Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción del snooping de DHCP (ELS)

Nota:

En este tema, se incluye información sobre cómo habilitar el espionaje del protocolo de configuración de host dinámico (DHCP) cuando se usa Junos OS para conmutadores de la serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador se ejecuta Junos OS software que no admite ELS, consulte Descripción del espionaje DHCP (que no es ELS). Para obtener más información sobre ELS, consulte Uso del software enhanced layer 2 CLI.

El monitoreo DHCP permite que el dispositivo de conmutación, que puede ser un conmutador o un enrutador, monitoree los mensajes DHCP recibidos de dispositivos que no sean de confianza conectados al dispositivo de conmutación. Cuando se habilita el espionaje de DHCP en una VLAN, el sistema examina los mensajes DHCP enviados desde hosts que no son de confianza asociados con la VLAN y extrae sus direcciones IP e información de concesión. Esta información se usa para crear y mantener la base de datos de espionaje DHCP. Solo se permite el acceso a la red a los hosts que se puedan comprobar con esta base de datos.

Fundamentos del snooping de DHCP

DHCP asigna direcciones IP dinámicamente, arrendadas a los dispositivos para que las direcciones puedan reutilizarse cuando los dispositivos a los que se les asignó ya no las necesiten. Los hosts y dispositivos finales que requieran direcciones IP obtenidas mediante DHCP deben comunicarse con un servidor DHCP a través de la LAN.

El rastreo de DHCP actúa como guardián de la seguridad de la red mediante el seguimiento de direcciones IP válidas asignadas a dispositivos de red descendente por un servidor DHCP de confianza (el servidor está conectado a un puerto de red de confianza).

De forma predeterminada, todos los puertos de troncalización del conmutador son de confianza y todos los puertos de acceso no son de confianza para el espionaje DHCP.

A partir de Junos OS versión 18.4R1, el espionaje de DHCP se produce en puertos de confianza para los siguientes conmutadores de la serie Juniper, EX2300, EX4600 y QFX5K. Antes de Junos OS versión 18.4R1, para estos dispositivos, esto solo era cierto para el espionaje DHCPv6. Además, el espionaje de DHCP se produce en puertos de confianza para conmutadores serie EX9200 y Fusion Enterprises, que se ejecutan en Junos OS versión 19.1R1 y posteriores.

Puede configurar un puerto de acceso como de confianza o un puerto de troncalización como no de confianza mediante la instrucción de configuración overrides con la opción de confianza o no de confianza.

Cuando se habilita el espionaje de DHCP, la información de alquiler del servidor se utiliza para crear la tabla de espionaje DHCP, también conocida como tabla de enlace DHCP. La tabla muestra los enlaces actuales de dirección IP-MAC, así como el tiempo de concesión, el tipo de enlace, los nombres de las VLAN e interfaces asociadas.

Las entradas de la tabla de espionaje DHCP se actualizan en los siguientes eventos:

  • Cuando un dispositivo de red libera una dirección IP (envía un mensaje DHCPRELEASE). En este caso, la entrada de asignación asociada se elimina de la base de datos.

  • Cuando mueve un dispositivo de red de una VLAN a otra. En este caso, normalmente el dispositivo necesita adquirir una nueva dirección IP. Por lo tanto, su entrada en la base de datos, incluido el nombre de VLAN, se actualiza.

  • Cuando caduca el tiempo de arrendar (valor de tiempo de espera) asignado por el servidor DHCP. En este caso, la entrada asociada se elimina de la base de datos.

  • Cuando el dispositivo de red renueve su concesión, envía un mensaje DHCP TFTP de unidifusión y recibe una respuesta positiva del servidor DHCP. En este caso, el tiempo de concesión se actualiza en la base de datos.

  • Si el dispositivo de red no puede comunicarse con el servidor DHCP que originalmente concedía la concesión, envía un mensaje DHCP TFTP de difusión y vuelve a acceder al servidor DHCP que responde. En este caso, el cliente recibe una nueva dirección IP y el enlace se actualiza en la tabla de espionaje DHCP.

  • A partir de la versión 14.1X53-D35 de Junos OS, si un dispositivo de red con una asignación IP fija del servidor DHCP se sustituye por un nuevo dispositivo con una dirección MAC diferente, el nuevo enlace de dirección IP-MAC se almacena hasta que el servidor envía un mensaje DHCPACK; luego, la entrada de la tabla de espionaje DHCP se actualiza con el enlace de dirección nueva.

Propina:

De forma predeterminada, los enlaces IP-MAC se pierden cuando se reinicia el conmutador y los clientes DHCP (los dispositivos de red o hosts) deben volver a consultar los enlaces. Sin embargo, puede configurar los enlaces para que persistan estableciendo la instrucción para almacenar el archivo de base de datos dhcp-snooping-file de forma local o remota.

Puede configurar el conmutador para que snoope las respuestas del servidor DHCP solo desde VLAN específicas. Esto evita la suplantación de mensajes del servidor DHCP.

