Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción de la snooping DHCP (ELS)

Nota:

En este tema se incluye información acerca de cómo habilitar la supersonía del protocolo de configuración dinámica de host (DHCP) cuando se usa Junos OS para conmutadores de la serie EX con compatibilidad con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta el software Junos OS que no admite ELS, consulte Descripción de la fisgonera DHCP (no ELS). Para obtener más información sobre ELS, consulte Uso de la CLI mejorada de software de capa 2.

La supervisión DHCP permite que el dispositivo de conmutación, que puede ser un conmutador o un enrutador, monitoree los mensajes DHCP recibidos de dispositivos no confiables conectados al dispositivo de conmutación. Cuando se habilita el espionaje DHCP en una VLAN, el sistema examina los mensajes DHCP enviados desde hosts no confiables asociados con la VLAN y extrae sus direcciones IP y la información de arrendamiento. Esta información se utiliza para crear y mantener la base de datos de espionaje DHCP. Solo se permite el acceso a la red a los hosts que se pueden verificar con esta base de datos.

Conceptos básicos de snooping dhcp

DHCP asigna direcciones IP dinámicamente, alquilando direcciones a dispositivos para que las direcciones puedan reutilizarse cuando ya no sean necesarias por los dispositivos a los que se les asignó. Los hosts y dispositivos finales que requieren direcciones IP obtenidas a través de DHCP deben comunicarse con un servidor DHCP en la LAN.

El espionaje DHCP actúa como guardián de la seguridad de la red mediante el seguimiento de direcciones IP válidas asignadas a los dispositivos de red descendentes por un servidor DHCP de confianza (el servidor está conectado a un puerto de red de confianza).

De forma predeterminada, todos los puertos de troncalización del conmutador son de confianza y todos los puertos de acceso no son de confianza para el espionaje DHCP.

A partir de Junos OS versión 18.4R1, el espionaje DHCP se produce en puertos de confianza para los siguientes conmutadores de la serie Juniper, EX2300, EX4600 y QFX5K. Antes de la versión 18.4R1 de Junos OS, para estos dispositivos, esto solo se aplicaba al espionaje DHCPv6. Además, el espionaje DHCP se produce en puertos de confianza para conmutadores serie EX9200 y Fusion Enterprises, que ejecutan la versión 19.1R1 y posteriores de Junos OS.

Puede configurar un puerto de acceso como de confianza o un puerto de troncalización como no confiable mediante la instrucción de configuración de anulación con la opción de confianza o no confiable .

Cuando se habilita el espionaje DHCP, la información de concesión del servidor se utiliza para crear la tabla de espionaje DHCP, también conocida como tabla de enlace DHCP. La tabla muestra los enlaces de dirección IP-MAC actuales, así como el tiempo de concesión, el tipo de enlace, los nombres de las VLAN e interfaces asociadas.

Las entradas de la tabla de espionaje DHCP se actualizan en los siguientes eventos:

  • Cuando un dispositivo de red libera una dirección IP (envía un mensaje DHCPRELEASE). En este caso, la entrada de asignación asociada se elimina de la base de datos.

  • Cuando mueve un dispositivo de red de una VLAN a otra. En este caso, normalmente el dispositivo necesita adquirir una nueva dirección IP. Por lo tanto, se actualiza su entrada en la base de datos, incluido el nombre de VLAN.

  • Cuando caduca el tiempo de arrendamiento (valor de tiempo de espera) asignado por el servidor DHCP. En este caso, la entrada asociada se elimina de la base de datos.

  • Cuando el dispositivo de red renueva su concesión enviando un mensaje DHCPREQUEST de unidifusión y recibiendo una respuesta positiva del servidor DHCP. En este caso, el tiempo de concesión se actualiza en la base de datos.

  • Si el dispositivo de red no puede llegar al servidor DHCP que originalmente concedió la concesión, envía un mensaje DHCPREQUEST de difusión y se vuelve a enlazar al servidor DHCP que responde. En este caso, el cliente recibe una nueva dirección IP y el enlace se actualiza en la tabla de espionaje DHCP.

  • A partir de Junos OS versión 14.1X53-D35, si un dispositivo de red con una asignación IP fija desde el servidor DHCP se sustituye por un dispositivo nuevo con una dirección MAC diferente, la nueva vinculación de dirección IP-MAC se almacena hasta que el servidor envía un mensaje DHCPACK; a continuación, la entrada de la tabla de espionaje DHCP se actualiza con el nuevo enlace de dirección.

Propina:

De forma predeterminada, los enlaces IP-MAC se pierden cuando se reinicia el conmutador, y los clientes DHCP (los dispositivos de red o hosts) deben volver a adquirir enlaces. Sin embargo, puede configurar los enlaces para que persistan estableciendo la dhcp-snooping-file instrucción para almacenar el archivo de base de datos de forma local o remota.

