EN ESTA PÁGINA
Espionaje DHCP para la seguridad de red
Soporte de espionaje DHCP
El Protocolo de configuración dinámica de host (DHCP) es un protocolo de administración de red utilizado en redes TCP/IP para asignar dinámicamente direcciones IP y otra información de configuración relacionada a los dispositivos de red.
Cómo funciona el espionaje DHCP
El Protocolo de configuración dinámica de host (DHCP) asigna dinámicamente direcciones IP a los dispositivos, alquilando direcciones que se pueden reutilizar cuando ya no se necesitan. Los hosts o dispositivos finales que requieren direcciones IP a través de DHCP deben comunicarse con un servidor DHCP a través de la LAN.
En la siguiente ilustración se muestra el proceso de espionaje de DHCP.
DHCP
En la topología, un dispositivo de usuario final se conecta a un dispositivo Junos OS (enrutador, conmutador o firewall). El dispositivo Junos OS se conecta tanto al cliente DHCP como al servidor DHCP. El dispositivo Junos OS configurado como agente de retransmisión DHCP funciona como interfaz entre los clientes DHCP y el servidor DHCP. Este dispositivo Junos OS inspecciona los paquetes DHCP. El servidor DHCP asigna direcciones IP a los clientes.
La función de espionaje DHCP en un dispositivo Junos OS realiza las siguientes acciones:
- Valida los mensajes DHCP recibidos de fuentes que no son de confianza y filtra los mensajes no válidos.
- Extrae la dirección IP concedida a cada cliente y crea una base de datos. La base de datos de espionaje DHCP (o tabla de enlace) incluye información sobre la dirección IP, la dirección MAC y la VLAN de cada cliente DHCP.
- Usa la tabla de enlace de espionaje DHCP para validar las solicitudes posteriores de hosts que no son de confianza. Al verificar que las solicitudes DHCP provienen de fuentes confiables, el dispositivo de Juniper puede asegurarse de que solo se procesen las solicitudes DHCP válidas.
De esta manera, el espionaje DHCP actúa como un guardián de la seguridad de la red al realizar un seguimiento de las direcciones IP válidas que un servidor DHCP de confianza (un servidor conectado a un puerto de red de confianza) asigna a los dispositivos de red descendentes.
Espionaje del agente de retransmisión DHCPv6
El agente de retransmisión DHCPv6 mejora el agente de retransmisión DHCP al proporcionar compatibilidad en una red IPv6. El agente de retransmisión DHCPv6 pasa mensajes entre el cliente DHCPv6 y el servidor DHCPv6, de forma similar a como el agente de retransmisión DHCP admite una red IPv4. En una topología de múltiples relés que tiene varios agentes de retransmisión DHCPv6 entre el cliente y el servidor, la supervisión permite a los agentes de retransmisión intermedios procesar correctamente el tráfico de unidifusión del cliente y reenviarlo al servidor. El espionaje en esta topología implica estas acciones:
- El agente de retransmisión DHCPv6 espía los paquetes DHCPv6 de unidifusión entrantes mediante un filtro con el puerto UDP 547, que es el puerto del servidor UDP DHCPv6, por tabla de reenvío.
- A continuación, el agente de retransmisión DHCPv6 procesa los paquetes interceptados por el filtro y los reenvía al servidor DHCPv6.
Beneficios del espionaje DHCP
- El espionaje DHCP puede proporcionar una capa de seguridad adicional al filtrar las direcciones IP. El proceso de filtrado evalúa el tráfico de red para permitir la comunicación desde direcciones IP verificadas y válidas.
- La supervisión de DHCP puede evitar la actividad no autorizada de DHCP en la red mediante el filtrado de paquetes DHCP que llegan a los puertos incorrectos o con contenido incorrecto.
Configuración de la compatibilidad de reenvío de paquetes espías DHCP para el servidor local DHCP
Puede configurar la forma en que el servidor local DHCP gestiona los paquetes DHCP espiados. Según la configuración, el servidor local DHCP reenvía o descarta los paquetes fisgones que recibe.
La Tabla 1 indica la acción que el router realiza para los paquetes espiados del servidor local DHCP.
