Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

DHCP 스누핑 이해(비 ELS)

메모:

이 주제에는 ELS(Enhanced Layer 2 Software)를 지원하지 않는 Junos EX 시리즈 스위치에 대한 DHCP(Dynamic Host Configuration Protocol) 스누핑 활성화에 대한 정보가 포함되어 있습니다. 스위치에서 ELS를 지원하는 Junos 버전을 실행하는 경우, DHCP 스누핑(ELS) 이해를 참조하십시오. ELS 세부 사항은 Enhanced Layer 2 Software CLI 사용을 참조하십시오.

DHCP 스누핑을 사용하면 스위치 또는 라우터일 수 있는 스위칭 디바이스가 스위칭 디바이스에 연결된 신뢰할 수 없는 디바이스에서 수신된 DHCP 메시지를 모니터링할 수 있습니다. VLAN에서 DHCP 스누핑이 활성화되면 시스템은 VLAN과 연결된 신뢰할 수 없는 호스트에서 보낸 DHCP 메시지를 검사하고 해당 IP 주소 및 리스 정보를 추출합니다. 이 정보는 DHCP 스누핑 데이터베이스를 구축하고 유지 관리하는 데 사용됩니다. 이 데이터베이스를 사용하여 확인할 수 있는 호스트만 네트워크에 액세스할 수 있습니다.

DHCP 스누핑 기본 사항

DHCP(Dynamic Host Configuration Protocol)는 IP 주소를 동적으로 할당하여 더 이상 필요하지 않을 때 주소를 재사용할 수 있도록 디바이스에 주소를 임대 합니다. DHCP를 통해 얻은 IP 주소가 필요한 호스트 및 종단 디바이스는 LAN을 통해 DHCP 서버와 통신해야 합니다.

DHCP 스누핑은 신뢰할 수 있는 DHCP 서버(서버가 신뢰할 수 있는 네트워크 포트에 연결됨)에 의해 다운스트림 네트워크 디바이스에 할당된 유효한 IP 주소를 추적하여 네트워크 보안의 수호자 역할을 합니다.

기본적으로 스위치의 모든 트렁크 포트는 신뢰할 수 있으며 DHCP 스누핑에 대해 모든 액세스 포트는 신뢰할 수 없습니다.

DHCP 스누핑이 활성화되면 스위칭 디바이스의 리스 정보를 사용하여 바인딩 테이블이라고도 하는 DHCP 스누핑 테이블을 생성합니다. 이 표에는 IP-MAC 바인딩과 각 호스트의 IP 주소, 바인딩 유형, VLAN 이름 및 인터페이스의 리스 시간이 나와 있습니다.

메모:

DHCP 스누핑은 스위칭 디바이스의 기본 구성에서 비활성화됩니다. 계층 수준에서 을 examine-dhcp (를) 설정하여 DHCP 스누핑을 [edit ethernet-switching-options secure-access-port] 명시적으로 활성화해야 합니다.

DHCP 스누핑 데이터베이스의 항목은 다음 이벤트에서 업데이트됩니다.

  • DHCP 클라이언트가 IP 주소를 해제할 때(DHCPRELEASE 메시지를 보냄). 이 경우 연결된 매핑 항목이 데이터베이스에서 삭제됩니다.

  • 한 VLAN에서 다른 VLAN으로 네트워크 디바이스를 이동하는 경우. 이 경우 일반적으로 디바이스는 새 IP 주소를 획득해야 합니다. 따라서 VLAN ID를 포함하여 데이터베이스의 해당 항목이 업데이트됩니다.

  • DHCP 서버에서 할당한 임대 시간(시간 제한 값)이 만료되는 경우. 이 경우 연결된 항목이 데이터베이스에서 삭제됩니다.

팁:

기본적으로 스위칭 디바이스가 재부팅되고 DHCP 클라이언트(네트워크 디바이스 또는 호스트)가 바인딩을 다시 획득해야 할 때 IP-MAC 바인딩이 손실됩니다. 그러나 데이터베이스 파일을 로컬 또는 원격으로 저장하도록 문을 설정하여 dhcp-snooping-file 바인딩이 지속되도록 구성할 수 있습니다.

특정 VLAN의 DHCP 서버 응답만 스누핑하도록 스위칭 디바이스를 구성할 수 있습니다. 이렇게 하면 DHCP 서버 메시지의 스푸핑을 방지할 수 있습니다.

인터페이스(포트)가 아닌 VLAN별로 DHCP 스누핑을 구성합니다. DHCP 스누핑은 스위칭 디바이스에서 기본적으로 비활성화됩니다.

DHCP 스누핑 프로세스

DHCP 스누핑의 기본 프로세스는 다음 단계로 구성됩니다.

메모:

VLAN에 대해 DHCP 스누핑이 활성화되면 해당 VLAN의 네트워크 디바이스에서 전송된 모든 DHCP 패킷이 DHCP 스누핑의 대상이 됩니다. 최종 IP-MAC 바인딩은 DHCP 서버가 DHCPACK을 DHCP 클라이언트로 보낼 때 발생합니다.