Puede configurar el conmutador para que espie las respuestas del servidor DHCP solo desde VLAN específicas. Esto evita la suplantación de mensajes del servidor DHCP.

Habilitación de la fisgonear DHCP

La inspección DHCP no está habilitada en la configuración predeterminada del conmutador. Junos OS habilita el espionaje DHCP de forma automática cuando configura cualquier función de seguridad de puerto en el [edit vlans vlan-name forwarding-options dhcp-security] nivel jerárquico. A partir de Junos OS versión 17.1R1, puede configurar la fisgonería DHCP o la inspección DHCPv6 en una VLAN sin habilitar otras funciones de seguridad de puerto mediante la configuración de la dhcp-security instrucción cli en .[edit vlans vlan-name forwarding-options dhcp-security] Habilita la inspección DHCP por VLAN, no por interfaz (puerto). Para obtener más información acerca de cómo habilitar la inspección de DHCP, consulte Configurar seguridad de puerto (ELS).

Nota:

Para deshabilitar la inspección dhcp, debe eliminar la dhcp-security instrucción de la configuración. La inspección DHCP no se deshabilita automáticamente cuando deshabilita otras funciones de seguridad de puerto.

Proceso de espionaje DHCP

El proceso de espionaje DHCP consta de los siguientes pasos:

Nota:

Cuando se habilita el espionaje DHCP para una VLAN, todos los paquetes DHCP enviados desde dispositivos de red en esa VLAN se someten a un espionaje DHCP. El enlace IP-MAC final se produce cuando el servidor DHCP envía un paquete DHCPACK al cliente DHCP.

  1. El dispositivo de red envía un paquete DHCPDISCOVER para solicitar una dirección IP.

  2. El conmutador reenvía el paquete al servidor DHCP.

  3. El servidor envía un paquete DHCPOFFER para ofrecer una dirección. Si el paquete DHCPOFFER procede de una interfaz de confianza, el conmutador reenvía el paquete al dispositivo de red.

  4. El dispositivo de red envía un paquete DHCPREQUEST para aceptar la dirección IP. El conmutador agrega un enlace de marcador de posición IP-MAC a la tabla de espionaje DHCP. La entrada se considera un marcador de posición hasta que se recibe un paquete DHCPACK del servidor. Hasta entonces, la dirección IP aún se podía asignar a otro host.

  5. El servidor envía un paquete DHCPACK para asignar la dirección IP o un paquete DHCPNAK para denegar la solicitud de dirección.

  6. El conmutador actualiza la base de datos DHCP según el tipo de paquete recibido:

    • Si el conmutador recibe un paquete DHCPACK, actualiza la información de arrendamiento para los enlaces de dirección IP-MAC en su base de datos.

    • Si el conmutador recibe un paquete DHCPNACK, elimina el marcador de posición.

Nota:

La base de datos DHCP se actualiza solo después de enviar el paquete DHCPREQUEST.

Para obtener información general acerca de los mensajes que el cliente DHCP y el servidor DHCP intercambian durante la asignación de una dirección IP para el cliente, consulte la Guía de configuración básica del sistema Junos OS.

Espionaje DHCPv6

A partir de la versión 14.1X53-D10 de Junos OS, se admite el espionaje DHCP para paquetes IPv6 en conmutadores EX 9200.También se admite el espionaje DHCP para paquetes IPv6. El proceso de espionaje DHCPv6 es similar al de la inspección dhcp, pero utiliza nombres diferentes para los mensajes intercambiados entre el cliente y el servidor para asignar direcciones IPv6. La tabla 1 muestra los mensajes DHCPv6 y sus equivalentes de DHCPv4.

Tabla 1: Mensajes DHCPv6 y mensajes equivalentes de DHCPv4

Enviado por

Mensajes DHCPv6

Mensajes equivalentes de DHCPv4

Cliente

SOLICITAR

DESCUBRIMIENTO DE DHCP

Servidor

ANUNCIAR

DHCPOFFER

Cliente

SOLICITAR, RENOVAR, REBIND

DHCPREQUEST

Servidor

RESPUESTA

DHCPACK/DHCPNAK

Cliente

LANZAMIENTO

DHCPRELEASE

Cliente

SOLICITUD DE INFORMACIÓN

DHCPINFORM

Cliente

RECHAZAR

DHCPDECLINE

Cliente

CONFIRMAR

Ninguno

Servidor

RECONFIGURAR

DHCPFORCERENEW

Cliente

RELAY-FORW, RELAY-REPLY

Ninguno

Confirmación rápida para DHCPv6

La opción de confirmación rápida DHCPv6 puede acortar el intercambio de mensajes entre el cliente y el servidor. Cuando es compatible con el servidor y establecido por el cliente, esta opción acorta el intercambio de una retransmisión de cuatro vías a un enlace de dos mensajes. Para obtener más información acerca de cómo habilitar la opción Confirmación rápida, consulte Configurar confirmación rápida DHCPv6 (serie MX, serie EX).

