DHCP 스누핑 이해하기(비 ELS)
이 주제에는 ELS(Enhanced Layer 2 Software)를 지원하지 않는 Junos EX 시리즈 스위치에 대해 DHCP(Dynamic Host Configuration Protocol) 스누핑을 활성화하는 방법에 대한 정보가 포함되어 있습니다. 스위치에서 ELS를 지원하는 Junos 버전을 실행하는 경우 DHCP 스누핑 이해(ELS)를 참조하십시오. ELS에 대한 자세한 내용은 Enhanced Layer 2 Software CLI 사용을 참조하십시오.
DHCP 스누핑을 사용하면 스위치 또는 라우터일 수 있는 스위칭 디바이스가 스위칭 디바이스에 연결된 신뢰할 수 없는 디바이스로부터 수신된 DHCP 메시지를 모니터링할 수 있습니다. VLAN에서 DHCP 스누핑이 활성화되면 시스템은 VLAN과 연결된 신뢰할 수 없는 호스트에서 보낸 DHCP 메시지를 검사하고 IP 주소 및 리스 정보를 추출합니다. 이 정보는 DHCP 스누핑 데이터베이스를 구축하고 유지 관리하는 데 사용됩니다. 이 데이터베이스를 사용하여 확인할 수 있는 호스트만 네트워크에 액세스할 수 있습니다.
DHCP 스누핑 기본 사항
DHCP(Dynamic Host Configuration Protocol)는 IP 주소를 동적으로 할당하여 더 이상 필요하지 않을 때 주소를 재사용할 수 있도록 장치에 주소를 임대 합니다. DHCP를 통해 얻은 IP 주소가 필요한 호스트 및 최종 디바이스는 LAN을 통해 DHCP 서버와 통신해야 합니다.
DHCP 스누핑은 신뢰할 수 있는 DHCP 서버(서버가 신뢰할 수 있는 네트워크 포트에 연결됨)에 의해 다운스트림 네트워크 디바이스에 할당된 유효한 IP 주소를 추적하여 네트워크 보안의 수호자 역할을 합니다.
기본적으로 스위치의 모든 트렁크 포트는 신뢰할 수 있으며 모든 액세스 포트는 DHCP 스누핑에 대해 신뢰할 수 없습니다.
DHCP 스누핑이 활성화되면 스위칭 디바이스의 리스 정보를 사용하여 바인딩 테이블이라고도 하는 DHCP 스누핑 테이블을 생성합니다. 이 표에는 IP-MAC 바인딩과 각 호스트의 IP 주소, 바인딩 유형, VLAN 이름 및 인터페이스의 임대 시간이 표시됩니다.
DHCP 스누핑은 스위칭 디바이스의 기본 구성에서 비활성화됩니다. 계층 수준에서 를 설정하여 examine-dhcp DHCP 스누핑을 [edit ethernet-switching-options secure-access-port] 명시적으로 활성화해야 합니다.
DHCP 스누핑 데이터베이스의 항목은 다음 이벤트에서 업데이트됩니다.
DHCP 클라이언트가 IP 주소를 해제하는 경우(DHCPRELEASE 메시지 전송) 이 경우 연결된 매핑 항목이 데이터베이스에서 삭제됩니다.
네트워크 디바이스를 한 VLAN에서 다른 VLAN으로 이동하는 경우 이 경우 일반적으로 디바이스는 새 IP 주소를 획득해야 합니다. 따라서 VLAN ID를 포함한 데이터베이스의 항목이 업데이트됩니다.
DHCP 서버에서 할당한 임대 시간(시간 제한 값)이 만료되는 경우. 이 경우 연결된 항목이 데이터베이스에서 삭제됩니다.
기본적으로 스위칭 디바이스가 재부팅되고 DHCP 클라이언트(네트워크 디바이스 또는 호스트)가 바인딩을 다시 획득해야 하면 IP-MAC 바인딩이 손실됩니다. 그러나 데이터베이스 파일을 로컬 또는 원격으로 저장하도록 문을 설정하여 dhcp-snooping-file 바인딩을 유지하도록 구성할 수 있습니다.
특정 VLAN에서만 DHCP 서버 응답을 스누핑하도록 스위칭 디바이스를 구성할 수 있습니다. 이렇게 하면 DHCP 서버 메시지의 스푸핑을 방지할 수 있습니다.
DHCP 스누핑은 인터페이스(포트)가 아닌 VLAN별로 구성합니다. DHCP 스누핑은 스위칭 디바이스에서 기본적으로 비활성화되어 있습니다.
DHCP 스누핑 프로세스
DHCP 스누핑의 기본 프로세스는 다음 단계로 구성됩니다.
