Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

네트워크 보안을 위한 DHCP 스누핑

DHCP 스누핑 지원

DHCP 스누핑은 들어오는 DHCP 패킷을 식별하고 네트워크의 신뢰할 수 없는 디바이스에서 허용되지 않는 것으로 확인된 DHCP 트래픽을 거부하여 추가 보안을 제공합니다.

DHCP 스누핑이란?

DHCP는 IP 주소를 동적으로 할당하여 할당된 디바이스에서 더 이상 필요하지 않을 때 주소를 재사용할 수 있도록 디바이스에 주소를 임대합니다. DHCP를 통해 얻은 IP 주소가 필요한 호스트 및 최종 디바이스는 LAN을 통해 DHCP 서버와 통신해야 합니다.

DHCP 스누핑은 들어오는 DHCP 패킷을 조사하고 DHCP 메시지를 검사합니다. 클라이언트에 할당된 IP 주소 및 임대 정보를 추출하고 데이터베이스를 구축합니다. 이 데이터베이스를 사용하여 도착하는 패킷이 유효한 클라이언트에서 온 것인지, 즉 DHCP 서버에서 할당한 클라이언트의 IP 주소인지 확인할 수 있습니다. 이러한 방식으로 DHCP 스누핑은 신뢰할 수 있는 DHCP 서버(서버가 신뢰할 수 있는 네트워크 포트에 연결됨)에 의해 다운스트림 네트워크 디바이스에 할당된 유효한 IP 주소를 추적하여 네트워크 보안의 수호자 역할을 합니다.

DHCP 스누핑의 이점

  • DHCP 스누핑은 동적 IP 소스 필터링을 통해 추가적인 보안 계층을 제공합니다.

  • DHCP 스누핑은 잘못된 포트 또는 잘못된 내용으로 도착하는 DHCP 패킷을 필터링하여 네트워크에서 불량 DHCP 활동을 방지할 수 있습니다.

DHCP 스누핑 활성화

DHCP 스누핑 기능을 사용할 때 DHCP 스누핑 기능 활성화에 대해 이해하는 것이 중요합니다.

Junos OS 디바이스에서는 DHCP 스누핑 기능을 독립 기능으로 구성할 수 없습니다. 디바이스의 특정 VLAN, 인터페이스 또는 라우팅 인스턴스에 대해 DHCP 보안 또는 DHCP 릴레이 또는 DHCP 서버를 구성할 때마다 해당 VLAN/인터페이스/라우팅 인스턴스에서 DHCP 스누핑이 자동으로 활성화되어 작업을 수행합니다.

예를 들어:

  • 특정 라우팅 인스턴스의 지정된 인터페이스 목록에서 DHCP 릴레이를 활성화하면
  • DHCP 스누핑은 해당 라우팅 인스턴스의 인터페이스에서 자동으로 활성화됩니다.
  • 특정 VLAN에서 DHCP 보안을 활성화하면 해당 VLAN에서 DHCP 스누핑이 자동으로 활성화됩니다.

Junos OS는 다음의 스위치/라우터/방화벽에서 DHCP 스누핑을 지원합니다.

  • 라우팅 인스턴스에서 다음 옵션을 구성할 때의 라우팅 인스턴스:

    • dhcp-relay [edit forwarding-options] 계층 수준의 문입니다.
    • dhcp-local-server [edit system services] 계층 수준의 문입니다.
  • 포트 보안 기능에 대해 다음 옵션을 구성할 때의 스위치:

    • dhcp-security [edit vlans vlan-name forwarding-options] 계층 수준의 문입니다.
팁:

DHCP 릴레이를 구성해야 하는 경우 가입자 관리 또는 CoS(Class-of-Service)가 forward-only 필요하지 않은 경우 문을 사용합니다.

DHCP 설명서를 읽고 DHCP traceoptions가 활성화된 랩을 사용하여 구성을 확인하고 이해하는 것이 좋습니다.

DHCP 스누핑 구성

기본 DHCP 스누핑 구성에서는 모든 트래픽이 스누핑됩니다.