Las interfaces configuradas son aquellas interfaces que se han configurado con la group instrucción en la [edit system services dhcp-local-server] jerarquía. Las interfaces no configuradas son aquellas que se encuentran en el sistema lógico/instancia de enrutamiento, pero que no han sido configuradas por la group instrucción.
forward-snooped-clients Configuración |
Acción en interfaces configuradas |
Acción en interfaces no configuradas |
|---|---|---|
|
Cayó |
Cayó |
|
Reenviado |
Reenviado |
|
Reenviado |
Cayó |
|
Cayó |
Reenviado |
Para configurar el reenvío de paquetes espía DHCP para el servidor local DHCP:
Por ejemplo, para configurar el servidor local DHCP para reenviar paquetes DHCP snooped solo en interfaces configuradas:
[edit]
system {
services {
dhcp-local-server {
forward-snooped-clients configured-interfaces;
}
}
}
Ver también
Habilitación y desactivación de paquetes espías DHCP Compatibilidad con el Agente de retransmisión DHCP
El agente de retransmisión DHCP utiliza una configuración de dos partes para determinar cómo manejar los paquetes espía DHCP. En este tema se describe el primer procedimiento, en el que se habilita o deshabilita la compatibilidad de espionaje para el agente de retransmisión DHCP y, opcionalmente, se invalida la configuración predeterminada de espionaje.
El segundo procedimiento, que sólo se aplica al agente de retransmisión DHCPv4, se describe en Configuración de la compatibilidad de reenvío de paquetes espías DHCP para el agente de retransmisión DHCP y configura la acción de reenvío para clientes fisgones, que especifica si el agente de retransmisión DHCP reenvía o descarta el tráfico espiado.
Puede habilitar o deshabilitar DHCP globalmente para la retransmisión DHCP, para un grupo de interfaces o para una interfaz específica de un grupo.
De forma predeterminada, el espionaje DHCP está habilitado para la retransmisión DHCP. Para habilitar o deshabilitar la compatibilidad con espionaje DHCP globalmente:
Por ejemplo, para habilitar la compatibilidad con espionaje DHCP global:
forwarding-options {
dhcp-relay {
overrides {
allow-snooped-clients;
}
}
}
Para habilitar o deshabilitar la compatibilidad con espionaje DHCP para un grupo de interfaces:
Especifique que desea configurar el agente de retransmisión DHCP.
Para el agente de retransmisión DHCP:
[edit] user@host# edit forwarding-options dhcp-relay
Para el agente de retransmisión DHCPv6:
[edit] user@host# edit forwarding-options dhcp-relay dhcpv6
Especifique el grupo con nombre.
Para el agente de retransmisión DHCP:
[edit forwarding-options dhcp-relay] user@host# edit group group-name
Para el agente de retransmisión DHCPv6:
[edit forwarding-options dhcp-relay dhcpv6] user@host# edit group group-name
Especifique que desea anular la configuración predeterminada.
Para el agente de retransmisión DHCP:
[edit forwarding-options dhcp-relay group group-name] user@host# edit overrides
Para el agente de retransmisión DHCPv6:
[edit forwarding-options dhcp-relay dhcpv6 group group-name] user@host# edit overrides
Habilite o deshabilite la compatibilidad con espionaje DHCP.
Para habilitar la supervisión de DHCP:
Para el agente de retransmisión DHCP:
[edit forwarding-options dhcp-relay group group-name overrides] user@host# set allow-snooped-clients
Para el agente de retransmisión DHCPv6:
[edit forwarding-options dhcp-relay dhcpv6 group group-name overrides] user@host# set allow-snooped-clients
Para desactivar la supervisión de DHCP:
Para el agente de retransmisión DHCP:
[edit forwarding-options dhcp-relay group group-name overrides] user@host# set no-allow-snooped-clients
Para el agente de retransmisión DHCPv6:
[edit forwarding-options dhcp-relay dhcpv6 group group-name overrides] user@host# set no-allow-snooped-clients
Por ejemplo, para habilitar la compatibilidad con espionaje DHCP en todas las interfaces del grupo boston:
forwarding-options {
dhcp-relay {
group boston {
overrides {
allow-snooped-clients;
}
}
}
}
Para habilitar o deshabilitar la compatibilidad con espionaje DHCP en una interfaz específica:
Especifique que desea configurar el agente de retransmisión DHCP.
