Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

네트워크 보안을 위한 DHCP 스누핑

DHCP 스누핑 지원

DHCP(Dynamic Host Configuration Protocol)는 TCP/IP 네트워크에서 IP 주소 및 기타 관련 구성 정보를 네트워크 디바이스에 동적으로 할당하는 데 사용되는 네트워크 관리 프로토콜입니다.

DHCP 스누핑 작동 방식

DHCP(Dynamic Host Configuration Protocol)는 디바이스에 IP 주소를 동적으로 할당하여 더 이상 필요하지 않을 때 재사용할 수 있는 주소를 임대합니다. DHCP를 통해 IP 주소가 필요한 호스트 또는 엔드 디바이스는 LAN을 통해 DHCP 서버와 통신해야 합니다.

다음 그림에서는 DHCP 스누핑 프로세스를 보여 줍니다.

그림 1: DHCP 스누핑 DHCP Snooping

토폴로지에서 최종 사용자 디바이스는 Junos OS 디바이스(라우터, 스위치 또는 방화벽)에 연결됩니다. Junos OS 디바이스는 DHCP 클라이언트 및 DHCP 서버에 모두 연결됩니다. DHCP 릴레이 에이전트로 구성된 Junos OS 디바이스는 DHCP 클라이언트와 DHCP 서버 간의 인터페이스로 작동합니다. 이 Junos OS 디바이스는 DHCP 패킷을 검사합니다. DHCP 서버는 클라이언트에 IP 주소를 할당합니다.

Junos OS 디바이스의 DHCP 스누핑 기능은 다음 작업을 수행합니다.

  • 신뢰할 수 없는 소스에서 수신된 DHCP 메시지를 검증하고 잘못된 메시지를 필터링합니다.
  • 각 클라이언트에 임대된 IP 주소를 추출하고 데이터베이스를 구축합니다. DHCP 스누핑 데이터베이스(또는 바인딩 테이블)에는 각 DHCP 클라이언트의 IP 주소, MAC 주소 및 VLAN에 대한 정보가 포함됩니다.
  • DHCP 스누핑 바인딩 테이블을 사용하여 신뢰할 수 없는 호스트의 후속 요청을 검증합니다. 주니퍼 디바이스는 DHCP 요청이 신뢰할 수 있는 출처에서 오는 것임을 확인함으로써 유효한 DHCP 요청만 처리되도록 할 수 있습니다.

이러한 방식으로 DHCP 스누핑은 신뢰할 수 있는 DHCP 서버(신뢰할 수 있는 네트워크 포트에 연결된 서버)가 다운스트림 네트워크 디바이스에 할당하는 유효한 IP 주소를 추적하여 네트워크 보안의 수호자 역할을 합니다.

DHCPv6 릴레이 에이전트 스누핑

DHCPv6 릴레이 에이전트는 IPv6 네트워크에서 지원을 제공하여 DHCP 릴레이 에이전트를 향상시킵니다. DHCPv6 릴레이 에이전트는 DHCP 릴레이 에이전트가 IPv4 네트워크를 지원하는 방식과 유사하게 DHCPv6 클라이언트와 DHCPv6 서버 간에 메시지를 전달합니다. 클라이언트와 서버 사이에 여러 DHCPv6 릴레이 에이전트가 있는 다중 릴레이 토폴로지에서 스누핑을 사용하면 중간 릴레이 에이전트가 클라이언트의 유니캐스트 트래픽을 올바르게 처리하여 서버로 전달할 수 있습니다. 이 토폴로지의 스누핑에는 다음 작업이 포함됩니다.

  • DHCPv6 릴레이 에이전트는 포워딩 테이블별로 DHCPv6 UDP 서버 포트인 UDP 포트 547이 있는 필터를 사용하여 들어오는 유니캐스트 DHCPv6 패킷을 스누핑합니다.
  • 그런 다음 DHCPv6 릴레이 에이전트는 필터가 가로챈 패킷을 처리하여 DHCPv6 서버로 전달합니다.

