Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

DHCP Snooping

A espionagem do DHCP no dispositivo Junos OS valida mensagens DHCP e descarta tráfego inválido. Você pode configurar como o agente de retransmissão DHCP lida com pacotes bisbilhotados de DHCP. Dependendo da configuração, o agente de transmissão DHCP encaminha ou descarta os pacotes bisbilhotados que recebe. Para obter mais informações, leia este tópico.

Suporte para snooping dhcp

A espionagem DHCP oferece segurança adicional identificando os pacotes DHCP de entrada e rejeitando o tráfego DHCP determinado como inaceitável contra dispositivos não confiáveis na rede.

O que é DHCP Snooping

O DHCP aloca endereços IP dinamicamente, alugando endereços para dispositivos para que os endereços possam ser reutilizados quando não forem mais necessários pelos dispositivos aos quais foram atribuídos. Hosts e dispositivos finais que exigem endereços IP obtidos por DHCP devem se comunicar com um servidor DHCP em toda a LAN.

A espionagem do DHCP analisa os pacotes DHCP de entrada e examina as mensagens DHCP. Ele extrai seus endereços IP e informações de locação alocadas aos clientes e cria um banco de dados. Usando este banco de dados, ele pode determinar se os pacotes que chegam são dos clientes válidos — ou seja — os endereços IP dos clientes foram atribuídos pelo servidor DHCP. Dessa forma, a espionagem do DHCP atua como guardiã da segurança da rede, mantendo o controle de endereços IP válidos atribuídos a dispositivos de rede downstream por um servidor DHCP confiável (o servidor está conectado a uma porta de rede confiável).

Benefícios do DHCP Snooping

  • A espionagem DHCP oferece uma camada extra de segurança por meio de filtragem dinâmica de fontes IP.

  • A espionagem dhcp pode evitar atividades dhcp desonestos na rede filtrando pacotes DHCP que estão chegando nas portas erradas, ou com conteúdo incorreto.

Ativação do DHCP Snooping

Quando você está usando o recurso de espionagem DHCP, é importante que você entenda sobre como habilitar o recurso de espionagem DHCP.

No dispositivo Junos OS, você não pode configurar o recurso de espionagem DHCP como um recurso independente. Sempre que você configura a segurança DHCP ou o servidor DHCP ou DHCP para uma vLAN específica ou interface ou instância de roteamento do dispositivo, a espionagem DHCP é automaticamente habilitada naquela instância de VLAN/interface/roteamento para executar sua tarefa.

Por exemplo:

  • Quando você habilita o DHCP Relay em uma determinada lista de interfaces de uma instância de roteamento específica
  • A espionagem DHCP é habilitada automaticamente nessas interfaces para essa instância de roteamento.
  • Quando você habilita a segurança DHCP em um VLAN específico, a espionagem DHCP é habilitada automaticamente nesse VLAN.

O Junos OS permite a espionagem de DHCP em um switch/roteador/firewall em:

  • Uma instância de roteamento quando você configura as seguintes opções nessa instância de roteamento:

    • dhcp-relay declaração no nível [edit forwarding-options] de hierarquia.
    • dhcp-local-server declaração no nível [edit system services] de hierarquia.

  • Um switch quando você configura a seguinte opção para quaisquer recursos de segurança de porta:

    • dhcp-security declaração no nível [edit vlans vlan-name forwarding-options] de hierarquia.
Ponta:

Se você precisar configurar o retransmissão DHCP, use a forward-only declaração a menos que precise de gerenciamento de assinantes ou classe de serviço (CoS).

Recomendamos que você leia a documentação do DHCP e use um laboratório com traceoptions DHCP habilitados para verificar e entender a configuração.

Configuração do DHCP Snooping

Na configuração padrão de espionagem de DHCP, todo o tráfego é bisbilhotado.

No dispositivo Junos OS, a espionagem DHCP é habilitada em uma instância de roteamento quando você configura as seguintes opções nessa instância de roteamento:

  • dhcp-relaydeclaração no nível hierárquicos [edit forwarding-options]

  • dhcp-local-serverdeclaração no nível hierárquicos [edit system services]

  • Você pode usar opcionalmente a forward-snooped-clients declaração para avaliar o tráfego bisbilhotado e determinar se o tráfego é encaminhado ou descartado, com base na configuração ou não da interface como parte de um grupo.

