보내는 경우, 이러한 잘못된 IP 주소는 기본 타임아웃에 도달할 때 삭제될 때까지 DHCP 스누핑 데이터베이스에 저장됩니다. DHCP 스누핑 데이터베이스에서 불필요한 공간 소모를 제거하기 위해 스위칭 장비는 잘못된 IP 주소를 요청하는 DCHP 패킷을 드롭하여 이러한 패킷의 스누핑을 방지합니다. 잘못된 IP 주소는 다음과 같습니다.

  • 0.0.0.0

  • 128.0.x.x

  • 191.255.x.x

  • 192.0.0.x

  • 223.255.255.x

  • 224.x.x.x

  • 240.x.x.x ~ 255.255.255.255

스누핑된 패킷의 우선 순위 지정

참고:

스누핑된 패킷의 우선 순위 지정은 QFX 시리즈 및 EX4600 스위치에서 지원되지 않습니다.

CoS(Class-of-Service) 포워딩 클래스 및 큐를 사용하여 지정된 VLAN에 대한 DHCP 스누핑 패킷의 우선 순위를 지정할 수 있습니다. 이 유형의 구성에서는 보안 절차가 높은 우선 순위의 트래픽 전송을 방해하지 않도록 지정된 송신 대기열에 해당 VLAN에 대한 DHCP 스누핑 패킷을 배치합니다.