Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción de la supervisión de DHCP (ELS)

Nota:

En este tema se incluye información sobre cómo habilitar el espionaje del Protocolo de configuración dinámica de host (DHCP) cuando se utiliza Junos OS para conmutadores serie EX con compatibilidad para el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software Junos OS que no admite ELS, consulte Descripción de la supervisión de DHCP (no ELS). Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.

La supervisión de DHCP permite que el dispositivo de conmutación, que puede ser un conmutador o un enrutador, supervise los mensajes DHCP recibidos de dispositivos que no son de confianza conectados al dispositivo de conmutación. Cuando el espionaje DHCP está habilitado en una VLAN, el sistema examina los mensajes DHCP enviados desde hosts no confiables asociados con la VLAN y extrae sus direcciones IP e información de concesión. Esta información se utiliza para crear y mantener la base de datos de espionaje DHCP. Solo los hosts que se pueden verificar con esta base de datos tienen acceso a la red.

Conceptos básicos de espionaje DHCP

DHCP asigna direcciones IP dinámicamente, arrendando direcciones a dispositivos para que las direcciones puedan reutilizarse cuando ya no sean necesarias para los dispositivos a los que fueron asignadas. Los hosts y dispositivos finales que requieren direcciones IP obtenidas a través de DHCP deben comunicarse con un servidor DHCP a través de la LAN.

El espionaje DHCP actúa como guardián de la seguridad de la red al realizar un seguimiento de las direcciones IP válidas asignadas a los dispositivos de red descendentes por un servidor DHCP de confianza (el servidor está conectado a un puerto de red de confianza).

De forma predeterminada, todos los puertos troncales del conmutador son de confianza y todos los puertos de acceso no son de confianza para la supervisión de DHCP.

A partir de Junos OS versión 18.4R1, la supervisión de DHCP se produce en puertos de confianza para los siguientes conmutadores de la serie Juniper, EX2300, EX4600 y QFX5K. Antes de Junos OS versión 18.4R1, para estos dispositivos, esto solo era cierto para la supervisión de DHCPv6. Además, la supervisión de DHCP se produce en puertos de confianza para conmutadores de la serie EX9200 y Fusion Enterprises que ejecutan Junos OS versión 19.1R1 y posteriores.

Puede configurar un puerto de acceso como de confianza o un puerto troncal como no confiable mediante la instrucción override configuration con la opción de confianza o no confianza .

Cuando la supervisión de DHCP está habilitada, la información de concesión del servidor se utiliza para crear la tabla de espionaje de DHCP, también conocida como tabla de enlace DHCP. La tabla muestra los enlaces de direcciones IP-MAC actuales, así como el tiempo de concesión, el tipo de enlace, los nombres de las VLAN asociadas y las interfaces.

Las entradas de la tabla de espionaje DHCP se actualizan en los eventos siguientes:

  • Cuando un dispositivo de red libera una dirección IP (envía un mensaje DHCPRELEASE). En este caso, la entrada de asignación asociada se elimina de la base de datos.

  • Cuando mueve un dispositivo de red de una VLAN a otra. En este caso, normalmente el dispositivo necesita adquirir una nueva dirección IP. Por lo tanto, se actualiza su entrada en la base de datos, incluido el nombre de VLAN.

  • Cuando expira el tiempo de concesión (valor de tiempo de espera) asignado por el servidor DHCP. En este caso, la entrada asociada se elimina de la base de datos.

  • Cuando el dispositivo de red renueva su concesión enviando un mensaje DHCPREQUEST de unidifusión y recibiendo una respuesta positiva del servidor DHCP. En este caso, el tiempo de concesión se actualiza en la base de datos.

  • Si el dispositivo de red no puede comunicarse con el servidor DHCP que concedió originalmente la concesión, envía un mensaje DHCPREQUEST de difusión y se vuelve a enlazar al servidor DHCP que responde. En este caso, el cliente recibe una nueva dirección IP y el enlace se actualiza en la tabla de espionaje DHCP.