Habilitar el espionaje de DHCP

El snooping de DHCP no está habilitado en la configuración predeterminada del conmutador. El snooping de DHCP se habilita automáticamente mediante Junos OS cuando se configura cualquier función de seguridad de puerto en el [edit vlans vlan-name forwarding-options dhcp-security] nivel jerárquico. A partir de Junos OS versión 17.1R1, puede configurar el espionaje DHCP o dhCPv6 en una VLAN sin habilitar otras funciones de seguridad de puerto mediante la configuración de la instrucción CLI en dhcp-security [edit vlans vlan-name forwarding-options dhcp-security] el . Active el espionaje DHCP por VLAN, no por interfaz (puerto). Para obtener más información acerca de cómo habilitar el espionaje DHCP, consulte Configuración de seguridad de puertos (ELS).

Nota:

Para deshabilitar el espionaje dhcp, debe eliminar la dhcp-security instrucción de la configuración. El snooping de DHCP no se deshabilita de forma automática cuando deshabilita otras funciones de seguridad de puertos.

Proceso de espionaje de DHCP

El proceso de espionaje de DHCP consta de los siguientes pasos:

Nota:

Cuando el snooping DHCP está habilitado para una VLAN, todos los paquetes DHCP enviados desde dispositivos de red en esa VLAN se somete a espionaje DHCP. El enlace IP-MAC final se produce cuando el servidor DHCP envía un paquete DHCPACK al cliente DHCP.

  1. El dispositivo de red envía un paquete DHCPDISCOVER para solicitar una dirección IP.

  2. El conmutador reenvía el paquete al servidor DHCP.

  3. El servidor envía un paquete DHCPOFFER para ofrecer una dirección. Si el paquete DHCPOFFER es de una interfaz de confianza, el conmutador reenvía el paquete al dispositivo de red.

  4. El dispositivo de red envía un paquete DHCP LEDS para aceptar la dirección IP. El conmutador agrega un enlace de marcador de posición IP-MAC a la tabla de snooping DHCP. La entrada se considera un marcador de posición hasta que se recibe un paquete DHCPACK del servidor. Hasta entonces, la dirección IP aún se podía asignar a algún otro host.

  5. El servidor envía un paquete DHCPACK para asignar la dirección IP o un paquete DHCP BUENA PARA denegar la solicitud de dirección.

  6. El conmutador actualiza la base de datos DHCP según el tipo de paquete recibido:

    • Si el conmutador recibe un paquete DHCPACK, actualiza la información de alquiler de los enlaces de dirección IP-MAC en su base de datos.

    • Si el conmutador recibe un paquete DHCPNACK, elimina el marcador de posición.

Nota:

La base de datos DHCP se actualiza solo después de enviar el paquete DHCP LEDs.

Para obtener información general acerca de los mensajes que intercambian el cliente DHCP y el servidor DHCP durante la asignación de una dirección IP para el cliente,consulte la Guía de configuración básica del Junos OS del sistema .

DHCPv6 Snooping

A partir de Junos OS versión 14.1X53-D10, el espionaje DHCP se admite para paquetes IPv6 en conmutadores EX 9200. También se admite el espionaje DHCP para paquetes IPv6. El proceso de espionaje DHCPv6 es similar al que se usa para el espionaje de DHCP, pero utiliza nombres diferentes para los mensajes intercambiados entre el cliente y el servidor para asignar direcciones IPv6. En la tabla 1 se muestran los mensajes DHCPv6 y sus equivalentes DHCPv4.

DHCPv4
Tabla 1: Mensajes DHCPv6 y mensajes equivalentes

Enviado por

Mensajes DHCPv6

Mensajes equivalentes DHCPv4

Cliente

SOLICITAR

DHCPDISCOVER

Servidor

ANUNCIAR

DHCPOFFER

Cliente

SOLICITUD, RENOVACIÓN, REENLACIÓN

DHCPREQUEST

Servidor

RESPUESTA

DHCPACK/DHCPNAK

Cliente

LANZAMIENTO

DHCPRELEASE

Cliente

SOLICITUD DE INFORMACIÓN

DHCPINFORM

Cliente

RECHAZAR

DHCPDECLINE

Cliente

CONFIRMAR

Ninguno

Servidor

RECONFIGURAR

DHCPFORCERENEW

Cliente

RELAY-FORW, RELAY-REPLY

Ninguno

Confirmación rápida para DHCPv6

La opción Confirmación rápida DHCPv6 puede acortar el intercambio de mensajes entre el cliente y el servidor. Cuando el servidor lo admite y el cliente lo establece, esta opción abrevia el intercambio de un relé de cuatro vías a un enlace de dos mensajes. Para obtener más información acerca de cómo habilitar la opción Confirmación rápida, consulte Configurar confirmación rápida DHCPv6 (serie MX, EX).