DHCP 스누핑의 이점

  • DHCP 스누핑은 IP 주소를 필터링하여 추가 보안 계층을 제공할 수 있습니다. 필터링 프로세스는 네트워크 트래픽을 평가하여 확인되고 유효한 IP 주소로부터의 통신을 허용합니다.
  • DHCP 스누핑은 잘못된 포트 또는 잘못된 콘텐츠로 도착하는 DHCP 패킷을 필터링하여 네트워크에서 불량 DHCP 활동을 방지할 수 있습니다.

DHCP 로컬 서버에 대한 DHCP 스누핑 패킷 전달 지원 구성

DHCP 로컬 서버가 DHCP 스누핑 패킷을 처리하는 방법을 구성할 수 있습니다. 구성에 따라 DHCP 로컬 서버는 수신한 스누핑된 패킷을 전달하거나 드롭합니다.

표 1 은 DHCP 로컬 서버 스누핑 패킷에 대해 라우터가 수행하는 작업을 나타냅니다.

메모:

구성된 인터페이스는 계층에서 명령문으로 group 구성된 인터페이스입니다 [edit system services dhcp-local-server] . 구성되지 않은 인터페이스는 논리적 시스템/라우팅 인스턴스에 있지만 문에 의해 구성되지 않은 인터페이스입니다 group .

표 1: DHCP 로컬 서버 스누핑 패킷에 대한 작업

forward-snooped-clients 구성

구성된 인터페이스에 대한 작업

비구성 인터페이스에 대한 작업

forward-snooped-clients 구성되지 않음

떨어졌다

떨어졌다

all-interfaces

전달

전달

configured-interfaces

전달

떨어졌다

non-configured-interfaces

떨어졌다

전달

DHCP 로컬 서버에 대한 DHCP 스누핑 패킷 전달을 구성하려면 다음을 수행합니다.

  1. DHCP 로컬 서버를 구성할 것인지 지정합니다.
  2. DHCP 로컬 서버에 대해 DHCP 스누핑 패킷 전달을 활성화합니다.
  3. 스누핑된 패킷 전달에 지원되는 인터페이스를 지정합니다.

예를 들어, 구성된 인터페이스에서만 DHCP 스누핑 패킷을 전달하도록 DHCP 로컬 서버를 구성하려면 다음을 수행합니다.

참조

DHCP 릴레이 에이전트에 대한 DHCP 스누핑 패킷 지원 활성화 및 비활성화

DHCP 릴레이 에이전트는 두 부분으로 구성된 구성을 사용하여 DHCP 스누핑 패킷을 처리하는 방법을 결정합니다. 이 주제는 DHCP 릴레이 에이전트에 대한 스누핑 지원을 활성화 또는 비활성화하고, 선택적으로 기본 스누핑 구성을 재정의하는 첫 번째 절차에 대해 설명합니다.

DHCPv4 릴레이 에이전트에만 적용되는 두 번째 절차는 DHCP 릴레이 에이전트에 대한 DHCP 스누핑 패킷 포워딩 지원 구성에 설명되어 있으며, DHCP 릴레이 에이전트가 스누핑된 트래픽을 포워딩할지 또는 삭제할지를 지정하는 스누핑 클라이언트에 대한 포워딩 작업을 구성합니다.

DHCP 릴레이, 인터페이스 그룹 또는 그룹의 특정 인터페이스에 대해 DHCP를 전역으로 활성화 또는 비활성화할 수 있습니다.

기본적으로 DHCP 스누핑은 DHCP 릴레이에 대해 활성화됩니다. DHCP 스누핑 지원을 전역적으로 활성화 또는 비활성화:

  1. DHCP 릴레이 에이전트를 구성할 것인지 지정합니다.

    • DHCP 릴레이 에이전트의 경우:

    • DHCPv6 릴레이 에이전트의 경우:

  2. 기본 구성을 재정의하도록 지정합니다.