Junos OS 디바이스에서 라우팅 인스턴스에서 다음 옵션을 구성하면 라우팅 인스턴스에서 DHCP 스누핑이 활성화됩니다.

  • dhcp-relay[edit forwarding-options] 계층 수준의 문

  • dhcp-local-server[edit system services] 계층 수준의 문

  • 선택적으로 문을 사용하여 forward-snooped-clients 스누핑된 트래픽을 평가하고 인터페이스가 그룹의 일부로 구성되었는지 여부에 따라 트래픽이 전달 또는 삭제되었는지 여부를 결정할 수 있습니다.

라우터는 패킷과 연결된 가입자가 없는 경우 기본적으로 스누핑된 패킷을 버립니다. 스누핑된 패킷의 정상적인 처리를 활성화하려면 계층 수준에서 [edit forwarding-options dhcp-relay] 문을 명시적으로 구성해야 allow-snooped-clients 합니다.

다음을 위해 특정 라우팅 인스턴스에 대한 DHCP 스누핑 지원을 구성할 수 있습니다.

  • DHCPv4 릴레이 에이전트—라우터(또는 스위치)의 기본 스누핑 구성을 재정의하고 명명된 인터페이스 그룹 또는 명명된 그룹 내의 특정 인터페이스에 대해 DHCP 스누핑이 전역적으로 활성화 또는 비활성화되도록 지정합니다.

    별도의 절차에서 글로벌 구성을 설정하여 DHCPv4 릴레이 에이전트가 모든 인터페이스에 대해 스누핑된 패킷을 전달하거나 삭제할지, 구성된 인터페이스만 전달할지 또는 구성되지 않은 인터페이스만 삭제할지를 지정할 수 있습니다. 또한 라우터는 글로벌 DHCP 릴레이 에이전트 스누핑 구성을 사용하여 스누핑된 BOOTREPLY 패킷을 전달할지 삭제할지 여부를 결정합니다. 갱신 요청은 DHCP 서버에 직접 유니캐스트될 수 있습니다. 이것은 BOOTPREQUEST 패킷이며 스누핑됩니다.

  • DHCPv6 릴레이 에이전트—DHCPv4 릴레이 에이전트에 대한 스누핑 지원과 마찬가지로 라우터의 기본 DHCPv6 릴레이 에이전트 스누핑 구성을 재정의하여 명명된 인터페이스 그룹 또는 명명된 인터페이스 그룹이 있는 특정 인터페이스에 대해 전역적으로 스누핑 지원을 명시적으로 활성화 또는 비활성화할 수 있습니다.

    DHCPv6 클라이언트와 DHCPv6 서버 사이에 둘 이상의 DHCPv6 릴레이 에이전트가 있는 다중 릴레이 토폴로지에서 스누핑을 사용하면 클라이언트와 서버 사이에 DHCPv6 릴레이 에이전트가 개입하여 클라이언트로부터 유니캐스트 트래픽을 올바르게 수신 및 처리하고 서버로 전달할 수 있습니다. DHCPv6 릴레이 에이전트는 포워딩 테이블별로 UDP 포트 547(DHCPv6 UDP 서버 포트)로 필터를 설정하여 들어오는 유니캐스트 DHCPv6 패킷을 스누핑합니다. 그런 다음 DHCPv6 릴레이 에이전트는 필터에 의해 가로챈 패킷을 처리하고 패킷을 DHCPv6 서버로 전달합니다.

    DHCPv4 릴레이 에이전트와 달리 DHCPv6 릴레이 에이전트는 DHCPv6 스누핑 패킷에 대한 포워딩 지원의 글로벌 구성을 지원하지 않습니다.

  • DHCP 로컬 서버 - DHCP 로컬 서버가 모든 인터페이스에 대해 스누핑 패킷을 전달할지 또는 삭제할지, 구성된 인터페이스만 또는 구성되지 않은 인터페이스만 전달할지 또는 삭제할지를 구성합니다.

