Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción de la supervisión de DHCP (no ELS)

Nota:

En este tema se incluye información sobre cómo habilitar la supervisión del Protocolo de configuración dinámica de host (DHCP) para conmutadores de la serie Junos EX que no admiten el software de capa 2 mejorado (ELS). Si el conmutador ejecuta una versión de Junos compatible con ELS, consulte Descripción de la supervisión de DHCP (ELS). Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.

La supervisión de DHCP permite que el dispositivo de conmutación, que puede ser un conmutador o un enrutador, supervise los mensajes DHCP recibidos de dispositivos que no son de confianza conectados al dispositivo de conmutación. Cuando el espionaje DHCP está habilitado en una VLAN, el sistema examina los mensajes DHCP enviados desde hosts no confiables asociados con la VLAN y extrae sus direcciones IP e información de concesión. Esta información se utiliza para crear y mantener la base de datos de espionaje DHCP. Solo los hosts que se pueden verificar con esta base de datos tienen acceso a la red.

Conceptos básicos de espionaje DHCP

El Protocolo de configuración dinámica de host (DHCP) asigna direcciones IP dinámicamente, arrendando direcciones a dispositivos para que las direcciones se puedan reutilizar cuando ya no sean necesarias. Los hosts y dispositivos finales que requieren direcciones IP obtenidas a través de DHCP deben comunicarse con un servidor DHCP a través de la LAN.

El espionaje DHCP actúa como guardián de la seguridad de la red al realizar un seguimiento de las direcciones IP válidas asignadas a los dispositivos de red descendentes por un servidor DHCP de confianza (el servidor está conectado a un puerto de red de confianza).

De forma predeterminada, todos los puertos troncales del conmutador son de confianza y todos los puertos de acceso no son de confianza para la supervisión de DHCP.

Cuando la supervisión de DHCP está habilitada, la información de concesión del dispositivo de conmutación se utiliza para crear la tabla de espionaje de DHCP, también conocida como tabla de enlace. La tabla muestra el enlace IP-MAC, así como el tiempo de concesión para la dirección IP, el tipo de enlace, el nombre de VLAN y la interfaz para cada host.

Nota:

La supervisión DHCP está deshabilitada en la configuración predeterminada del dispositivo de conmutación. Debe habilitar explícitamente la supervisión de DHCP estableciendo examine-dhcp en el nivel de [edit ethernet-switching-options secure-access-port] jerarquía.

Las entradas de la base de datos de espionaje DHCP se actualizan en estos eventos:

  • Cuando un cliente DHCP libera una dirección IP (envía un mensaje DHCPRELEASE). En este caso, la entrada de asignación asociada se elimina de la base de datos.

  • Si mueve un dispositivo de red de una VLAN a otra. En este caso, normalmente el dispositivo necesita adquirir una nueva dirección IP. Por lo tanto, se actualiza su entrada en la base de datos, incluido su ID de VLAN.

  • Cuando expira el tiempo de concesión (valor de tiempo de espera) asignado por el servidor DHCP. En este caso, la entrada asociada se elimina de la base de datos.

Propina:

De forma predeterminada, los enlaces IP-MAC se pierden cuando se reinicia el dispositivo de conmutación y los clientes DHCP (los dispositivos de red o los hosts) deben volver a adquirir los enlaces. Sin embargo, puede configurar los enlaces para que persistan estableciendo la dhcp-snooping-file instrucción para almacenar el archivo de base de datos de forma local o remota.

Puede configurar el dispositivo de conmutación para espiar las respuestas del servidor DHCP solo desde VLAN concretas. Esto evita la suplantación de mensajes del servidor DHCP.

La supervisión de DHCP se configura por VLAN, no por interfaz (puerto). La supervisión de DHCP está desactivada de forma predeterminada en los dispositivos de conmutación.

Proceso de espionaje DHCP

El proceso básico de espionaje DHCP consta de los siguientes pasos:

Nota:

Cuando el espionaje DHCP está habilitado para una VLAN, todos los paquetes DHCP enviados desde los dispositivos de red en esa VLAN se someten a espionaje DHCP. El enlace IP-MAC final se produce cuando el servidor DHCP envía DHCPACK al cliente DHCP.