    • DHCP 릴레이 에이전트의 경우:

    • DHCPv6 릴레이 에이전트의 경우:

  3. DHCP 스누핑 지원을 활성화 또는 비활성화합니다.

    • DHCP 스누핑을 활성화하려면:

      • DHCP 릴레이 에이전트의 경우:

      • DHCPv6 릴레이 에이전트의 경우:

    • DHCP 스누핑을 비활성화하려면:

      • DHCP 릴레이 에이전트의 경우:

      • DHCPv6 릴레이 에이전트의 경우:

예를 들어 글로벌 DHCP 스누핑 지원을 활성화하려면 다음을 수행합니다.

인터페이스 그룹에 대한 DHCP 스누핑 지원을 활성화 또는 비활성화하려면:

  1. DHCP 릴레이 에이전트를 구성할 것인지 지정합니다.

    • DHCP 릴레이 에이전트의 경우:

    • DHCPv6 릴레이 에이전트의 경우:

  2. 명명된 그룹을 지정합니다.

    • DHCP 릴레이 에이전트의 경우:

    • DHCPv6 릴레이 에이전트의 경우:

  3. 기본 구성을 재정의하도록 지정합니다.

    • DHCP 릴레이 에이전트의 경우:

    • DHCPv6 릴레이 에이전트의 경우:

  4. DHCP 스누핑 지원을 활성화 또는 비활성화합니다.

    • DHCP 스누핑을 활성화하려면:

      • DHCP 릴레이 에이전트의 경우:

      • DHCPv6 릴레이 에이전트의 경우:

    • DHCP 스누핑을 비활성화하려면:

      • DHCP 릴레이 에이전트의 경우:

      • DHCPv6 릴레이 에이전트의 경우:

예를 들어, 그룹의 boston모든 인터페이스에서 DHCP 스누핑 지원을 활성화하려면:

특정 인터페이스에서 DHCP 스누핑 지원을 활성화 또는 비활성화하려면 다음을 수행합니다.

  1. DHCP 릴레이 에이전트를 구성할 것인지 지정합니다.

    • DHCP 릴레이 에이전트의 경우:

    • DHCPv6 릴레이 에이전트의 경우:

  2. 인터페이스를 포함하는 명명된 그룹을 지정합니다.

    • DHCP 릴레이 에이전트의 경우:

    • DHCPv6 릴레이 에이전트의 경우:

  3. DHCP 스누핑을 구성할 인터페이스를 지정합니다.

    • DHCP 릴레이 에이전트의 경우:

    • DHCPv6 릴레이 에이전트의 경우:

  4. 인터페이스의 기본 구성을 재정의하도록 지정합니다.

    • DHCP 릴레이 에이전트의 경우:

    • DHCPv6 릴레이 에이전트의 경우:

  5. DHCP 스누핑 지원을 활성화 또는 비활성화합니다.

    • DHCP 스누핑을 활성화하려면:

      • DHCP 릴레이 에이전트의 경우:

      • DHCPv6 릴레이 에이전트의 경우:

    • DHCP 스누핑을 비활성화하려면:

      • DHCP 릴레이 에이전트의 경우:

      • DHCPv6 릴레이 에이전트의 경우:

예를 들어, 그룹의 boston인터페이스 ge-2/1/8.0 에서 DHCP 스누핑 지원을 비활성화하려면 다음을 수행합니다.