  • A partir de Junos OS versión 14.1X53-D35, si un dispositivo de red con una asignación IP fija desde el servidor DHCP se sustituye por un nuevo dispositivo con una dirección MAC diferente, el nuevo enlace de dirección IP-MAC se almacena hasta que el servidor envíe un mensaje DHCPACK; a continuación, la entrada de la tabla de espionaje DHCP se actualiza con el enlace de nueva dirección.

Propina:

De forma predeterminada, los enlaces IP-MAC se pierden cuando se reinicia el conmutador y los clientes DHCP (los dispositivos de red o los hosts) deben volver a adquirir los enlaces. Sin embargo, puede configurar los enlaces para que persistan estableciendo la dhcp-snooping-file instrucción para almacenar el archivo de base de datos de forma local o remota.

Puede configurar el conmutador para espiar las respuestas del servidor DHCP solo desde VLAN específicas. Esto evita la suplantación de mensajes del servidor DHCP.

Habilitación de la supervisión de DHCP

Cuando utilice la función de espionaje DHCP, es importante que comprenda cómo habilitar la función de espionaje DHCP.

En un dispositivo Junos OS, no puede configurar la función de espionaje DHCP como una función independiente. Siempre que configure la seguridad DHCP para una VLAN específica del dispositivo, el espionaje DHCP se habilita automáticamente en esa VLAN para realizar su tarea.

Por ejemplo:

  • Cuando habilita la seguridad DHCP en una VLAN específica, la supervisión de DHCP se habilita automáticamente en esa VLAN.

Junos OS habilita la supervisión de DHCP en un conmutador:

  • Cuando configure la siguiente opción para cualquier característica de seguridad de puerto:

    • dhcp-security en el nivel jerárquico [edit vlans vlan-name forwarding-options].

Antes de Junos OS versión 17.1, Junos OS habilitaba automáticamente la supervisión de DHCP si configuraba alguna de las siguientes funciones de seguridad de puertos dentro de la jerarquía [edit vlans vlan-name forwarding-options]:

  • Inspección ARP dinámica (DAI)
  • Protección de origen IP
  • Opción 82 de DHCP
  • IP estática

A partir de Junos OS versión 17.1R1, puede configurar la supervisión de DHCP o DHCPv6 en una VLAN sin habilitar otras funciones de seguridad de puertos. Utilice la siguiente instrucción de configuración para habilitar la supervisión de DHCP:

[set vlans vlan-name forwarding-options dhcp-security].

Para obtener información adicional acerca de cómo habilitar la supervisión de DHCP, consulte Configuración de la seguridad de puertos (ELS)
Nota:

Para deshabilitar la supervisión de DHCP, debe eliminar la dhcp-security instrucción de la configuración. La supervisión de DHCP no se desactiva automáticamente cuando se deshabilitan otras funciones de seguridad de puertos.

Proceso de espionaje DHCP

El proceso de espionaje DHCP consta de los siguientes pasos:

Nota:

Cuando el espionaje DHCP está habilitado para una VLAN, todos los paquetes DHCP enviados desde dispositivos de red en esa VLAN se someten a espionaje DHCP. El enlace IP-MAC final se produce cuando el servidor DHCP envía un paquete DHCPACK al cliente DHCP.

  1. El dispositivo de red envía un paquete DHCPDISCOVER para solicitar una dirección IP.

  2. El conmutador reenvía el paquete al servidor DHCP.

  3. El servidor envía un paquete DHCPOFFER para ofrecer una dirección. Si el paquete DHCPOFFER procede de una interfaz de confianza, el conmutador reenvía el paquete al dispositivo de red.

  4. El dispositivo de red envía un paquete DHCPREQUEST para aceptar la dirección IP. El conmutador agrega un enlace de marcador de posición IP-MAC a la tabla de espionaje DHCP. La entrada se considera un marcador de posición hasta que se recibe un paquete DHCPACK del servidor. Hasta entonces, la dirección IP aún podría asignarse a otro host.