  1. El dispositivo de red envía un paquete DHCPDISCOVER para solicitar una dirección IP.

  2. El dispositivo de conmutación reenvía el paquete al servidor DHCP.

  3. El servidor envía un paquete DHCPOFFER para ofrecer una dirección. Si el paquete DHCPOFFER procede de una interfaz de confianza, el dispositivo de conmutación reenvía el paquete al cliente DHCP.

  4. El dispositivo de red envía un paquete DHCPREQUEST para aceptar la dirección IP. El dispositivo de conmutación agrega un marcador de posición IP-MAC a la base de datos. La entrada se considera un marcador de posición hasta que se recibe un paquete DHCPACK del servidor. Hasta entonces, la dirección IP aún podría asignarse a otro host.

  5. El servidor envía un paquete DHCPACK para asignar la dirección IP o un paquete DHCPNAK para denegar la solicitud de dirección.

  6. El dispositivo de conmutación actualiza la base de datos de espionaje DHCP según el tipo de paquete recibido:

    • Si el dispositivo de conmutación recibe un paquete DHCPACK, actualiza la información de concesión para los enlaces IP-MAC en su base de datos.

    • Si el dispositivo de conmutación recibe un paquete DHCPNACK, elimina el marcador de posición.

Nota:

La base de datos de espionaje DHCP se actualiza sólo después de enviar el paquete DHCPREQUEST.

Para obtener información general acerca de los mensajes que el cliente DHCP y el servidor DHCP intercambian durante la asignación de una dirección IP para el cliente, consulte la Biblioteca de administración de Junos OS.

Espionaje DHCPv6

La supervisión de DHCPv6 es equivalente a la supervisión de DHCP para IPv6. El proceso de espionaje DHCPv6 es similar al de espionaje DHCP, pero utiliza nombres diferentes para los mensajes intercambiados entre el cliente y el servidor para asignar direcciones IPv6. La tabla 1 muestra los mensajes DHCPv6 y sus equivalentes DHCP.

Tabla 1: Mensajes DHCPv6 y mensajes DHCPv4 equivalentes

Enviado por

Mensajes DHCPv6

Mensajes DHCP equivalentes

Cliente

SOLICITAR

DHCPDISCOVER

Servidor

ANUNCIAR

DHCPOFFER

Cliente

SOLICITAR, RENOVAR, VOLVER A ENLAZAR

DHCPREQUEST

Servidor

RESPUESTA

DHCPACK/DHCPNAK

Cliente

LANZAMIENTO

DHCPRELEASE

Cliente

SOLICITUD DE INFORMACIÓN

DHCPINFORM

Cliente

RECHAZAR

DHCPDECLINE

Cliente

CONFIRMAR

ninguno

Servidor

RECONFIGURAR

DHCPFORCERENOVAR

Cliente

RELEVO-FORW, RELEVO-RESPUESTA

ninguno

Confirmación rápida para DHCPv6

DHCPv6 proporciona una opción de confirmación rápida (DHCPv6 opción 14), que, cuando el servidor admite y establece el cliente, acorta el intercambio de una retransmisión de cuatro vías a un protocolo de enlace de dos mensajes. Para obtener más información acerca de cómo habilitar la opción de confirmación rápida, consulte Configuración de confirmación rápida DHCPv6 (serie MX, serie EX).

En el proceso de confirmación rápida:

  1. El cliente DHCPv6 envía un mensaje SOLICIT que contiene una solicitud para que se prefiera la asignación rápida de dirección, prefijo y otros parámetros de configuración.

  2. Si el servidor DHCPv6 admite la asignación rápida, responde con un mensaje REP, que contiene la dirección IPv6 asignada y el prefijo y otros parámetros de configuración.

Acceso al servidor DHCP

Puede configurar el acceso de un dispositivo de conmutación al servidor DHCP de tres maneras:

El dispositivo de conmutación, los clientes DHCP y el servidor DHCP se encuentran en la misma VLAN

Cuando el dispositivo de conmutación, los clientes DHCP y el servidor DHCP son todos miembros de la misma VLAN, el servidor DHCP se puede conectar al dispositivo de conmutación de una de estas dos maneras:

  • El servidor está conectado directamente al mismo dispositivo de conmutación que el conectado a los clientes DHCP (los hosts o dispositivos de red que solicitan direcciones IP al servidor). La VLAN está habilitada para el espionaje DHCP a fin de proteger los puertos de acceso que no son de confianza. El puerto troncal está configurado de forma predeterminada como puerto de confianza. Consulte la figura 1.