그룹 sunnyvale내 인터페이스 ge-3/2/1.1 에서 DHCPv6 스누핑 지원을 활성화하려면:

참조

DHCP 스누핑 구성

다음 구성 옵션을 사용하여 전역적으로, 또는 인터페이스 그룹 또는 그룹의 특정 인터페이스에서 DHCP 스누핑을 활성화 또는 비활성화할 수 있습니다.
  • 인터페이스 그룹 설정
    DHCP 스누핑을 지원하는 명명된 인터페이스 그룹을 생성합니다. 이 그룹에는 공통 DHCP 또는 DHCPv6 릴레이 에이전트 구성이 있는 인터페이스가 포함되어야 합니다. 그룹에 인터페이스를 추가하려면 인터페이스 이름을 지정해야 합니다. DHCP 릴레이 에이전트는 트래픽을 포워딩 또는 드롭할지 결정할 때 이러한 인터페이스를 구성된 인터페이스로 간주합니다.

    • DHCP 릴레이 에이전트의 경우:

    • DHCPv6 릴레이 에이전트의 경우:
  • 기본 DHCP 릴레이 스누핑 재정의
    디바이스에서 기본 DHCP 릴레이 스누핑 구성을 재정의하여 스누핑 지원을 명시적으로 활성화 또는 비활성화할 수 있습니다. 종속 문 없이 문을 지정 overrides 하면 해당 계층 수준에서 모든 DHCP 릴레이 에이전트 재정의가 제거됩니다. 지정된 인터페이스 그룹 또는 지정된 인터페이스 그룹이 있는 특정 인터페이스에 대한 기본 구성을 재정의할 수 있습니다.
    글로벌 수준에서 DHCP 릴레이 에이전트 및 DHCPv6 릴레이 에이전트에 대해 각각 다음 문을 사용합니다.

    • DHCP 릴레이 에이전트의 경우

    • DHCPv6 릴레이 에이전트의 경우

    명명된 인터페이스 그룹의 경우, DHCP 릴레이 에이전트 및 DHCPv6 릴레이 에이전트에 대해 각각 다음 문을 사용합니다.

    • DHCP 릴레이 에이전트의 경우

    • DHCPv6 릴레이 에이전트의 경우
    그룹의 특정 인터페이스의 경우 DHCP 릴레이 에이전트 및 DHCPv6 릴레이 에이전트에 대해 각각 다음 문을 사용합니다.

    • DHCP 릴레이 에이전트의 경우

    • DHCPv6 릴레이 에이전트의 경우

  • 스누핑된 패킷 처리 활성화

    라우터는 패킷과 연관된 가입자가 없는 경우 기본적으로 스누핑된 패킷을 버립니다. 기본 DHCP 구성을 무시하고 릴레이 에이전트가 스누핑된 클라이언트에서 DHCP 메시지를 전달할 수 있도록 하려면 문을 명시적으로 구성해야 allow-snooped-clients 합니다.

    글로벌 수준에서 DHCP 릴레이 에이전트 및 DHCPv6 릴레이 에이전트에 대해 각각 다음 문을 사용합니다.

    • DHCP 릴레이 에이전트의 경우

    • DHCPv6 릴레이 에이전트의 경우

    인터페이스 그룹의 경우 DHCP 릴레이 에이전트 및 DHCPv6 릴레이 에이전트에 대해 각각 다음 문을 사용합니다.

    • DHCP 릴레이 에이전트의 경우

    • DHCPv6 릴레이 에이전트의 경우

    그룹 내 특정 인터페이스의 경우 다음 문을 사용합니다.

    • DHCP 릴레이 에이전트의 경우

    • DHCPv6 릴레이 에이전트의 경우

  • 스누핑된 클라이언트의 DHCP 메시지 전달 방지

    기본 DHCP 구성을 무시하고 릴레이 에이전트가 스누핑된 클라이언트의 메시지를 전달하지 못하도록 하려면 다음 명령을 사용합니다.

    글로벌 수준에서 DHCP 릴레이 에이전트 및 DHCPv6 릴레이 에이전트에 대해 각각 다음 문을 사용합니다.
    • DHCP 릴레이 에이전트의 경우
    • DHCPv6 릴레이 에이전트의 경우
    인터페이스 그룹의 경우 DHCP 릴레이 에이전트 및 DHCPv6 릴레이 에이전트에 대해 각각 다음 문을 사용합니다.
    • DHCP 릴레이 에이전트의 경우
    • DHCPv6 릴레이 에이전트의 경우
    그룹 내 특정 인터페이스의 경우 다음 문을 사용합니다.