  1. 네트워크 디바이스는 DHCPDISCOVER 패킷을 전송하여 IP 주소를 요청합니다.

  2. 스위칭 디바이스는 패킷을 DHCP 서버로 전달합니다.

  3. 서버는 DHCPOFFER 패킷을 전송하여 주소를 제공합니다. DHCPOFFER 패킷이 신뢰할 수 있는 인터페이스에서 온 경우, 스위칭 디바이스는 패킷을 DHCP 클라이언트로 전달합니다.

  4. 네트워크 디바이스는 DHCPREQUEST 패킷을 전송하여 IP 주소를 수락합니다. 스위칭 디바이스는 IP-MAC 자리 표시자 바인딩을 데이터베이스에 추가합니다. 이 항목은 서버에서 DHCPACK 패킷을 받을 때까지 자리 표시자로 간주됩니다. 그때까지는 IP 주소를 다른 호스트에 할당할 수 있습니다.

  5. 서버는 DHCPACK 패킷을 전송하여 IP 주소를 할당하거나 DHCPNAK 패킷을 전송하여 주소 요청을 거부합니다.

  6. 스위칭 디바이스는 수신된 패킷 유형에 따라 DHCP 스누핑 데이터베이스를 업데이트합니다.

    • 스위칭 디바이스가 DHCPACK 패킷을 수신하면 데이터베이스의 IP-MAC 바인딩에 대한 리스 정보를 업데이트합니다.

    • 스위칭 디바이스가 DHCPNACK 패킷을 수신하면 자리 표시자를 삭제합니다.

메모:

DHCP 스누핑 데이터베이스는 DHCPREQUEST 패킷이 전송된 후에만 업데이트됩니다.

클라이언트에 IP 주소를 할당하는 동안 DHCP 클라이언트와 DHCP 서버가 교환하는 메시지에 대한 일반적인 정보는 Junos OS 관리 라이브러리를 참조하십시오.

DHCPv6 스누핑

DHCPv6 스누핑은 IPv6에 대한 DHCP 스누핑과 동일합니다. DHCPv6 스누핑 프로세스는 DHCP 스누핑 프로세스와 유사하지만 클라이언트와 서버 간에 교환되는 메시지에 다른 이름을 사용하여 IPv6 주소를 할당합니다. 표 1 에는 DHCPv6 메시지와 해당 DHCP가 나와 있습니다.

표 1: DHCPv6 메시지 및 이에 상응하는 DHCPv4 메시지

보낸 사람

DHCPv6 메시지

동등한 DHCP 메시지

클라이언트

간청

DHCPDISCOVER (영문)

서버

광고

DHCP오퍼

클라이언트

요청, 갱신, 리바인드

DHCP요청

서버

회답

DHCPACK/DHCPNAK

클라이언트

석방

DHCP릴리스

클라이언트

정보 요청

DHCPINFORM

클라이언트

거절하다

DHCP거부

클라이언트

확인하다

없음

서버

재구성

DHCPFORCE갱신

클라이언트

릴레이-FORW, 릴레이-응답

없음

DHCPv6에 대한 신속한 커밋

DHCPv6는 서버에서 지원하고 클라이언트가 설정한 경우 4방향 릴레이에서 2메시지 핸드셰이크로 교환을 단축하는 신속 커밋 옵션(DHCPv6 옵션 14)을 제공합니다. 빠른 커밋 옵션 활성화에 대한 자세한 내용은 DHCPv6 빠른 커밋 구성(MX 시리즈, EX 시리즈)을 참조하십시오.

신속한 커밋 프로세스에서:

  1. DHCPv6 클라이언트는 주소, 접두사 및 기타 구성 매개 변수의 신속한 할당이 선호된다는 요청이 포함된 SOLICIT 메시지를 보냅니다.

  2. DHCPv6 서버가 빠른 할당을 지원하는 경우 할당된 IPv6 주소 및 접두사 및 기타 구성 매개 변수가 포함된 REPLY 메시지로 응답합니다.

DHCP 서버 액세스

다음 세 가지 방법으로 DHCP 서버에 대한 스위칭 디바이스의 액세스를 구성할 수 있습니다.

스위칭 디바이스, DHCP 클라이언트 및 DHCP 서버가 모두 동일한 VLAN에 있습니다

스위칭 디바이스, DHCP 클라이언트 및 DHCP 서버가 모두 동일한 VLAN의 구성원인 경우, DHCP 서버는 다음 두 가지 방법 중 하나로 스위칭 디바이스에 연결될 수 있습니다.

  • 서버는 DHCP 클라이언트(서버에서 IP 주소를 요청하는 호스트 또는 네트워크 디바이스)에 연결된 디바이스와 동일한 스위칭 디바이스에 직접 연결됩니다. VLAN은 DHCP 스누핑을 통해 신뢰할 수 없는 액세스 포트를 보호할 수 있습니다. 트렁크 포트는 기본적으로 신뢰할 수 있는 포트로 구성됩니다. 그림 1을 참조하십시오.

