Habilitación de la supervisión de DHCP (no ELS)
La supervisión de DHCP permite que el conmutador supervise y controle los mensajes DHCP recibidos de dispositivos que no son de confianza conectados al conmutador. El conmutador crea y mantiene una base de datos de enlaces válidos entre la dirección IP y las direcciones MAC (enlaces IP-MAC) denominada base de datos de espionaje DHCP.
Si configura la supervisión de DHCP para todas las VLAN y habilita una función de seguridad de puerto diferente en una VLAN específica, también debe habilitar explícitamente la supervisión de DHCP en esa VLAN. De lo contrario, el valor predeterminado de No snooping DHCP se aplica a esa VLAN.
Habilitación de la supervisión de DHCP
La supervisión de DHCP se configura por VLAN, no por interfaz (puerto). De forma predeterminada, la supervisión de DHCP está deshabilitada para todas las VLAN. Puede habilitar la supervisión de DHCP en todas las VLAN o en VLAN específicas.
Para habilitar la supervisión de DHCP:
En una VLAN específica:
[edit ethernet-switching-options secure-access port] user@switch# set vlan vlan-name examine-dhcp
En todas las VLAN:
[edit ethernet-switching-options secure-access port] user@switch# set vlan all examine-dhcp
Para habilitar el espionaje DHCPv6:
En una VLAN específica:
[edit ethernet-switching-options secure-access port] user@switch# set vlan vlan-name examine-dhcpv6
En todas las VLAN:
[edit ethernet-switching-options secure-access port] user@switch# set vlan all examine-dhcpv6
De forma predeterminada, los enlaces IP-MAC se pierden cuando se reinicia el conmutador y los clientes DHCP (los dispositivos de red o los hosts) deben volver a adquirir los enlaces. Sin embargo, puede configurar los enlaces para que persistan estableciendo el modificador para almacenar el archivo de base de datos de forma local o remota. Consulte Configuración de enlaces persistentes en DHCP o DHCPv6 (no ELS).
Para VLAN privadas (PVLAN), habilite la supervisión de DHCP en la VLAN principal. Si habilita la supervisión de DHCP solo en una VLAN de comunidad, los mensajes DHCP procedentes de puertos troncales PVLAN no se espiarán.
Aplicación de clases de reenvío de CoS para priorizar paquetes espiados
En los conmutadores de la serie EX, es posible que deba usar la clase de servicio (CoS) para proteger los paquetes de aplicaciones críticas para que no se caigan durante períodos de congestión y demora de la red, y es posible que también deba configurar las características de seguridad de puertos de la supervisión de DHCP en los puertos a través de los cuales entran o salen esos paquetes.
El conmutador serie QFX no admite la priorización de paquetes esnoopados mediante clases de reenvío CoS.
Para aplicar clases y colas de reenvío de CoS a paquetes espiados:
Comprobar que la supervisión de DHCP funciona correctamente
Propósito
Compruebe que la supervisión de DHCP funciona en el conmutador y que la base de datos de supervisión de DHCP se rellena correctamente con enlaces dinámicos y estáticos.
Acción
Envíe algunas solicitudes DHCP desde dispositivos de red (aquí son clientes DHCP) conectados al conmutador.
Muestre la información de espionaje DHCP cuando la interfaz en la que el servidor DHCP se conecta al conmutador sea de confianza. El siguiente resultado se produce cuando se envían solicitudes desde las direcciones MAC y el servidor ha proporcionado las direcciones IP y las concesiones:
user@switch> show dhcp snooping binding DHCP Snooping Information: MAC address IP address Lease (seconds) Type VLAN Interface 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee ge-0/0/2.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee ge-0/0/2.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee ge-0/0/2.0 00:05:85:27:32:88 192.0.2.22 — static data ge-0/0/4.0
Significado
Cuando la interfaz en la que el servidor DHCP se conecta al conmutador se ha establecido en de confianza, el resultado (consulte el ejemplo anterior) muestra, para cada dirección MAC, la dirección IP asignada y el tiempo de concesión, es decir, el tiempo, en segundos, restante antes de que expire la concesión. Las direcciones IP estáticas no tienen tiempo de concesión asignado. La entrada configurada estáticamente nunca caduca.
Si el servidor DHCP se hubiera configurado como no confiable, no se agregaría ninguna entrada a la base de datos de espionaje DHCP y no se mostraría nada en la salida del show dhcp snooping binding comando.