Para el agente de retransmisión DHCP:
[edit] user@host# edit forwarding-options dhcp-relay
Para el agente de retransmisión DHCPv6:
[edit] user@host# edit forwarding-options dhcp-relay dhcpv6
Especifique el grupo con nombre que contiene la interfaz.
Para el agente de retransmisión DHCP:
[edit forwarding-options dhcp-relay] user@host# edit group group-name
Para el agente de retransmisión DHCPv6:
[edit forwarding-options dhcp-relay dhcpv6] user@host# edit group group-name
Especifique la interfaz para la que desea configurar la supervisión de DHCP.
Para el agente de retransmisión DHCP:
[edit forwarding-options dhcp-relay group group-name] user@host# edit interface interface-name
Para el agente de retransmisión DHCPv6:
[edit forwarding-options dhcp-relay dhcpv6 group group-name] user@host# edit interface interface-name
Especifique que desea anular la configuración predeterminada de la interfaz.
Para el agente de retransmisión DHCP:
[edit forwarding-options dhcp-relay group group-name interface interface-name] user@host# edit overrides
Para el agente de retransmisión DHCPv6:
[edit forwarding-options dhcp-relay dhcpv6 group group-name interface interface-name] user@host# edit overrides
Habilite o deshabilite la compatibilidad con espionaje DHCP.
Para habilitar la supervisión de DHCP:
Para el agente de retransmisión DHCP:
[edit forwarding-options dhcp-relay group group-name interface interface-name overrides] user@host# set allow-snooped-clients
Para el agente de retransmisión DHCPv6:
[edit forwarding-options dhcp-relay dhcpv6 group group-name interface interface-name overrides] user@host# set allow-snooped-clients
Para desactivar la supervisión de DHCP:
Para el agente de retransmisión DHCP:
[edit forwarding-options dhcp-relay group group-name interface interface-name overrides] user@host# set no-allow-snooped-clients
Para el agente de retransmisión DHCPv6:
[edit forwarding-options dhcp-relay dhcpv6 group group-name interface interface-name overrides] user@host# set no-allow-snooped-clients
Por ejemplo, para deshabilitar la compatibilidad con espionaje DHCP en la interfaz ge-2/1/8.0 del grupo boston:
forwarding-options {
dhcp-relay {
group boston {
interface ge-2/1/8.0 {
overrides {
no-allow-snooped-clients;
}
}
}
}
}
Para habilitar la compatibilidad con espionaje DHCPv6 en la interfaz ge-3/2/1.1 del grupo sunnyvale:
forwarding-options {
dhcp-relay {
dhcpv6 {
group sunnyvale {
interface ge-3/2/1.1 {
overrides {
allow-snooped-clients;
}
}
}
}
}
}
Ver también
Configuración de espionaje DHCP
Deshabilitar filtros de espionaje DHCP
La supervisión de DHCP proporciona seguridad DHCP mediante la identificación de paquetes DHCP entrantes. En la configuración predeterminada de espionaje DHCP, todo el tráfico se espía. Opcionalmente, puede utilizar la forward-snooped-clients instrucción para evaluar el tráfico espiado y determinar si el tráfico se reenvía o se descarta, en función de si la interfaz está configurada o no como parte de un grupo.
Tanto en la configuración predeterminada como en las configuraciones que utilizan la forward-snooped-clients instrucción, todo el tráfico DHCP se reenvía desde el plano de control de hardware al plano de enrutamiento de la instancia de enrutamiento para garantizar que se intercepten todos los paquetes DHCP. En ciertas topologías, como una topología de anillo de enrutamiento metropolitano, reenviar todo el tráfico DHCP al plano de control puede provocar un tráfico excesivo. La no-snoop instrucción de configuración deshabilita el filtro de espionaje para el tráfico DHCP que se puede reenviar directamente en el plano de control de hardware, como los paquetes de unidifusión de capa 3 con una ruta válida, lo que hace que esos paquetes DHCP omitan el plano de enrutamiento más lento. Puede desactivar los filtros de espionaje DHCP a partir de Junos OS versión 15.1R2.
Para deshabilitar los filtros de espionaje DHCP en el servidor local DHCP:
Para deshabilitar los filtros de espionaje DHCP en el servidor de retransmisión DHCP:
Especifique que desea configurar el servidor de retransmisión DHCP.
[edit] user@host# edit forwarding-options dhcp-relay
Deshabilite los filtros de espionaje DHCP para el servidor local DHCP.