Cuando la opción Confirmación rápida está habilitada, el intercambio de mensajes es el siguiente:

  1. El cliente DHCPv6 envía un mensaje DE SOLICITUD que contiene una solicitud para que se prefiera la asignación rápida de dirección, prefijo y otros parámetros de configuración.

  2. Si el servidor DHCPv6 admite la asignación rápida, responde con un mensaje REPLY, el cual contiene la dirección IPv6 asignada y el prefijo y otros parámetros de configuración.

Acceso al servidor DHCP

El acceso de un conmutador al servidor DHCP se puede configurar de tres maneras:

El conmutador, los clientes DHCP y el servidor DHCP se encuentran todos en la misma VLAN

Cuando el conmutador, los clientes DHCP y el servidor DHCP son todos miembros de la misma VLAN, el servidor DHCP se puede conectar al conmutador de una de dos maneras:

Nota:

Para habilitar el snooping de DHCP en la VLAN, configure la instrucción dhcp-security en la [edit vlans vlan-name forwarding-options] jerarquía.

  • (Consulte la Figura 1.) El servidor está conectado directamente al mismo conmutador que el conectado a los clientes DHCP (los hosts o dispositivos de red que solicitan direcciones IP del servidor). La VLAN está habilitada para el espionaje DHCP para proteger los puertos de acceso que no son de confianza. El puerto de troncalización está configurado de forma predeterminada como un puerto de confianza.

  • (Consulte la Figura 2.) El servidor está conectado a un conmutador intermedio (conmutador 2) que está conectado a través de un puerto de troncalización al conmutador (conmutador 1) al que están conectados los clientes DHCP. El conmutador 2 se está utilizando como conmutador de tránsito. La VLAN está habilitada para el espionaje DHCP para proteger los puertos de acceso que no son de confianza del conmutador 1. El puerto de troncalización está configurado de forma predeterminada como un puerto de confianza. En la Figura 2,ge-0/0/11 es un puerto de troncalización de confianza.

Gráfico 1: Servidor DHCP conectado directamente a un conmutador DHCP Server Connected Directly to a Switch
Figura 2: Servidor DHCP conectado directamente al conmutador 2, con el conmutador 2 conectado al conmutador 1 a través de un puerto de troncalización de confianza DHCP Server Connected Directly to Switch 2, with Switch 2 Connected to Switch 1 Through a Trusted Trunk Port

El conmutador actúa como el servidor DHCP

Puede configurar las opciones del servidor local DHCP en el conmutador, lo que permite que el conmutador funcione como un servidor local DHCP extendido. En la Figura 3,los clientes DHCP se conectan al servidor local DHCP extendido a través de puertos de acceso que no son de confianza.

Gráfico 3: El conmutador es el servidor DHCP Switch Is the DHCP Server

El conmutador actúa como un agente de retransmisión

El conmutador funciona como un agente de retransmisión cuando los clientes DHCP o el servidor DHCP están conectados al conmutador a través de una interfaz de capa 3 (en un conmutador o enrutador). Las interfaces de capa 3 en el conmutador se configuran como interfaces VLAN enrutadas ( RVI), también llamadas interfaces de enrutamiento y puente integrados (IRB). De forma predeterminada, las interfaces troncales son de confianza.

El conmutador puede actuar como un agente de retransmisión en estos dos casos:

  • El servidor DHCP y los clientes se encuentran en distintas VLAN.

  • El conmutador está conectado a un enrutador que, a su vez, está conectado al servidor DHCP. Consulte la Figura 4.

Figura 4: Conmutador que actúa como agente de retransmisión a través de un enrutador al servidor DHCP Switch Acting as a Relay Agent Through a Router to the DHCP Server

Adiciones de direcciones IP estáticas a la base de datos de snooping DHCP

Puede agregar direcciones IP estáticas (fijas) y enlazarlas a direcciones MAC fijas en la base de datos de espionaje DHCP. Estos enlaces se etiquetan como estáticos en la base de datos, mientras que aquellos enlaces que se agregaron mediante el proceso de espionaje DHCP se etiquetan como dinámicos. La asignación de direcciones IPv6 estáticas también está disponible para DHCPv6. Para obtener detalles de configuración, consulte Configuración de direcciones IP DHCP estáticas para el espionaje DHCP.

Tabla del historial de versiones
Lanzamiento
Descripción
14.1X53-D35
A partir de Junos OS versión 14.1X53-D35, un dispositivo de red con una asignación IP fija del servidor DHCP se sustituye por un nuevo dispositivo con una dirección MAC diferente.
14.1X53-D10
A partir de Junos OS versión 14.1X53-D10, se admite el espionaje DHCP para paquetes IPv6 en conmutadores EX 9200.
13.2X51-D20
A partir de la versión 17.1R1 de Junos OS, puede configurar el espionaje DHCP o el espionaje DHCPv6 en una VLAN sin habilitar otras funciones de seguridad de puerto mediante la configuración de la instrucción CLI dhcp-security en [edit vlan-name forwarding-options dhcp-security].