VLAN에 대해 DHCP 스누핑이 활성화되면 해당 VLAN의 네트워크 디바이스에서 전송된 모든 DHCP 패킷에 DHCP 스누핑이 적용됩니다. 최종 IP-MAC 바인딩은 DHCP 서버가 DHCP 클라이언트에 DHCPACK을 보낼 때 발생합니다.
네트워크 디바이스는 DHCPDISCOVER 패킷을 전송하여 IP 주소를 요청합니다.
스위칭 디바이스는 패킷을 DHCP 서버로 전달합니다.
서버는 주소를 제공하기 위해 DHCPOFFER 패킷을 보냅니다. DHCPOFFER 패킷이 신뢰할 수 있는 인터페이스에서 온 경우, 스위칭 디바이스는 패킷을 DHCP 클라이언트로 전달합니다.
네트워크 디바이스는 DHCPREQUEST 패킷을 전송하여 IP 주소를 수락합니다. 스위칭 디바이스는 데이터베이스에 IP-MAC 플레이스홀더 바인딩을 추가합니다. 이 항목은 DHCPACK 패킷이 서버에서 수신될 때까지 자리 표시자로 간주됩니다. 그때까지는 IP 주소를 다른 호스트에 할당 할 수 있습니다.
서버는 DHCPACK 패킷을 보내 IP 주소를 할당하거나 DHCPNAK 패킷을 보내 주소 요청을 거부합니다.
스위칭 디바이스는 수신된 패킷 유형에 따라 DHCP 스누핑 데이터베이스를 업데이트합니다.
스위칭 디바이스가 DHCPACK 패킷을 수신하면 데이터베이스의 IP-MAC 바인딩에 대한 리스 정보를 업데이트합니다.
스위칭 디바이스가 DHCPNACK 패킷을 수신하면 자리 표시자를 삭제합니다.
DHCP 스누핑 데이터베이스는 DHCPREQUEST 패킷이 전송된 후에만 업데이트됩니다.
클라이언트에 IP 주소를 할당하는 동안 DHCP 클라이언트와 DHCP 서버가 교환하는 메시지에 대한 일반적인 정보는 Junos OS 관리 라이브러리를 참조하십시오.
DHCPv6 스누핑
DHCPv6 스누핑은 IPv6에 대한 DHCP 스누핑과 동일합니다. DHCPv6 스누핑 프로세스는 DHCP 스누핑의 프로세스와 유사하지만 IPv6 주소를 할당하기 위해 클라이언트와 서버 간에 교환되는 메시지에 다른 이름을 사용합니다. 표 1 에는 DHCPv6 메시지와 DHCP에 상응하는 메시지가 나와 있습니다.
보낸 사람 |
DHCPv6 메시지 |
동등한 DHCP 메시지 |
|---|---|---|
클라이언트 |
간청 |
DHCP디스커버 |
서버 |
광고 |
DHCPOFFER를 제공합니다 |
클라이언트 |
요청, 갱신, 리바인딩 |
DHCP요청 |
서버 |
회답 |
DHCPACK/DHCPNAK |
클라이언트 |
석방 |
DHCP릴리스 |
클라이언트 |
정보 요청 |
DHCP인포메이션 |
클라이언트 |
거절하다 |
DHCPDECLINE |
클라이언트 |
확인하다 |
없음 |
서버 |
재구성 |
DHCPFORCE갱신 |
클라이언트 |
릴레이-포우, 릴레이-응답 |
없음 |
DHCPv6에 대한 신속한 커밋
DHCPv6는 Rapid Commit 옵션(DHCPv6 옵션 14)을 제공하며, 서버가 지원하고 클라이언트가 설정한 경우 교환을 4방향 릴레이에서 2메시지 핸드셰이크로 단축합니다. Rapid Commit 옵션 활성화에 대한 자세한 내용은 DHCPv6 Rapid Commit 구성(MX 시리즈, EX 시리즈)을 참조하십시오.
신속한 커밋 프로세스에서:
DHCPv6 클라이언트는 주소, 접두사 및 기타 구성 매개 변수를 신속하게 할당하는 것이 바람직하다는 요청이 포함된 SOLICIT 메시지를 보냅니다.
DHCPv6 서버가 신속한 할당을 지원하는 경우 할당된 IPv6 주소와 접두사 및 기타 구성 매개 변수가 포함된 REPLY 메시지로 응답합니다.
DHCP 서버 액세스
다음 세 가지 방법으로 DHCP 서버에 대한 스위칭 디바이스의 액세스를 구성할 수 있습니다.
스위칭 디바이스, DHCP 클라이언트 및 DHCP 서버는 모두 동일한 VLAN에 있습니다.
스위칭 디바이스, DHCP 클라이언트 및 DHCP 서버가 모두 동일한 VLAN의 멤버인 경우 DHCP 서버는 다음 두 가지 방법 중 하나로 스위칭 디바이스에 연결될 수 있습니다.