[edit forwarding-options dhcp-relay] user@host# set no-snoop
Especifique que desea configurar el servidor de retransmisión DHCPv6.
[edit forwarding-options dhcp-relay] user@host# edit dhcpv6
Deshabilite los filtros de espionaje DHCP para el servidor local DHCPv6.
[edit forwarding-options dhcp-relay dhcpv6] user@host# set no-snoop
Ver también
Ejemplo: configuración de la compatibilidad de espionaje DHCP para el Agente de retransmisión DHCP
En este ejemplo se muestra cómo configurar la compatibilidad de espionaje DHCP para el agente de retransmisión DHCP.
Requisitos
Configure el agente de retransmisión DHCP. Consulte Descripción general extendida del agente de retransmisión DHCP.
Visión general
En este ejemplo, configure la compatibilidad de espionaje DHCP para el agente de retransmisión DHCP completando las siguientes operaciones:
Anule la configuración predeterminada de espionaje DHCP y habilite la compatibilidad con espionaje DHCP para las interfaces del grupo frankfurt.
Configure el agente de retransmisión DHCP para reenviar paquetes espiados solo a interfaces configuradas.
Configuración
Procedimiento
Procedimiento paso a paso
Para configurar la compatibilidad de retransmisión DHCP con la supervisión de DHCP:
Especifique que desea configurar el agente de retransmisión DHCP.
[edit] user@host# edit forwarding-options dhcp-relay
Especifique el grupo con nombre de interfaces en las que se admite la supervisión de DHCP.
[edit forwarding-options dhcp-relay] user@host# edit group frankfurt
Especifique las interfaces que desea incluir en el grupo. El agente de retransmisión DHCP las considera como las interfaces configuradas al determinar si se debe reenviar o eliminar el tráfico.
[edit forwarding-options dhcp-relay group frankfurt] user@host# set interface fe-1/0/1.3 upto fe-1/0/1.9
Especifique que desea reemplazar la configuración predeterminada del grupo.
[edit forwarding-options dhcp-relay group frankfurt] user@host# edit overrides
Habilite la compatibilidad de espionaje DHCP para el grupo.
[edit forwarding-options dhcp-relay group frankfurt overrides] user@host# set allow-snooped-clients
Vuelva al nivel de
[edit forwarding-options dhcp-relay]jerarquía para configurar la acción de reenvío y especifique que el agente de retransmisión DHCP reenvíe los paquetes fisgones solo en las interfaces configuradas:[edit forwarding-options dhcp-relay group frankfurt overrides] user@host# up 2
Habilite el reenvío de paquetes DHCP snooped para el agente de retransmisión DHCP.
[edit forwarding-options dhcp-relay] user@host# edit forward-snooped-clients
Especifique que los paquetes esnifados se reenvíen solo en interfaces configuradas (las interfaces del grupo
frankfurt).[edit forwarding-options dhcp-relay forward-snooped-clients] user@host# set configured-interfaces
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show forwarding-options comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregirla. El siguiente resultado también muestra un rango de interfaces configuradas en el grupo frankfurt.
[edit]
user@host# show forwarding-options
dhcp-relay {
forward-snooped-clients configured-interfaces;
group frankfurt {
overrides {
allow-snooped-clients;
}
interface fe-1/0/1.3 {
upto fe-1/0/1.9;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Ejemplo: habilitación de la compatibilidad de espionaje DHCP para el agente de retransmisión DHCPv6
La compatibilidad de espionaje para el agente de retransmisión DHCPv6 está deshabilitada en el enrutador de forma predeterminada. En este ejemplo se muestra cómo invalidar la configuración predeterminada de espionaje del agente de retransmisión DHCPv6 para habilitar explícitamente la supervisión de DHCPv6 para un grupo de interfaces con nombre y para una interfaz específica dentro de un grupo con nombre diferente.
También puede habilitar la compatibilidad de espionaje DHCPv6 globalmente mediante la allow-snooped-clients instrucción en el nivel de [edit forwarding-options dhcp-relay dhcpv6 overrides] jerarquía.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Plataformas de enrutamiento universal 5G serie MX
Junos OS versión 12.1 o posterior
Antes de empezar:
Configure el agente de retransmisión DHCPv6.