Cuando la opción Confirmar rápida está habilitada, el intercambio de mensajes es el siguiente:

  1. El cliente DHCPv6 envía un mensaje SOLICIT que contiene una solicitud para que se prefiera la asignación rápida de dirección, prefijo y otros parámetros de configuración.

  2. Si el servidor DHCPv6 admite la asignación rápida, responde con un mensaje REPLY, que contiene la dirección Y el prefijo IPv6 asignados y otros parámetros de configuración.

Acceso al servidor DHCP

El acceso de un conmutador al servidor DHCP se puede configurar de tres maneras:

El conmutador, los clientes DHCP y el servidor DHCP están todos en la misma VLAN

Cuando el conmutador, los clientes DHCP y el servidor DHCP son todos miembros de la misma VLAN, el servidor DHCP se puede conectar al conmutador de una de dos maneras:

Nota:

Para habilitar la inspección dhcp en la VLAN, configure la instrucción dhcp-security en la [edit vlans vlan-name forwarding-options] jerarquía.

  • (Consulte la figura 1.) El servidor se conecta directamente al mismo conmutador que el conectado a los clientes DHCP (los hosts o dispositivos de red que solicitan direcciones IP del servidor). La VLAN está habilitada para el espionaje DHCP para proteger los puertos de acceso que no son de confianza. El puerto de troncalización está configurado de forma predeterminada como un puerto de confianza.

  • (Consulte la figura 2.) El servidor está conectado a un conmutador intermedio (conmutador 2) que está conectado a través de un puerto troncal al conmutador (conmutador 1) al que están conectados los clientes DHCP. El conmutador 2 se utiliza como conmutador de tránsito. La VLAN está habilitada para el espionaje dhcp para proteger los puertos de acceso no confiables del conmutador 1. El puerto de troncalización está configurado de forma predeterminada como un puerto de confianza. En la Figura 2, ge-0/0/11 es un puerto troncal de confianza.

Figura 1: Servidor DHCP conectado directamente a un conmutador DHCP Server Connected Directly to a Switch
Figura 2: Servidor DHCP conectado directamente al conmutador 2, con el conmutador 2 conectado al conmutador 1 a través de un puerto DHCP Server Connected Directly to Switch 2, with Switch 2 Connected to Switch 1 Through a Trusted Trunk Port troncal de confianza

El conmutador actúa como el servidor DHCP

Puede configurar opciones de servidor local DHCP en el conmutador, lo que permite que el conmutador funcione como un servidor local DHCP extendido. En la figura 3, los clientes DHCP se conectan al servidor local DHCP extendido mediante puertos de acceso no confiables.

Figura 3: El conmutador es el servidor Switch Is the DHCP Server DHCP

El conmutador actúa como agente de retransmisión

El conmutador funciona como un agente de retransmisión cuando los clientes DHCP o el servidor DHCP están conectados al conmutador mediante una interfaz de capa 3 (en un conmutador o enrutador). Las interfaces de capa 3 del conmutador se configuran como interfaces VLAN enrutadas (RVI), también llamadas interfaces de enrutamiento y puente integrados (IRB). Las interfaces de troncalización son de confianza de forma predeterminada.

El conmutador puede actuar como agente de retransmisión en estos dos escenarios:

  • El servidor DHCP y los clientes se encuentran en distintas VLAN.

  • El conmutador está conectado a un enrutador que, a su vez, está conectado al servidor DHCP. Consulte la figura 4.

Figura 4: Conmutador que actúa como agente de relé a través de un enrutador al servidor Switch Acting as a Relay Agent Through a Router to the DHCP Server DHCP

Adiciones de direcciones IP estáticas a la base de datos de espionaje DHCP

Puede agregar direcciones IP estáticas (fijas) y enlazarlas a direcciones MAC fijas en la base de datos de espionaje DHCP. Estos enlaces se etiquetan como estáticos en la base de datos, mientras que los enlaces que se agregaron durante el proceso de inspección dhcp se etiquetan como dinámicos. La asignación de direcciones IPv6 estática también está disponible para DHCPv6. Para obtener más información sobre la configuración, consulte Configurar direcciones IP DHCP estáticas para la inspección DHCP.

Documentación relacionada

Tabla de historial de versiones
Lanzamiento
Descripción
14.1X53-D35
A partir de Junos OS versión 14.1X53-D35, un dispositivo de red con una asignación IP fija desde el servidor DHCP se sustituye por un nuevo dispositivo con una dirección MAC diferente.
14.1X53-D10
A partir de La versión 14.1X53-D10 de Junos OS, la inspección DHCP se admite para paquetes IPv6 en conmutadores EX 9200.
13.2X51-D20
A partir de Junos OS versión 17.1R1, puede configurar la fisgonería DHCP o la inspección DHCPv6 en una VLAN sin habilitar otras funciones de seguridad de puerto mediante la configuración de la dhcp-security instrucción cli en . [edit vlans vlan-name forwarding-options dhcp-security]