O roteador descarta pacotes bisbilhotados por padrão se não houver assinante associado ao pacote. Para permitir o processamento normal de pacotes bisbilhotados, você deve configurar explicitamente a allow-snooped-clients declaração no nível hierárquica [edit forwarding-options dhcp-relay] .

Você pode configurar o suporte de espionagem DHCP para uma instância de roteamento específica para o seguinte:

  • Agente de retransmissão DHCPv4 — Anule a configuração padrão de snooping do roteador (ou switch) e especifique que a espionagem DHCP é habilitada ou desativada globalmente para um grupo de interfaces nomeada ou para uma interface específica dentro de um grupo nomeado.

    Em um procedimento separado, você pode definir uma configuração global para especificar se o agente de retransmissão DHCPv4 encaminha ou descarta pacotes bisbilhotados para todas as interfaces, apenas interfaces configuradas ou apenas interfaces não configuradas. O roteador também usa a configuração global de espionagem de agentes de transmissão DHCP para determinar se deve encaminhar ou soltar pacotes BOOTREPLY bisbilhotados. Uma solicitação de renovação pode ser unicast diretamente ao servidor DHCP. Este é um pacote BOOTPREQUEST e é bisbilhotado.

  • Agente de retransmissão DHCPv6 — Como você pode com o suporte de espionagem para o agente de retransmissão DHCPv4, você pode substituir a configuração padrão de espionagem do agente de retransmissão DHCPv6 no roteador para habilitar ou desativar explicitamente o suporte de espionagem globalmente, para um grupo de interfaces nomeadas ou para uma interface específica com um grupo de interfaces nomeado.

    Em topologias multitransmissão onde mais de um agente de retransmissão DHCPv6 está entre o cliente DHCPv6 e o servidor DHCPv6, a espionagem permite que agentes de transmissão DHCPv6 entre o cliente e o servidor recebam e processem corretamente o tráfego unicast do cliente e o encaminhem para o servidor. O agente de transmissão DHCPv6 bisbilhota pacotes DHCPv6 unicast de entrada configurando um filtro com a porta UDP 547 (a porta de servidor DHCPv6 UDP) em uma tabela de encaminhamento por encaminhamento. O agente de transmissão DHCPv6 então processa os pacotes interceptados pelo filtro e encaminha os pacotes para o servidor DHCPv6.

    Ao contrário do agente de retransmissão DHCPv4, o agente de retransmissão DHCPv6 não oferece suporte à configuração global do suporte de encaminhamento para pacotes bisbilhotados DHCPv6.

  • Servidor local DHCP — Configure se o servidor local DHCP encaminha ou derruba pacotes bisbilhotados para todas as interfaces, apenas interfaces configuradas ou apenas interfaces não configuradas.

  • Você também pode desativar filtros de espionagem. Nas configurações anteriores, todo o tráfego DHCP é encaminhado para o plano de roteamento mais lento da instância de roteamento antes de ser encaminhado ou descartado. A desativação de filtros de espionagem faz com que o tráfego DHCP possa ser encaminhado diretamente do plano de controle de hardware mais rápido para ignorar o plano de controle de roteamento.

Exemplo: Configuração do suporte de espionagem DHCP para agente de retransmissão DHCP

Este exemplo mostra como configurar o suporte de espionagem DHCP para agente de retransmissão DHCP.

Requisitos

Visão geral

Neste exemplo, você configura o suporte de espionagem DHCP para agente de retransmissão DHCP completando as seguintes operações:

  • Substitua a configuração padrão de espionagem DHCP e habilite o suporte de espionagem DHCP para as interfaces em grupo frankfurt.

  • Configure o agente de retransmissão DHCP para encaminhar pacotes bisbilhotados apenas para interfaces configuradas.

Configuração

Procedimento

Procedimento passo a passo

Para configurar o suporte de retransmissão DHCP para espionagem DHCP:

  1. Especifique se deseja configurar o agente de retransmissão DHCP.

  2. Especifique o grupo de interfaces nomeado em que a espionagem DHCP é suportada.

  3. Especifique as interfaces que você deseja incluir no grupo. O agente de retransmissão DHCP considera essas interfaces configuradas ao determinar se devem encaminhar ou soltar o tráfego.