Consulte Descripción general del agente de retransmisión DHCPv6
Configure los grupos de interfaz del agente de retransmisión DHCPv6 denominados a los que desea aplicar una configuración DHCP común.
Consulte Agrupar interfaces con configuraciones comunes de DHCP
Visión general
En este ejemplo, se invalida la configuración predeterminada de espionaje del agente de retransmisión DHCPv6 para habilitar explícitamente la supervisión de DHCP para lo siguiente:
Todas las interfaces del grupo denominado
bostonInterfaz
ge-3/2/1.1en el grupo denominadosunnyvale
Configuración
Para invalidar la configuración predeterminada de espionaje del agente de retransmisión DHCPv6 para habilitar explícitamente la supervisión de DHCPv6 para un grupo de interfaces con nombre y para una interfaz específica dentro de un grupo con nombre, realice estas tareas:
- Configuración rápida de CLI
- Habilitación de la compatibilidad de espionaje DHCPv6 para un grupo de interfaces con nombre
- Habilitación de la compatibilidad de espionaje DHCPv6 para una interfaz específica de un grupo con nombre
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía.
set forwarding-options dhcp-relay dhcpv6 group boston overrides allow-snooped-clients set forwarding-options dhcp-relay dhcpv6 group sunnyvale interface ge-3/2/1.1 overrides allow-snooped-clients
Habilitación de la compatibilidad de espionaje DHCPv6 para un grupo de interfaces con nombre
Procedimiento paso a paso
Para habilitar la compatibilidad de espionaje DHCPv6 para un grupo de interfaces con nombre:
Especifique que desea configurar el agente de retransmisión DHCPv6.
[edit] user@host# edit forwarding-options dhcp-relay dhcpv6
Especifique el grupo con nombre de interfaces para las que desea habilitar la supervisión de DHCPv6.
[edit forwarding-options dhcp-relay dhcpv6] user@host# edit group boston
Especifique que desea invalidar la configuración predeterminada de DHCPv6 para las interfaces de ese grupo.
[edit forwarding-options dhcp-relay dhcpv6 group boston] user@host# edit overrides
Habilite la compatibilidad de espionaje DHCPv6 para todas las interfaces del grupo
boston.[edit forwarding-options dhcp-relay dhcpv6 group boston overrides] user@host# set allow-snooped-clients
Resultados
Desde el modo de configuración, confirme los resultados de la configuración emitiendo la show instrucción en el [edit forwarding-options dhcp-relay] nivel de jerarquía. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit forwarding-options dhcp-relay]
user@host# show
dhcpv6 {
group boston {
overrides {
allow-snooped-clients;
}
}
}
Cuando haya terminado de configurar el enrutador, ingrese commit desde el modo de configuración.
Habilitación de la compatibilidad de espionaje DHCPv6 para una interfaz específica de un grupo con nombre
Procedimiento paso a paso
Para habilitar la compatibilidad de espionaje DHCPv6 para una interfaz específica dentro de un grupo de interfaces con nombre:
Vuelva al nivel de jerarquía para especificar que desea configurar el
[edit forwarding-options dhcp-relay dhcpv6]agente de retransmisión DHCPv6.[edit forwarding-options dhcp-relay dhcpv6 group boston overrides] user@host# up 2
Especifique el grupo con nombre que contiene la interfaz.
[edit forwarding-options dhcp-relay dhcpv6] user@host# edit group sunnyvale
Especifique la interfaz del grupo
sunnyvalepara la que desea habilitar la supervisión de DHCPv6.[edit forwarding-options dhcp-relay dhcpv6 group sunnyvale] user@host# edit interface ge-3/2/1.1
Especifique que desea anular la configuración predeterminada de DHCPv6 para la interfaz
ge-3/2/1.1del gruposunnyvale.[edit forwarding-options dhcp-relay dhcpv6 group sunnyvale interface ge-3/2/1.1] user@host# edit overrides
Habilite la compatibilidad de espionaje DHCPv6 para la interfaz
ge-3/2/1.1del gruposunnyvale.[edit forwarding-options dhcp-relay dhcpv6 group sunnyvale interface ge-3/2/1.1 overrides] user@host# set allow-snooped-clients
Resultados
Desde el modo de configuración, confirme los resultados de la configuración emitiendo la show instrucción en el [edit forwarding-options dhcp-relay] nivel de jerarquía. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit forwarding-options dhcp-relay]
user@host# show
dhcpv6 {
group boston {
overrides {
allow-snooped-clients;
}
}
group sunnyvale {
interface ge-3/2/1.1 {
overrides {
allow-snooped-clients;
}
}
}
}
Cuando haya terminado de configurar el enrutador, ingrese commit desde el modo de configuración.