  • 스누핑 필터를 비활성화할 수도 있습니다. 앞의 구성에서 모든 DHCP 트래픽은 전달되거나 삭제되기 전에 라우팅 인스턴스의 느린 라우팅 플레인으로 전달됩니다. 스누핑 필터를 비활성화하면 더 빠른 하드웨어 컨트롤 플레인에서 직접 전달될 수 있는 DHCP 트래픽이 라우팅 컨트롤 플레인을 우회하게 됩니다.

DHCP 로컬 서버에 대한 DHCP 스누프 패킷 전달 지원 구성

DHCP 로컬 서버가 DHCP 스누핑 패킷을 처리하는 방법을 구성할 수 있습니다. 구성에 따라 DHCP 로컬 서버는 수신한 스누핑 패킷을 전달하거나 삭제합니다.

표 1 은 DHCP 로컬 서버 스누핑 패킷에 대해 라우터가 취하는 작업을 나타냅니다.

참고:

구성된 인터페이스는 계층에서 [edit system services dhcp-local-server] 문으로 group 구성된 인터페이스입니다. 구성되지 않은 인터페이스는 논리적 시스템/라우팅 인스턴스에 있지만 문에 의해 group 구성되지 않은 인터페이스입니다.

표 1: DHCP 로컬 서버 스누핑 패킷에 대한 작업

forward-snooped-clients 구성

구성된 인터페이스에 대한 작업

구성되지 않은 인터페이스에 대한 작업

forward-snooped-clients 구성되지 않음

떨어졌다

떨어졌다

all-interfaces

전달

전달

configured-interfaces

전달

떨어졌다

non-configured-interfaces

떨어졌다

전달

DHCP 로컬 서버에 대한 DHCP 스누핑 패킷 포워딩을 구성하려면 다음과 같이 하십시오.

  1. DHCP 로컬 서버를 구성하도록 지정합니다.
  2. DHCP 로컬 서버에 대해 DHCP 스누핑 패킷 전달을 활성화합니다.
  3. 스누핑 패킷 전달에 지원되는 인터페이스를 지정합니다.

예를 들어, 구성된 인터페이스에서만 DHCP 스누핑 패킷을 전달하도록 DHCP 로컬 서버를 구성하려면 다음을 수행합니다.

DHCP 릴레이 에이전트에 대한 DHCP 스누프 패킷 지원 활성화 및 비활성화

DHCP 릴레이 에이전트는 두 부분으로 구성된 구성을 사용하여 DHCP 스누핑 패킷을 처리하는 방법을 결정합니다. 이 주제는 DHCP 릴레이 에이전트에 대한 스누핑 지원을 활성화 또는 비활성화하고, 선택적으로 기본 스누핑 구성을 재정의하는 첫 번째 절차에 대해 설명합니다.

DHCPv4 릴레이 에이전트에만 적용되는 두 번째 절차는 DHCP 릴레이 에이전트에 대한 DHCP 스누핑 패킷 포워딩 지원 구성에 설명되어 있으며, DHCP 릴레이 에이전트가 스누핑된 트래픽을 포워딩 또는 삭제할지 여부를 지정하는 스누핑 클라이언트에 대한 포워딩 작업을 구성합니다.

DHCP 릴레이, 인터페이스 그룹 또는 그룹의 특정 인터페이스에 대해 전역적으로 DHCP를 활성화하거나 비활성화할 수 있습니다.

기본적으로 DHCP 릴레이에 대해 DHCP 스누핑이 활성화되어 있습니다. DHCP 스누핑 지원을 전역적으로 활성화 또는 비활성화하는 방법:

  1. DHCP 릴레이 에이전트를 구성할 것을 지정합니다.
    • DHCP 릴레이 에이전트의 경우:

    • DHCPv6 릴레이 에이전트의 경우:

  2. 기본 구성을 재정의할 것을 지정합니다.
    • DHCP 릴레이 에이전트의 경우:

    • DHCPv6 릴레이 에이전트의 경우:

  3. DHCP 스누핑 지원을 활성화 또는 비활성화합니다.
    • DHCP 스누핑 활성화하기:

      • DHCP 릴레이 에이전트의 경우:

      • DHCPv6 릴레이 에이전트의 경우:

    • DHCP 스누핑 비활성화 방법:

      • DHCP 릴레이 에이전트의 경우:

      • DHCPv6 릴레이 에이전트의 경우:

예를 들어, 글로벌 DHCP 스누핑 지원을 활성화하려면 다음을 수행합니다.

