Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

신뢰할 수 있는 DHCP 서버 이해 및 사용

신뢰할 수 있는 포트와 신뢰할 수 없는 포트 및 DHCP 서버 이해

DHCP 서버는 네트워크의 DHCP 클라이언트에 IP 주소 및 기타 구성 정보를 제공합니다. DHCP 서버에 대해 신뢰할 수 있는 포트를 사용하면 임대를 보내는 불량 DHCP 서버로부터 보호할 수 있습니다.

신뢰할 수 없는 포트는 DHCP 서버에서 트래픽을 삭제하여 권한이 없는 서버가 클라이언트에 구성 정보를 제공하지 못하도록 합니다.

기본적으로 모든 트렁크 포트는 DHCP에 대해 신뢰되며 모든 액세스 포트는 신뢰할 수 없습니다.

트렁크 포트를 신뢰할 수 없는 것으로 설정하도록 기본 동작의 재정의를 구성하여 해당 인터페이스의 모든 수신 DHCP 서버 메시지를 차단할 수 있습니다. 이는 공격자가 인증되지 않은 서버를 네트워크에 침입하는 불량 DHCP 서버 공격을 방지하는 데 유용합니다. 이 서버가 DHCP 클라이언트에 제공하는 정보는 네트워크 액세스를 방해할 수 있습니다. 인증되지 않은 서버는 자신을 네트워크의 기본 게이트웨이 디바이스로 할당할 수도 있습니다. 그런 다음 공격자는 네트워크 트래픽을 스니핑하여 메시지 가로채기(man-in-the-middle) 공격을 수행할 수 있습니다. 즉, 합법적인 네트워크 디바이스로 의도된 트래픽을 자신이 선택한 디바이스로 잘못 전달합니다.

액세스 포트를 신뢰할 수 있는 포트로 구성할 수도 있습니다. DHCP 서버를 액세스 포트에 연결하는 경우 포트를 신뢰할 수 있는 포트로 구성해야 합니다. 이렇게 하기 전에 서버가 물리적으로 안전한지, 즉 서버에 대한 액세스가 모니터링되고 제어되는지 확인하십시오.

신뢰할 수 있는 DHCP 서버(ELS) 활성화

메모:

이 예에서는 ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하는 EX 시리즈 스위치용 Junos OS를 사용합니다.

DHCP 서버에 연결된 스위치의 모든 인터페이스를 신뢰할 수 있는 인터페이스(포트)로 구성할 수 있습니다. 신뢰할 수 있는 인터페이스에서 DHCP 서버를 구성하면 임대를 전송하는 불량 DHCP 서버로부터 보호할 수 있습니다.

기본적으로 모든 액세스 인터페이스는 신뢰할 수 없으며 모든 트렁크 인터페이스는 신뢰할 수 있습니다. 그러나 VLAN 내에 액세스 인터페이스 그룹을 구성하고, 해당 그룹에 속할 인터페이스를 지정한 다음, 그룹을 신뢰할 수 있는 것으로 구성하여 액세스 인터페이스에 대한 기본 설정을 재정의할 수 있습니다.

신뢰할 수 있는 DHCP 서버를 구성하려면 먼저 VLAN을 구성해야 합니다. ELS를 지원하는 EX 시리즈 스위치용 VLAN 구성(CLI 절차)을 참조하십시오.

CLI를 사용하여 신뢰할 수 없는 액세스 인터페이스를 DHCP 서버에 대한 신뢰할 수 있는 인터페이스로 구성하려면 다음을 수행합니다.

  1. 특정 액세스 인터페이스를 사용하여 VLAN 내에서 그룹을 구성합니다.
  2. 그룹 내에 포함된 지정된 인터페이스를 신뢰할 수 있는 인터페이스로 만들기 위해 해당 그룹을 구성합니다.trusted

신뢰할 수 있는 DHCP 서버 활성화(비 ELS)

신뢰할 수 있는 DHCP 서버 및 포트를 사용하여 네트워크에서 불량 임대를 보내는 불량 DHCP 서버로부터 보호할 수 있습니다. 기본적으로 DHCP의 경우 모든 트렁크 포트는 신뢰할 수 있으며 모든 액세스 포트는 신뢰할 수 없습니다. 또한 인터페이스에서만 DHCP 서버를 설정할 수 있습니다. 즉, VLAN 사용은 지원되지 않습니다.

신뢰할 수 있는 포트를 통해 DHCP 서버는 요청 디바이스에 IP 주소 및 기타 정보를 제공할 수 있습니다. 신뢰할 수 없는 포트는 DHCP 서버에서 트래픽을 삭제하여 권한이 없는 서버가 클라이언트에 구성 정보를 제공하지 못하도록 합니다.