Verificación
Para comprobar la configuración de DHCPv6 en una topología de varios relés, realice esta tarea:
Comprobación de los enlaces de direcciones para clientes del agente de retransmisión DHCPv6
Propósito
Compruebe los enlaces de direcciones DHCPv6 en la tabla de clientes del Protocolo de configuración dinámica de host (DHCP).
Acción
Muestra información detallada sobre los enlaces de direcciones para clientes de agente de retransmisión DHCPv6.
user@host > show dhcpv6 relay binding detail
Session Id: 13
Client IPv6 Prefix: 2001:db8:0:8001::5/128
Client DUID: LL0x1-00:00:5e:00:53:02
State: BOUND(DHCPV6_RELAY_STATE_BOUND)
Lease Expires: 2011-11-21 06:14:50 PST
Lease Expires in: 293 seconds
Lease Start: 2011-11-21 06:09:50 PST
Incoming Client Interface: ge-3/2/1.1
Server Address: unknown
Next Hop Server Facing Relay: 2001:db8::2
Server Interface: none
Client Id Length: 10
Client Id: /0x00030001/0x00006503/0x0102
Significado
El Server Address campo en la salida del show dhcpv6 relay binding detail comando normalmente muestra la dirección IP del servidor DHCPv6. En este ejemplo, el valor unknown del Server Address campo indica que se trata de una topología de retransmisión múltiple en la que el agente de retransmisión DHCPv6 no está directamente adyacente al servidor DHCPv6 y no detecta la dirección IP del servidor.
En ese caso, el resultado incluye el Next Hop Server Facing Relay campo, que muestra la dirección del salto siguiente en la dirección del servidor DHCPv6.
Prevención de la suplantación de DHCP
Un problema que a veces ocurre con DHCP es DHCP spoofing. En la suplantación de DHCP, un cliente que no es de confianza inunda una red con mensajes DHCP. A menudo, estos ataques utilizan la suplantación de la dirección IP de origen para ocultar la verdadera fuente del ataque.
La supervisión de DHCP ayuda a prevenir la suplantación de DHCP, copiando los mensajes DHCP en el plano de control y utilizando la información de los paquetes para crear filtros antisuplantación de identidad. Los filtros antisuplantación enlazan la dirección MAC de un cliente a su dirección IP asignada por DHCP y utilizan esta información para filtrar los mensajes DHCP falsificados. En una topología típica, un enrutador perimetral de operadora (en esta función también conocido como puerta de enlace de red de banda ancha [BNG]) conecta el servidor DHCP y el enrutador de la serie MX (o agregador de servicios de banda ancha [BSA]) que realiza el espionaje. El enrutador de la serie MX se conecta al cliente y al BNG.
Para configurar la supervisión de DHCP, incluya las interfaces adecuadas dentro de un grupo DHCP. Puede configurar la supervisión de DHCP para entornos VPLS y dominios de puente.
En un entorno VPLS, las solicitudes DHCP se reenvían a través de pseudocables. Configurar la supervisión de DHCP a través de VPLS en el nivel de
[edit routing-instances routing-instance-name]jerarquía.En los dominios de puente, la supervisión de DHCP funciona por puente de aprendizaje. Cada dominio de aprendizaje debe tener configurada una interfaz ascendente. Esta interfaz actúa como puerto de inundación para las solicitudes DHCP procedentes del lado del cliente. Las solicitudes DHCP se reenvían a través de dominios de aprendizaje en un dominio puente. La supervisión de DHCP se configura en dominios de puente en el nivel de
[edit routing-instances routing-instance-name bridge-domains bridge-domain-name]jerarquía.
Para configurar la retransmisión DHCP para evitar la suplantación de DHCP:
Puede habilitar y deshabilitar explícitamente la compatibilidad de interfaz para clientes DHCP espeados. Consulte Habilitación y desactivación de la compatibilidad de paquetes espías DHCP con el Agente de retransmisión DHCP.
Ver también
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.