  • 서버가 중간 스위칭 디바이스(스위칭 디바이스 2)에 연결되어 있습니다. DHCP 클라이언트는 트렁크 포트를 통해 스위칭 디바이스 2로 연결되는 스위칭 디바이스 1에 연결됩니다. 스위칭 디바이스 2는 전송 디바이스로 사용되고 있습니다. VLAN은 DHCP 스누핑을 통해 신뢰할 수 없는 액세스 포트를 보호할 수 있습니다. 트렁크 포트는 기본적으로 신뢰할 수 있는 포트로 구성됩니다. 그림 2에서 볼 수 있듯이 ge-0/0/11은 신뢰할 수 있는 트렁크 포트입니다.

그림 1: 스위칭 디바이스 DHCP Server Connected Directly to a Switching Device 에 직접 연결된 DHCP 서버
그림 2: 스위칭 디바이스 2에 직접 연결된 DHCP 서버, 스위칭 디바이스 2가 신뢰할 수 있는 트렁크 포트를 통해 스위칭 디바이스 1에 연결 Network diagram showing DHCP clients connected to a switch via port ge-0/0/1 and then to a DHCP server via another switch using port ge-0/0/11.

스위칭 디바이스가 DHCP 서버 역할을 함

메모:

DHCP 서버 역할을 하는 스위칭 디바이스는 QFX 시리즈에서 지원되지 않습니다.

스위칭 디바이스 자체는 DHCP 서버로 구성됩니다. 이를 로컬 구성이라고 합니다. 그림 3을 참조하십시오.

그림 3: 스위칭 디바이스가 DHCP 서버 Switching Device Is the DHCP Server

스위칭 디바이스가 릴레이 에이전트 역할을 함

DHCP 클라이언트 또는 DHCP 서버가 레이어 3 인터페이스를 통해 디바이스에 연결되면 스위칭 디바이스는 릴레이 에이전트 역할을 합니다. 스위칭 디바이스의 레이어 3 인터페이스는 라우팅된 VLAN 인터페이스(RVI)로 구성되며, 이는 통합 라우팅 및 브리징(IRB) 인터페이스로도 알려져 있습니다. 트렁크 인터페이스는 기본적으로 신뢰할 수 있습니다.

이 두 시나리오는 릴레이 에이전트 역할을 하는 스위칭 디바이스를 보여줍니다.

  • DHCP 서버와 클라이언트가 서로 다른 VLAN에 있습니다.

  • 스위칭 디바이스는 라우터에 연결되고, 라우터는 차례로 DHCP 서버로 연결됩니다. 그림 4를 참조하십시오.

그림 4: 라우터를 통해 DHCP 서버로 릴레이 에이전트 역할을 하는 스위칭 디바이스 Network diagram showing DHCP clients connected to a switch, router, and DHCP server for IP allocation.

DHCP 스누핑 데이터베이스에 정적 IP 주소 추가

특정 정적 IP 주소를 데이터베이스에 추가할 수 있을 뿐만 아니라 DHCP 스누핑을 통해 주소를 동적으로 할당할 수도 있습니다. 정적 IP 주소를 추가하려면 IP 주소, 디바이스의 MAC 주소, 디바이스가 연결된 인터페이스 및 인터페이스와 연결된 VLAN을 제공합니다. 항목에 임대 시간이 할당되지 않습니다. 정적으로 구성된 항목은 만료되지 않습니다.

잘못된 IP 주소를 가진 DHCP 패킷 스누핑

VLAN에서 DHCP 스누핑을 활성화한 다음 해당 VLAN의 디바이스가 잘못된 IP 주소를 요청하는 DHCP 패킷을 전송하면 이러한 잘못된 IP 주소는 기본 시간 초과에 도달하여 삭제될 때까지 DHCP 스누핑 데이터베이스에 저장됩니다. DHCP 스누핑 데이터베이스에서 이러한 불필요한 공간 사용을 제거하기 위해 스위칭 디바이스는 무효 IP 주소를 요청하는 DCHP 패킷을 드롭하여 이러한 패킷의 스누핑을 방지합니다. 잘못된 IP 주소는 다음과 같습니다.

  • 0.0.0.0

  • 128.0입니다.x.x

  • 191.255입니다.x.x

  • 192.0.0입니다.x

  • 223.255.255입니다.x

  • 224년.x.x.x

  • 240.x.x.x 에 255.255.255.255

스누핑 패킷 우선 순위 지정

메모:

스누핑된 패킷의 우선 순위 지정은 QFX 시리즈 및 EX4600 스위치에서 지원되지 않습니다.

CoS(class-of-service) 포워딩 클래스 및 대기열을 사용하여 지정된 VLAN에 대한 DHCP 스누핑 패킷의 우선 순위를 지정할 수 있습니다. 이러한 유형의 구성은 보안 절차가 우선 순위가 높은 트래픽의 전송을 방해하지 않도록 해당 VLAN에 대한 DHCP 스누핑 패킷을 지정된 송신 대기열에 배치합니다.

관련 설명서