  • El servidor está conectado a un dispositivo de conmutación intermediario (dispositivo de conmutación 2). Los clientes DHCP están conectados al dispositivo de conmutación 1, que está conectado a través de un puerto troncal al dispositivo de conmutación 2. El dispositivo de conmutación 2 se está utilizando como dispositivo de tránsito. La VLAN está habilitada para el espionaje DHCP a fin de proteger los puertos de acceso que no son de confianza. El puerto troncal está configurado de forma predeterminada como puerto de confianza. Como se muestra en la figura 2, ge-0/0/11 es un puerto troncal de confianza.

Figura 1: Servidor DHCP conectado directamente a un dispositivo DHCP Server Connected Directly to a Switching Device de conmutación
Figura 2: Servidor DHCP conectado directamente al dispositivo de conmutación 2, con el dispositivo de conmutación 2 conectado al dispositivo de conmutación 1 a través de un puerto DHCP Server Connected Directly to Switching Device 2, with Switching Device 2 Connected to Switching Device 1 Through a Trusted Trunk Port troncal de confianza

El dispositivo de conmutación actúa como servidor DHCP

Nota:

El dispositivo de conmutación que actúa como servidor DHCP no es compatible con la serie QFX.

El propio dispositivo de conmutación está configurado como un servidor DHCP; Esto se conoce como configuración local. Consulte la figura 3.

Figura 3: El dispositivo de conmutación es el servidor Switching Device Is the DHCP Server DHCP

El dispositivo de conmutación actúa como agente de retransmisión

El dispositivo de conmutación funciona como un agente de retransmisión cuando los clientes DHCP o el servidor DHCP están conectados al dispositivo a través de una interfaz de capa 3. Las interfaces de capa 3 en el dispositivo de conmutación se configuran como interfaces VLAN enrutadas (RVI), que también se conocen como interfaces de enrutamiento y puente integrados (IRB). De forma predeterminada, las interfaces troncales son de confianza.

Estos dos escenarios ilustran el dispositivo de conmutación que actúa como agente de retransmisión:

  • El servidor y los clientes DHCP se encuentran en VLAN diferentes.

  • El dispositivo de conmutación está conectado a un enrutador que a su vez está conectado al servidor DHCP. Consulte la figura 4.

Figura 4: Cambio de dispositivo que actúa como agente de retransmisión a través del enrutador al servidor Switching Device Acting as Relay Agent Through Router to DHCP Server DHCP

Adiciones de direcciones IP estáticas a la base de datos de espionaje DHCP

Puede agregar direcciones IP estáticas específicas a la base de datos, así como hacer que las direcciones se asignen dinámicamente a través de la supervisión de DHCP. Para agregar direcciones IP estáticas, proporcione la dirección IP, la dirección MAC del dispositivo, la interfaz en la que está conectado el dispositivo y la VLAN con la que está asociada la interfaz. No se asigna ningún tiempo de concesión a la entrada. La entrada configurada estáticamente nunca caduca.

Espionaje de paquetes DHCP que tienen direcciones IP no válidas

Si habilita la supervisión de DHCP en una VLAN y, a continuación, los dispositivos de esa VLAN envían paquetes DHCP que solicitan direcciones IP no válidas, estas direcciones IP no válidas se almacenan en la base de datos de espionaje DHCP hasta que se eliminan cuando se alcanza su tiempo de espera predeterminado. Para eliminar este consumo innecesario de espacio en la base de datos de espionaje DHCP, el dispositivo de conmutación descarta los paquetes DCHP que solicitan direcciones IP no válidas, evitando el espionaje de estos paquetes. Las direcciones IP no válidas son:

  • 0.0.0.0

  • 128.0.x.x

  • 191.255.x.x

  • 192.0.0.x

  • 223.255.255.x

  • 224.x.x.x

  • 240.x.x.x a 255.255.255.255

Priorización de paquetes espiados

Nota:

La priorización de paquetes esnoopados no se admite en la serie QFX ni en el conmutador EX4600.

Puede usar colas y clases de reenvío de clase de servicio (CoS) para priorizar los paquetes DHCP espiados para una VLAN especificada. Este tipo de configuración coloca los paquetes DHCP espiados para esa VLAN en una cola de salida especificada, de modo que el procedimiento de seguridad no interfiera con la transmisión del tráfico de alta prioridad.