인터페이스 그룹에 대한 DHCP 스누핑 지원을 활성화 또는 비활성화하는 방법:

  1. DHCP 릴레이 에이전트를 구성할 것을 지정합니다.

    • DHCP 릴레이 에이전트의 경우:

    • DHCPv6 릴레이 에이전트의 경우:

  2. 명명된 그룹을 지정합니다.

    • DHCP 릴레이 에이전트의 경우:

    • DHCPv6 릴레이 에이전트의 경우:

  3. 기본 구성을 재정의할 것을 지정합니다.

    • DHCP 릴레이 에이전트의 경우:

    • DHCPv6 릴레이 에이전트의 경우:

  4. DHCP 스누핑 지원을 활성화 또는 비활성화합니다.

    • DHCP 스누핑 활성화하기:

      • DHCP 릴레이 에이전트의 경우:

      • DHCPv6 릴레이 에이전트의 경우:

    • DHCP 스누핑 비활성화 방법:

      • DHCP 릴레이 에이전트의 경우:

      • DHCPv6 릴레이 에이전트의 경우:

예를 들어, 그룹의 boston모든 인터페이스에서 DHCP 스누핑 지원을 활성화하려면 다음을 수행합니다.

특정 인터페이스에서 DHCP 스누핑 지원을 활성화 또는 비활성화하는 방법:

  1. DHCP 릴레이 에이전트를 구성할 것을 지정합니다.

    • DHCP 릴레이 에이전트의 경우:

    • DHCPv6 릴레이 에이전트의 경우:

  2. 인터페이스를 포함하는 명명된 그룹을 지정합니다.

    • DHCP 릴레이 에이전트의 경우:

    • DHCPv6 릴레이 에이전트의 경우:

  3. DHCP 스누핑을 구성할 인터페이스를 지정합니다.

    • DHCP 릴레이 에이전트의 경우:

    • DHCPv6 릴레이 에이전트의 경우:

  4. 인터페이스의 기본 구성을 재정의할 것을 지정합니다.

    • DHCP 릴레이 에이전트의 경우:

    • DHCPv6 릴레이 에이전트의 경우:

  5. DHCP 스누핑 지원을 활성화 또는 비활성화합니다.

    • DHCP 스누핑 활성화하기:

      • DHCP 릴레이 에이전트의 경우:

      • DHCPv6 릴레이 에이전트의 경우:

    • DHCP 스누핑 비활성화 방법:

      • DHCP 릴레이 에이전트의 경우:

      • DHCPv6 릴레이 에이전트의 경우:

예를 들어, 그룹의 boston인터페이스에서 ge-2/1/8.0 DHCP 스누핑 지원을 비활성화하려면:

그룹의 sunnyvale인터페이스에서 ge-3/2/1.1 DHCPv6 스누핑 지원을 활성화하려면:

DHCP 릴레이 에이전트에 대한 DHCP 스누핑 패킷 전달 지원 구성

DHCP 릴레이 에이전트가 DHCP 스누핑 패킷을 처리하는 방법을 구성할 수 있습니다. 구성에 따라 DHCP 릴레이 에이전트는 수신한 스누핑 패킷을 전달하거나 삭제합니다.

DHCP 릴레이는 두 부분으로 구성된 구성을 사용하여 DHCP 스누핑 패킷을 처리하는 방법을 결정합니다. 이 주제는 패킷이 forward-snooped-clients 스누핑되는 인터페이스 유형에 따라 DHCP 릴레이 에이전트가 스누핑된 패킷을 포워딩할지 또는 삭제할지를 관리하기 위해 문을 사용하는 방법에 대해 설명합니다. DHCP 릴레이 에이전트 스누핑 구성의 다른 부분에서는 DHCP 릴레이 스누핑 기능을 활성화 또는 비활성화합니다.