  5. El servidor envía un paquete DHCPACK para asignar la dirección IP o un paquete DHCPNAK para denegar la solicitud de dirección.

  6. El conmutador actualiza la base de datos DHCP según el tipo de paquete recibido:

    • Si el conmutador recibe un paquete DHCPACK, actualiza la información de concesión para los enlaces de direcciones IP-MAC en su base de datos.

    • Si el conmutador recibe un paquete DHCPNACK, elimina el marcador de posición.

Nota:

La base de datos DHCP se actualiza sólo después de enviar el paquete DHCPREQUEST.

Para obtener información general acerca de los mensajes que el cliente DHCP y el servidor DHCP intercambian durante la asignación de una dirección IP para el cliente, consulte la Guía de configuración de conceptos básicos del sistema de Junos OS.

Espionaje DHCPv6

A partir de Junos OS versión 14.1X53-D10, la supervisión DHCP es compatible con paquetes IPv6 en conmutadores EX 9200. La supervisión DHCP también se admite para paquetes IPv6. El proceso de espionaje DHCPv6 es similar al de espionaje DHCP, pero utiliza nombres diferentes para los mensajes intercambiados entre el cliente y el servidor para asignar direcciones IPv6. La Tabla 1 muestra los mensajes DHCPv6 y sus equivalentes DHCPv4.

Tabla 1: Mensajes DHCPv6 y mensajes equivalentes DHCPv4

Enviado por

Mensajes DHCPv6

Mensajes equivalentes a DHCPv4

Cliente

SOLICITAR

DHCPDISCOVER

Servidor

ANUNCIAR

DHCPOFFER

Cliente

SOLICITAR, RENOVAR, VOLVER A ENLAZAR

DHCPREQUEST

Servidor

RESPUESTA

DHCPACK/DHCPNAK

Cliente

LANZAMIENTO

DHCPRELEASE

Cliente

SOLICITUD DE INFORMACIÓN

DHCPINFORM

Cliente

RECHAZAR

DHCPDECLINE

Cliente

CONFIRMAR

ninguno

Servidor

RECONFIGURAR

DHCPFORCERENOVAR

Cliente

RELEVO-FORW, RELEVO-RESPUESTA

ninguno

Confirmación rápida para DHCPv6

La opción DHCPv6 Rapid Commit puede acortar el intercambio de mensajes entre el cliente y el servidor. Cuando el servidor lo admite y lo establece el cliente, esta opción acorta el intercambio de una retransmisión de cuatro vías a un protocolo de enlace de dos mensajes. Para obtener más información acerca de cómo habilitar la opción de confirmación rápida, consulte Configuración de confirmación rápida DHCPv6 (serie MX, serie EX).

Cuando la opción Confirmación rápida está habilitada, el intercambio de mensajes es el siguiente:

  1. El cliente DHCPv6 envía un mensaje SOLICIT que contiene una solicitud para que se prefiera la asignación rápida de dirección, prefijo y otros parámetros de configuración.

  2. Si el servidor DHCPv6 admite la asignación rápida, responde con un mensaje REP, que contiene la dirección IPv6 asignada y el prefijo y otros parámetros de configuración.

Acceso al servidor DHCP

El acceso de un conmutador al servidor DHCP se puede configurar de tres maneras:

El conmutador, los clientes DHCP y el servidor DHCP se encuentran en la misma VLAN

Cuando el conmutador, los clientes DHCP y el servidor DHCP son todos miembros de la misma VLAN, el servidor DHCP se puede conectar al conmutador de una de estas dos maneras:

Nota:

Para habilitar la supervisión de DHCP en la VLAN, configure la instrucción dhcp-security en la [edit vlans vlan-name forwarding-options] jerarquía.

  • (Consulte la figura 1.) El servidor está conectado directamente al mismo conmutador que el que está conectado a los clientes DHCP (los hosts o dispositivos de red que solicitan direcciones IP del servidor). La VLAN está habilitada para el espionaje DHCP a fin de proteger los puertos de acceso que no son de confianza. El puerto troncal está configurado de forma predeterminada como puerto de confianza.