서버는 DHCP 클라이언트(서버에서 IP 주소를 요청하는 호스트 또는 네트워크 디바이스)에 연결된 스위칭 디바이스와 동일한 스위칭 디바이스에 직접 연결됩니다. VLAN은 신뢰할 수 없는 액세스 포트를 보호하기 위해 DHCP 스누핑에 대해 활성화됩니다. 트렁크 포트는 기본적으로 신뢰할 수 있는 포트로 구성됩니다. 그림 1을 참조하십시오.
서버가 중개 스위칭 장치(스위칭 장치 2)에 연결되어 있습니다. DHCP 클라이언트는 트렁크 포트를 통해 스위칭 디바이스 2에 연결되는 스위칭 디바이스 1에 연결됩니다. 스위칭 디바이스 2가 전송 디바이스로 사용되고 있습니다. VLAN은 신뢰할 수 없는 액세스 포트를 보호하기 위해 DHCP 스누핑에 대해 활성화됩니다. 트렁크 포트는 기본적으로 신뢰할 수 있는 포트로 구성됩니다. 그림 2에서 볼 수 있듯이 ge-0/0/11은 신뢰할 수 있는 트렁크 포트입니다.
직접 연결된 DHCP 서버
DHCP 서버 역할을 하는 스위칭 디바이스
DHCP 서버 역할을 하는 스위칭 디바이스는 QFX 시리즈에서 지원되지 않습니다.
스위칭 디바이스 자체는 DHCP 서버로 구성됩니다. 이를 로컬 구성이라고 합니다. 그림 3을 참조하십시오.
임
릴레이 에이전트 역할을 하는 스위칭 디바이스
DHCP 클라이언트 또는 DHCP 서버가 레이어 3 인터페이스를 통해 디바이스에 연결될 때 스위칭 디바이스는 릴레이 에이전트 역할을 합니다. 스위칭 디바이스의 레이어 3 인터페이스는 IRB(Integrated Routing and Bridging) 인터페이스라고도 하는 라우팅된 VLAN 인터페이스(RVI)로 구성됩니다. 트렁크 인터페이스는 기본적으로 신뢰할 수 있습니다.
이 두 가지 시나리오는 릴레이 에이전트 역할을 하는 스위칭 디바이스를 보여줍니다.
DHCP 서버와 클라이언트는 서로 다른 VLAN에 있습니다.
스위칭 장치는 라우터에 연결되고, 라우터는 DHCP 서버에 차례로 연결됩니다. 그림 4를 참조하십시오.
릴레이 에이전트 역할을 하는 스위칭 디바이스
DHCP 스누핑 데이터베이스에 고정 IP 주소 추가
데이터베이스에 특정 고정 IP 주소를 추가할 수 있을 뿐만 아니라 DHCP 스누핑을 통해 주소를 동적으로 할당할 수도 있습니다. 고정 IP 주소를 추가하려면 IP 주소, 디바이스의 MAC 주소, 디바이스가 연결된 인터페이스 및 인터페이스가 연결된 VLAN을 제공합니다. 항목에 임대 시간이 할당되지 않습니다. 정적으로 구성된 항목은 만료되지 않습니다.
유효하지 않은 IP 주소를 가진 DHCP 패킷 스누핑
VLAN에서 DHCP 스누핑을 활성화한 다음 해당 VLAN의 디바이스가 잘못된 IP 주소를 요청하는 DHCP 패킷을 보내는 경우, 이러한 잘못된 IP 주소는 기본 시간 제한에 도달했을 때 삭제될 때까지 DHCP 스누핑 데이터베이스에 저장됩니다. DHCP 스누핑 데이터베이스에서 이러한 불필요한 공간 소비를 제거하기 위해 스위칭 디바이스는 잘못된 IP 주소를 요청하는 DCHP 패킷을 삭제하여 이러한 패킷의 스누핑을 방지합니다. 잘못된 IP 주소는 다음과 같습니다.
0.0.0.0
128.0.x.x
191.255.x.x
192.0.0.x
223.255.255.x
224.x.x.x
240.x.x.x 받는 사람 255.255.255.255
스누핑 패킷 우선 순위 지정
스누핑된 패킷의 우선 순위 지정은 QFX 시리즈 및 EX4600 스위치에서 지원되지 않습니다.
CoS(class-of-service) 포워딩 클래스 및 큐를 사용하여 지정된 VLAN에 대한 DHCP 스누핑 패킷의 우선순위를 지정할 수 있습니다. 이러한 유형의 구성은 해당 VLAN에 대한 DHCP 스누핑 패킷을 지정된 송신 대기열에 배치하여 보안 절차가 우선 순위가 높은 트래픽의 전송을 방해하지 않도록 합니다.