표 2 는 명령문에 의해 DHCP 스누핑이 활성화될 때 라우터 또는 스위치가 스누핑된 패킷에 대해 취하는 allow-snooped-clients 작업을 보여줍니다.

또한 라우터 또는 스위치는 DHCP 릴레이 에이전트 포워딩 지원의 구성을 사용하여 스누핑된 BOOTREPLY 패킷을 처리하는 방법을 결정합니다.

표 2: DHCP 스누핑이 활성화된 경우 DHCP 릴레이 에이전트 스누핑 패킷에 대한 작업

forward-snooped-clients 구성

구성된 인터페이스에 대한 작업

구성되지 않은 인터페이스에 대한 작업

forward-snooped-clients 구성되지 않음

스누핑된 패킷으로 인한 가입자(DHCP 클라이언트) 생성

떨어졌다

all-interfaces

전달

전달

configured-interfaces

전달

떨어졌다

non-configured-interfaces

스누핑된 패킷으로 인한 가입자(DHCP 클라이언트) 생성

전달

표 3 은 DHCP 스누핑이 문에 의해 비활성화될 때 라우터(또는 스위치)가 스누핑된 패킷에 대해 취하는 no-allow-snooped-clients 작업을 보여줍니다.

표 3: DHCP 스누핑이 비활성화된 경우 DHCP 릴레이 에이전트 스누핑 패킷에 대한 작업

forward-snooped-clients 구성

구성된 인터페이스에 대한 작업

구성되지 않은 인터페이스에 대한 작업

forward-snooped-clients 구성되지 않음

떨어졌다

떨어졌다

all-interfaces

떨어졌다

전달

configured-interfaces

떨어졌다

떨어졌다

non-configured-interfaces

떨어졌다

전달

표 4 는 스누핑된 BOOTREPLY 패킷에 대해 라우터(또는 스위치)가 취하는 작업을 보여줍니다.

표 4: 스누핑된 BOOTREPLY 패킷에 대한 작업

forward-snooped-clients 구성

작업

forward-snooped-clients 구성되지 않음

클라이언트를 찾을 수 없는 경우 스누핑된 BOOTREPLY 패킷 삭제

forward-snooped-clients 모든 구성

클라이언트를 찾을 수 없는 경우 전달된 스누핑 BOOTREPLY 패킷

구성된 인터페이스는 계층에서 [edit forwarding-options dhcp-relay] 명령문으로 group 구성되었습니다. 구성되지 않은 인터페이스는 논리적 시스템/라우팅 인스턴스에 있지만 문에 group 의해 구성되지 않았습니다.

DHCP 릴레이 에이전트에 대한 DHCP 스누핑 패킷 포워딩 및 BOOTREPLY 스누핑 패킷 포워딩을 구성하려면 다음을 수행합니다.

  1. DHCP 릴레이 에이전트를 구성할 것을 지정합니다.
  2. DHCP 스누핑 패킷 전달을 활성화합니다.
  3. 스누핑 패킷 전달에 지원되는 인터페이스를 지정합니다.

예를 들어, 구성된 인터페이스에서만 DHCP 스누핑 패킷을 전달하도록 DHCP 릴레이 에이전트를 구성하려면 다음을 수행합니다.

DHCP 스누핑 필터 비활성화

DHCP 스누핑은 수신 DHCP 패킷을 식별하여 DHCP 보안을 제공합니다. 기본 DHCP 스누핑 구성에서는 모든 트래픽이 스누핑됩니다. 선택적으로 문을 사용하여 forward-snooped-clients 스누핑된 트래픽을 평가하고 인터페이스가 그룹의 일부로 구성되었는지 여부에 따라 트래픽이 전달 또는 삭제되었는지 여부를 결정할 수 있습니다.

