Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Habilitación del espionaje DHCP (no ELS)

La supervisión DHCP permite que el conmutador monitoree y controle los mensajes DHCP recibidos de dispositivos no confiables conectados al conmutador. El conmutador crea y mantiene una base de datos de enlaces válidos entre direcciones IP y direcciones MAC (enlaces IP-MAC) denominadas base de datos de espionaje DHCP.

Nota:

Si configura el espionaje DHCP para todas las VLAN y habilita una función de seguridad de puerto diferente en una VLAN específica, también debe habilitar explícitamente la inspección dhcp en esa VLAN. De lo contrario, el valor predeterminado de ninguna inspección DHCP se aplica a esa VLAN.

Habilitación de la fisgonear DHCP

Configure el espionaje DHCP por VLAN, no por interfaz (puerto). De forma predeterminada, el espionaje DHCP está deshabilitado para todas las VLAN. Puede habilitar el espionaje DHCP en todas las VLAN o en VLAN específicas.

Para habilitar el espionaje DHCP:

  • En una VLAN específica:

  • En todas las VLAN:

Para habilitar el espionaje DHCPv6:

  • En una VLAN específica:

  • En todas las VLAN:

Propina:

De forma predeterminada, los enlaces IP-MAC se pierden cuando se reinicia el conmutador y los clientes DHCP (los dispositivos de red o hosts) deben volver a adquirir enlaces. Sin embargo, puede configurar los enlaces para que persistan estableciendo el conmutador para almacenar el archivo de base de datos de forma local o remota. Consulte Configurar enlaces persistentes en DHCP o DHCPv6 (sin ELS).

Propina:

Para VLAN privadas (PVLAN), habilite la inspección dhcp en la VLAN principal. Si habilita la supersiperación DHCP solo en una VLAN de la comunidad, los mensajes DHCP procedentes de puertos troncales PVLAN no se husmean.

Aplicación de clases de reenvío de CoS para priorizar paquetes husmeados

En los conmutadores de la serie EX, es posible que deba usar la clase de servicio (CoS) para proteger los paquetes de aplicaciones críticas de la caída durante períodos de congestión y retraso de la red, y también puede que tenga que configurar las funciones de seguridad de puerto de la inspección DHCP en los puertos a través de los cuales esos paquetes ingresan o salen.

Nota:

No se admite la priorización de paquetes husmeados mediante el uso de clases de reenvío de CoS en el conmutador serie QFX.

Para aplicar clases y colas de reenvío de CoS a paquetes husmeados:

  1. Cree una clase de reenvío definida por el usuario que se utilizará para priorizar paquetes de espionaje:
  2. Habilite el espionaje DHCP en una VLAN específica o en todas las VLAN y aplique la clase de reenvío necesaria en los paquetes husmeados:
    • En una VLAN específica:

    • En todas las VLAN:

    Nota:

    Reemplace examine-dhcp con examine-dhcpv6 para habilitar la inspección DHCPv6.

Verificar que el espionaje DHCP funciona correctamente

Propósito

Verifique que el espionaje DHCP esté funcionando en el conmutador y que la base de datos de espionaje DHCP se complete correctamente con enlaces dinámicos y estáticos.

Acción

Envíe algunas solicitudes DHCP desde dispositivos de red (aquí son clientes DHCP) conectados al conmutador.

Muestra la información de fisgoneo dhcp cuando la interfaz en la que se conecta el servidor DHCP al conmutador es de confianza. Los siguientes resultados de salida cuando se envían solicitudes desde las direcciones MAC y el servidor ha proporcionado las direcciones IP y los arrendamientos:

Significado

Cuando la interfaz en la que el servidor DHCP se conecta al conmutador se ha establecido en de confianza, la salida (consulte el ejemplo anterior) muestra, para cada dirección MAC, la dirección IP asignada y el tiempo de concesión, es decir, el tiempo, en segundos, que permanece antes de que expire la concesión. Las direcciones IP estáticas no tienen tiempo de concesión asignado. La entrada configurada estáticamente nunca caduca.

Si el servidor DHCP se hubiera configurado como no de confianza, no se agregarían entradas a la base de datos de espionaje DHCP y no se mostraría nada en la salida del show dhcp snooping binding comando.