  • (Consulte la figura 2.) El servidor está conectado a un conmutador intermediario (conmutador 2) que está conectado a través de un puerto troncal al conmutador (conmutador 1) al que están conectados los clientes DHCP. El conmutador 2 se está utilizando como conmutador de tránsito. La VLAN está habilitada para la supervisión de DHCP a fin de proteger los puertos de acceso que no son de confianza del conmutador 1. El puerto troncal está configurado de forma predeterminada como puerto de confianza. En la figura 2, ge-0/0/11 es un puerto troncal de confianza.

Figura 1: Servidor DHCP conectado directamente a un conmutador DHCP Server Connected Directly to a Switch
Figura 2: Servidor DHCP conectado directamente al conmutador 2, con el conmutador 2 conectado al conmutador 1 a través de un puerto DHCP Server Connected Directly to Switch 2, with Switch 2 Connected to Switch 1 Through a Trusted Trunk Port troncal de confianza

El conmutador actúa como servidor DHCP

Puede configurar las opciones del servidor local DHCP en el conmutador, lo que permite que el conmutador funcione como un servidor local DHCP extendido. En la figura 3, los clientes DHCP están conectados al servidor local DHCP extendido a través de puertos de acceso que no son de confianza.

Figura 3: El conmutador es el servidor Switch Is the DHCP Server DHCP

El conmutador actúa como un agente de retransmisión

El conmutador funciona como un agente de retransmisión cuando los clientes DHCP o el servidor DHCP están conectados al conmutador a través de una interfaz de capa 3 (en un conmutador o en un enrutador). Las interfaces de capa 3 del conmutador se configuran como interfaces VLAN enrutadas (RVI), también denominadas interfaces de enrutamiento y puente integrados (IRB). De forma predeterminada, las interfaces troncales son de confianza.

El conmutador puede actuar como agente de retransmisión en estos dos escenarios:

  • El servidor y los clientes DHCP se encuentran en VLAN diferentes.

  • El conmutador está conectado a un enrutador que, a su vez, está conectado al servidor DHCP. Consulte la figura 4.

Figura 4: Conmutador que actúa como agente de retransmisión al servidor DHCP a través de un enrutador Switch Acting as a Relay Agent Through a Router to the DHCP Server

Adiciones de direcciones IP estáticas a la base de datos de espionaje DHCP

Puede agregar direcciones IP estáticas (fijas) y enlazarlas a direcciones MAC fijas en la base de datos de espionaje DHCP. Estos enlaces se etiquetan como estáticos en la base de datos, mientras que los enlaces que se han agregado a través del proceso de espionaje DHCP se etiquetan como dinámicos. La asignación de direcciones IPv6 estáticas también está disponible para DHCPv6. Para obtener más información sobre la configuración, consulte Configuración de direcciones IP DHCP estáticas para la supervisión de DHCP.

Nota: Cuando configura y habilita la VLAN dinámica 802.1x, también se eliminan las entradas de espionaje DHCP. Por este motivo, se recomienda configurar un servidor DHCP para almacenar la información de concesión de los clientes y proporcionarles una dirección IP predecible incluso después de reiniciar el cliente (persistencia DHCP).

.

Documentación relacionada

Tabla de historial de cambios

La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
14,1 X 53-D35
A partir de Junos OS versión 14.1X53-D35, un dispositivo de red con una asignación IP fija desde el servidor DHCP se sustituye por un nuevo dispositivo con una dirección MAC diferente.
14,1 X 53-D10
A partir de Junos OS versión 14.1X53-D10, se admite la supervisión DHCP para paquetes IPv6 en conmutadores EX 9200.
13,2 x 51-D20
A partir de Junos OS versión 17.1R1, puede configurar la supervisión de DHCP o DHCPv6 en una VLAN sin habilitar otras funciones de seguridad de puerto configurando la dhcp-security instrucción CLI en el [edit vlans vlan-name forwarding-options dhcp-security].