기본 구성과 명령문을 사용하는 forward-snooped-clients 구성 모두에서 모든 DHCP 패킷이 가로채도록 모든 DHCP 트래픽이 하드웨어 컨트롤 플레인에서 라우팅 인스턴스의 라우팅 플레인으로 전달됩니다. 메트로폴리탄 라우팅 링 토폴로지와 같은 특정 토폴로지에서 모든 DHCP 트래픽을 컨트롤 플레인으로 전달하면 과도한 트래픽이 발생할 수 있습니다. 구성 문은 no-snoop 유효한 경로를 가진 레이어 3 유니캐스트 패킷과 같이 하드웨어 컨트롤 플레인에서 직접 전달될 수 있는 DHCP 트래픽에 대한 스누핑 필터를 비활성화하여 DHCP 패킷이 느린 라우팅 플레인을 우회하도록 합니다. Junos OS 릴리스 15.1R2부터 DHCP 스누핑 필터를 비활성화할 수 있습니다.

DHCP 로컬 서버에서 DHCP 스누핑 필터를 비활성화하려면:

  1. DHCP 로컬 서버를 구성하도록 지정합니다.
  2. DHCP 로컬 서버에 대한 DHCP 스누핑 필터를 비활성화합니다.
  3. DHCPv6 로컬 서버를 구성하도록 지정합니다.
  4. DHCPv6 로컬 서버에 대한 DHCP 스누핑 필터를 비활성화합니다.

DHCP 릴레이 서버에서 DHCP 스누핑 필터를 비활성화하려면:

  1. DHCP 릴레이 서버를 구성할 것을 지정합니다.

  2. DHCP 로컬 서버에 대한 DHCP 스누핑 필터를 비활성화합니다.

  3. DHCPv6 릴레이 서버를 구성하도록 지정합니다.

  4. DHCPv6 로컬 서버에 대한 DHCP 스누핑 필터를 비활성화합니다.

예: DHCP 릴레이 에이전트에 대한 DHCP 스누핑 지원 구성

이 예는 DHCP 릴레이 에이전트에 대한 DHCP 스누핑 지원을 구성하는 방법을 보여줍니다.

요구 사항

개요

이 예에서는 다음 작업을 완료하여 DHCP 릴레이 에이전트에 대한 DHCP 스누핑 지원을 구성합니다.

  • 기본 DHCP 스누핑 구성을 재정의하고 그룹 frankfurt의 인터페이스에 대한 DHCP 스누핑 지원을 활성화합니다.

  • 스누핑된 패킷을 구성된 인터페이스로만 전달하도록 DHCP 릴레이 에이전트를 구성합니다.

구성

절차

단계별 절차

DHCP 스누핑을 위한 DHCP 릴레이 지원을 구성하려면 다음과 같이 하십시오.

  1. DHCP 릴레이 에이전트를 구성할 것을 지정합니다.

  2. DHCP 스누핑이 지원되는 명명된 인터페이스 그룹을 지정합니다.

  3. 그룹에 포함할 인터페이스를 지정합니다. DHCP 릴레이 에이전트는 트래픽 전달 또는 삭제 여부를 결정할 때 이를 구성된 인터페이스로 간주합니다.

  4. 그룹에 대한 기본 구성을 재정의할 것을 지정합니다.

  5. 그룹에 대한 DHCP 스누핑 지원을 활성화합니다.

  6. [edit forwarding-options dhcp-relay] 계층 수준으로 돌아가 전달 작업을 구성하고 DHCP 릴레이 에이전트가 구성된 인터페이스에서만 스누핑 패킷을 전달하도록 지정합니다.

  7. DHCP 릴레이 에이전트에 대해 DHCP 스누핑 패킷 포워딩을 활성화합니다.

  8. 스누핑된 패킷이 구성된 인터페이스(그룹의 frankfurt인터페이스)에서만 전달되도록 지정합니다.