  4. Especifique se deseja substituir a configuração padrão do grupo.

  5. Habilite o suporte de espionagem do DHCP para o grupo.

  6. Volte ao nível de [edit forwarding-options dhcp-relay] hierarquia para configurar a ação de encaminhamento e especifique que o agente de retransmissão DHCP encaminhe pacotes bisbilhotados apenas em interfaces configuradas:

  7. Habilite o encaminhamento de pacotes bisbilhotados dhcp para agente de retransmissão DHCP.

  8. Especifique que os pacotes bisbilhotados são encaminhados apenas em interfaces configuradas (as interfaces em grupo frankfurt).

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show forwarding-options comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigi-la. A saída a seguir também mostra uma variedade de interfaces configuradas no grupo de Frankfurt.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do dhcp snooped packets suporte de encaminhamento para agente de retransmissão DHCP

Você pode configurar como o agente de retransmissão DHCP lida com pacotes bisbilhotados de DHCP. Dependendo da configuração, o agente de transmissão DHCP encaminha ou descarta os pacotes bisbilhotados que recebe.

O retransmissão DHCP usa uma configuração de duas partes para determinar como lidar com pacotes bisbilhotados de DHCP. Este tópico descreve como você usa a declaração para gerenciar se o forward-snooped-clients agente de retransmissão DHCP encaminha ou derruba pacotes bisbilhotados, dependendo do tipo de interface em que os pacotes são bisbilhotados. Na outra parte da configuração de espionagem do agente de retransmissão DHCP, você habilita ou desativa o recurso de espionagem de transmissão de DHCP.

A Tabela 1 mostra a ação que o roteador ou switch toma em pacotes bisbilhotados quando a allow-snooped-clients espionagem do DHCP é habilitada pela declaração.

O roteador ou switch também usa a configuração do suporte de encaminhamento de agente de retransmissão DHCP para determinar como lidar com pacotes BOOTREPLY bisbilhotados.

Tabela 1: Ações para agente de retransmissão dhcp bisbilhotou pacotes quando a espionagem DHCP é habilitada

forward-snooped-clients Configuração

Ação em interfaces configuradas

Ação em interfaces não configuradas

forward-snooped-clients não configurado

pacotes bisbilhotados resultam na criação de assinantes (cliente DHCP)

Deixou cair

all-interfaces

Encaminhado

Encaminhado

configured-interfaces

Encaminhado

Deixou cair

non-configured-interfaces

pacotes bisbilhotados resultam na criação de assinantes (cliente DHCP)

Encaminhado

A Tabela 2 mostra a ação que o roteador (ou switch) toma em pacotes bisbilhotados quando a no-allow-snooped-clients espionagem do DHCP é desativada pela declaração.

Tabela 2: Ações para agente de retransmissão de DHCP bisbilhotam pacotes quando a espionagem do DHCP é desativada

forward-snooped-clients Configuração

Ação em interfaces configuradas

Ação em interfaces não configuradas

forward-snooped-clients não configurado

Deixou cair

Deixou cair

all-interfaces

Deixou cair

Encaminhado

configured-interfaces

Deixou cair

Deixou cair

non-configured-interfaces

Deixou cair

Encaminhado

A Tabela 3 mostra a ação que o roteador (ou switch) toma para os pacotes BOOTREPLY bisbilhotados.

Tabela 3: Ações para pacotes SNOOPED BOOTREPLY

forward-snooped-clients Configuração

Ação

forward-snooped-clients não configurado

pacotes bisbilhotados BOOTREPLY descartados se o cliente não for encontrado

forward-snooped-clients todas as configurações

BOOTREPLY pacotes bisbilhotados encaminhados se o cliente não for encontrado

Interfaces configuradas foram configuradas com a group declaração na [edit forwarding-options dhcp-relay] hierarquia. Interfaces não configuradas estão na instância lógica de sistema/roteamento, mas não foram configuradas pela group declaração.

Para configurar o encaminhamento de pacotes bisbilhotados de DHCP e o encaminhamento de pacotes SNOOPREPLY para agente de transmissão DHCP:

  1. Especifique se deseja configurar o agente de retransmissão DHCP.
  2. Habilite o encaminhamento de pacotes bisbilhotados para DHCP.
  3. Especifique as interfaces que são suportadas para o encaminhamento de pacotes bisbilhotados.

Por exemplo, para configurar o agente de retransmissão DHCP para encaminhar pacotes bisbilhotados de DHCP em apenas interfaces configuradas:

Documentação relacionada