DHCP 서버를 호스팅할 포트를 구성하려면 Junos CLI에서 다음 명령을 입력합니다.

여기서 인터페이스 ge-0/0/8 은 네트워크에 유효한 신뢰할 수 있고 물리적으로 안전한 인터페이스입니다.

신뢰할 수 있는 DHCP 서버 활성화(MX 시리즈 라우터)

DHCP 서버에 연결되는 스위칭 디바이스의 모든 인터페이스를 신뢰할 수 있는 인터페이스(포트)로 구성할 수 있습니다. 신뢰할 수 있는 인터페이스에서 DHCP 서버를 구성하면 임대를 전송하는 불량 DHCP 서버로부터 보호할 수 있습니다.

기본적으로 모든 액세스 인터페이스는 신뢰할 수 없으며 모든 트렁크 인터페이스는 신뢰할 수 있습니다. 그러나 브리지 도메인 내에서 액세스 인터페이스 그룹을 구성하고, 해당 그룹에 속할 인터페이스를 지정한 다음, 그룹을 신뢰할 수 있는 것으로 구성하여 액세스 인터페이스에 대한 기본 설정을 재정의할 수 있습니다.

신뢰할 수 있는 DHCP 서버를 구성하려면 먼저 브리지 도메인을 구성해야 합니다.

CLI를 사용하여 신뢰할 수 없는 액세스 인터페이스를 DHCP 서버에 대한 신뢰할 수 있는 인터페이스로 구성하려면 다음을 수행합니다.

  1. 특정 액세스 인터페이스를 가진 브리지 도메인 내에서 그룹을 구성합니다.

  2. 그룹 내에 포함된 지정된 인터페이스를 신뢰할 수 있는 인터페이스로 만들기 위해 해당 그룹을 구성합니다.trusted

신뢰할 수 있는 DHCP 서버가 올바르게 작동하는지 확인

목적

DHCP 신뢰 서버가 스위치에서 작동 중인지 확인합니다. DHCP 서버를 신뢰한 다음 신뢰할 수 없는 경우 어떤 일이 발생하는지 확인합니다.

행동

스위치에 연결된 네트워크 디바이스(여기서는 DHCP 클라이언트)에서 일부 DHCP 요청을 보냅니다.

DHCP 서버가 스위치에 연결하는 인터페이스를 신뢰할 수 있는 경우 DHCP 스누핑 정보를 표시합니다. MAC 주소에서 요청이 전송되고 서버가 IP 주소 및 임대를 제공한 경우 다음 출력 결과가 발생합니다.

의미

DHCP 서버가 스위치에 연결하는 인터페이스가 trusted로 설정된 경우 출력(앞의 샘플 참조)은 각 MAC 주소에 대해 할당된 IP 주소와 임대 시간, 즉 임대가 만료되기까지 남은 시간(초 단위)을 표시합니다.

DHCP 서버가 신뢰할 수 없는 것으로 구성된 경우 DHCP 스누핑 데이터베이스에 항목이 추가되지 않으며 명령 출력 show dhcp snooping binding 에 아무 것도 표시되지 않습니다.

DHCP 보안에 대해 트렁크 인터페이스를 신뢰할 수 없는 인터페이스로 구성(CLI 절차)

인터페이스 그룹을 구성하기 전에 VLAN을 구성해야 합니다. ELS를 지원하는 EX 시리즈 스위치용 VLAN 구성(CLI 절차)을 참조하십시오.

신뢰할 수 없는 트렁크 인터페이스는 VLAN에서 활성화된 경우 다음과 같은 DHCP 보안 기능을 지원합니다.

  • DHCP 및 DHCPv6 스누핑

  • 동적 ARP 검사

  • IPv6 인접 검색 검사

트렁크 인터페이스를 신뢰할 수 없는 인터페이스로 구성하려면 VLAN 내에서 인터페이스 그룹을 구성하고 트렁크 인터페이스를 그룹에 추가한 다음 그룹을 신뢰할 수 없는 것으로 구성해야 합니다. 그룹에는 하나 이상의 인터페이스가 있어야 합니다.

DHCP 보안에 대해 트렁크 인터페이스를 신뢰할 수 없는 인터페이스로 구성하려면 다음을 수행합니다.

  1. 트렁크 인터페이스를 멤버로 사용하여 VLAN 내에서 그룹을 구성합니다.
  2. 그룹 내에 포함된 지정된 인터페이스를 신뢰할 수 없는 인터페이스로 만들기 위해 그룹을 구성합니다 untrusted .