결과

구성 모드에서 명령을 입력하여 show forwarding-options 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 수정합니다. 다음 출력은 그룹 프랑크푸르트에서 구성된 인터페이스의 범위를 보여줍니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

예: DHCPv6 릴레이 에이전트에 대한 DHCP 스누핑 지원 활성화

DHCPv6 릴레이 에이전트에 대한 스누핑 지원은 기본적으로 라우터에서 비활성화되어 있습니다. 이 예는 기본 DHCPv6 릴레이 에이전트 스누핑 구성을 재정의하여 명명된 인터페이스 그룹과 다른 명명된 그룹 내의 특정 인터페이스에 대해 DHCPv6 스누핑을 명시적으로 활성화하는 방법을 보여줍니다.

참고:

또한 계층 수준에서 문을 사용하여 allow-snooped-clients 전역적으로 [edit forwarding-options dhcp-relay dhcpv6 overrides] DHCPv6 스누핑 지원을 활성화할 수 있습니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • MX 시리즈 5G 유니버설 라우팅 플랫폼

  • Junos OS 릴리스 12.1 이상

시작하기 전에:

개요

이 예에서는 기본 DHCPv6 릴레이 에이전트 스누핑 구성을 재정의하여 다음 두 가지 모두에 대해 DHCP 스누핑을 명시적으로 활성화합니다.

  • 라는 그룹의 모든 인터페이스 boston

  • 라는 그룹의 인터페이스 ge-3/2/1.1sunnyvale

구성

기본 DHCPv6 릴레이 에이전트 스누핑 구성을 재정의하여 명명된 인터페이스 그룹 및 명명된 그룹 내의 특정 인터페이스에 대해 DHCPv6 스누핑을 명시적으로 활성화하려면 다음 작업을 수행합니다.

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣고, 줄 바꿈을 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경한 다음, 명령을 복사하여 계층 수준에서 CLI에 [edit] 붙여 넣습니다.

명명된 인터페이스 그룹에 대한 DHCPv6 스누핑 지원 활성화

단계별 절차

명명된 인터페이스 그룹에 대해 DHCPv6 스누핑 지원을 활성화하려면:

  1. DHCPv6 릴레이 에이전트를 구성할 것을 지정합니다.

  2. DHCPv6 스누핑을 활성화할 명명된 인터페이스 그룹을 지정합니다.

  3. 해당 그룹의 인터페이스에 대한 기본 DHCPv6 구성을 재정의할 것을 지정합니다.

  4. 그룹의 boston모든 인터페이스에 대해 DHCPv6 스누핑 지원을 활성화합니다.

결과

구성 모드에서 계층 수준에서 문을 [edit forwarding-options dhcp-relay] 발행 show 하여 구성 결과를 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

라우터 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

명명된 그룹의 특정 인터페이스에 대한 DHCPv6 스누핑 지원 활성화

단계별 절차

명명된 인터페이스 그룹 내의 특정 인터페이스에 대해 DHCPv6 스누핑 지원을 활성화하려면:

  1. [edit forwarding-options dhcp-relay dhcpv6] 계층 수준으로 돌아가 DHCPv6 릴레이 에이전트를 구성할 것을 지정합니다.

  2. 인터페이스를 포함하는 명명된 그룹을 지정합니다.

  3. DHCPv6 스누핑을 활성화할 그룹의 sunnyvale 인터페이스를 지정합니다.

  4. 그룹의 sunnyvale인터페이스에 ge-3/2/1.1 대한 기본 DHCPv6 구성을 재정의할 것을 지정합니다.

  5. 그룹의 sunnyvale인터페이스에 ge-3/2/1.1 대한 DHCPv6 스누핑 지원을 활성화합니다.

결과

구성 모드에서 계층 수준에서 문을 [edit forwarding-options dhcp-relay] 발행 show 하여 구성 결과를 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

라우터 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

확인

다중 릴레이 토폴로지에서 DHCPv6 구성을 확인하려면 다음 작업을 수행합니다.

DHCPv6 릴레이 에이전트 클라이언트에 대한 주소 바인딩 확인

목적

DHCP(Dynamic Host Configuration Protocol) 클라이언트 테이블에서 DHCPv6 주소 바인딩을 확인합니다.

작업

DHCPv6 릴레이 에이전트 클라이언트의 주소 바인딩에 대한 자세한 정보를 표시합니다.

의미

명령 출력의 show dhcpv6 relay binding detail 필드에는 Server Address 일반적으로 DHCPv6 서버의 IP 주소가 표시됩니다. 이 예에서 필드 값은 unknown Server Address DHCPv6 릴레이 에이전트가 DHCPv6 서버에 직접 인접하지 않고 서버의 IP 주소를 감지하지 않는 다중 릴레이 토폴로지임을 나타냅니다.

이 경우 출력에는 DHCPv6 서버 방향으로 다음 홉 주소를 표시하는 필드가 포함됩니다 Next Hop Server Facing Relay .

DHCP 스푸핑 방지

DHCP DHCP spoofing에서 가끔 발생하는 문제는 . DHCP 스푸핑에서 신뢰할 수 없는 클라이언트는 DHCP 메시지로 네트워크를 플러딩합니다. 이러한 공격은 공격의 실제 출처를 숨기기 위해 소스 IP 주소 스푸핑을 활용하는 경우가 많습니다.

DHCP 스누핑은 DHCP 메시지를 컨트롤 플레인에 복사하고 패킷의 정보를 사용하여 스푸핑 방지 필터를 생성함으로써 DHCP 스푸핑을 방지하는 데 도움이 됩니다. 스푸핑 방지 필터는 클라이언트의 MAC 주소를 DHCP 할당 IP 주소에 바인딩하고 이 정보를 사용하여 스푸핑된 DHCP 메시지를 필터링합니다. 일반적인 토폴로지에서 캐리어 에지 라우터(이 기능에서는 BNG[broadband network gateway]라고도 함)는 DHCP 서버와 스누핑을 수행하는 MX 시리즈 라우터(또는 BSA[broadband services aggregator])를 연결합니다. MX 시리즈 라우터는 클라이언트와 BNG에 연결됩니다.

DHCP 스누핑을 구성하려면 DHCP 그룹 내에 적절한 인터페이스를 포함합니다. VPLS 환경 및 브리지 도메인에 대한 DHCP 스누핑을 구성할 수 있습니다.

  • VPLS 환경에서 DHCP 요청은 유사 회선을 통해 전달됩니다. 계층 수준에서 VPLS를 통한 DHCP 스누핑을 [edit routing-instances routing-instance-name] 구성합니다.

  • 브리지 도메인에서 DHCP 스누핑은 학습 브리지별로 작동합니다. 각 학습 도메인에는 업스트림 인터페이스가 구성되어 있어야 합니다. 이 인터페이스는 클라이언트 측에서 들어오는 DHCP 요청에 대한 플러드 포트 역할을 합니다. DHCP 요청은 브리지 도메인의 학습 도메인 간에 전달됩니다. 계층 수준에서 브리지 도메인에 대한 DHCP 스누핑을 [edit routing-instances routing-instance-name bridge-domains bridge-domain-name] 구성합니다.

DHCP 스푸핑을 방지하기 위해 DHCP 릴레이를 구성하는 방법:

  1. VPLS 또는 브리지 도메인 구성에 적합한 계층에 액세스합니다.
  2. DHCP 릴레이를 구성할 것을 지정합니다.
  3. 그룹을 만들고 이름을 지정합니다.

  4. 하나 이상의 인터페이스 이름을 지정합니다. DHCP는 지정된 인터페이스에서 학습된 MAC 주소만 신뢰합니다.
참고:

DHCP 스누핑 클라이언트에 대한 인터페이스 지원을 명시적으로 활성화 및 비활성화할 수 있습니다. DHCP 릴레이 에이전트에 대한 DHCP 스누프 패킷 지원 활성화 및 비활성화를 참조하십시오.

릴리스 기록 테이블
릴리스
설명
15.1R2
Junos OS 릴리스 15.1R2부터 DHCP 스누핑 필터를 비활성화할 수 있습니다.