    • DHCP 릴레이 에이전트의 경우

    • DHCPv6 릴레이 에이전트의 경우

  • 스누핑된 패킷 전달
    DHCP 릴레이 에이전트에 대한 DHCP 스누핑 패킷 전달을 활성화합니다. 모든 인터페이스, 모든 구성된 인터페이스 또는 구성되지 않은 인터페이스를 지정할 수 있습니다.

DHCP 스누핑 필터 비활성화

DHCP 스누핑은 수신 DHCP 패킷을 식별하여 DHCP 보안을 제공합니다. 기본 DHCP 스누핑 구성에서는 모든 트래픽이 스누핑됩니다. 선택적으로 문을 사용하여 forward-snooped-clients 스누핑된 트래픽을 평가하고 인터페이스가 그룹의 일부로 구성되었는지 여부에 따라 트래픽이 전달 또는 삭제되었는지 여부를 결정할 수 있습니다.

기본 구성과 문을 사용하는 forward-snooped-clients 구성 모두에서 모든 DHCP 트래픽은 하드웨어 컨트롤 플레인에서 라우팅 인스턴스의 라우팅 플레인으로 전달되어 모든 DHCP 패킷이 가로채도록 보장합니다. 메트로폴리탄 라우팅 링 토폴로지와 같은 특정 토폴로지에서 모든 DHCP 트래픽을 컨트롤 플레인으로 전달하면 과도한 트래픽이 발생할 수 있습니다. 구성 문은 no-snoop 유효한 경로를 가진 레이어 3 유니캐스트 패킷과 같이 하드웨어 컨트롤 플레인에서 직접 전달될 수 있는 DHCP 트래픽에 대한 스누핑 필터를 비활성화하여 해당 DHCP 패킷이 느린 라우팅 플레인을 우회하도록 합니다. Junos OS 릴리스 15.1R2부터 DHCP 스누핑 필터를 비활성화할 수 있습니다.

DHCP 로컬 서버에서 DHCP 스누핑 필터를 비활성화하려면 다음을 수행합니다.

  1. DHCP 로컬 서버를 구성할 것인지 지정합니다.
  2. DHCP 로컬 서버에 대한 DHCP 스누핑 필터를 비활성화합니다.
  3. DHCPv6 로컬 서버를 구성할 것인지 지정합니다.
  4. DHCPv6 로컬 서버에 대한 DHCP 스누핑 필터를 비활성화합니다.

DHCP 릴레이 서버에서 DHCP 스누핑 필터를 비활성화하려면 다음을 수행합니다.

  1. DHCP 릴레이 서버를 구성할 것인지 지정합니다.

  2. DHCP 로컬 서버에 대한 DHCP 스누핑 필터를 비활성화합니다.

  3. DHCPv6 릴레이 서버를 구성할 것인지 지정합니다.

  4. DHCPv6 로컬 서버에 대한 DHCP 스누핑 필터를 비활성화합니다.

참조

예: DHCP 릴레이 에이전트에 대한 DHCP 스누핑 지원 구성

이 예는 DHCP 릴레이 에이전트에 대한 DHCP 스누핑 지원을 구성하는 방법을 보여줍니다.

요구 사항

개요

이 예에서는 다음 작업을 완료하여 DHCP 릴레이 에이전트에 대한 DHCP 스누핑 지원을 구성합니다.

  • 기본 DHCP 스누핑 구성을 무시하고 그룹의 frankfurt인터페이스에 대한 DHCP 스누핑 지원을 활성화합니다.

  • 스누핑된 패킷을 구성된 인터페이스로만 전달하도록 DHCP 릴레이 에이전트를 구성합니다.

구성

절차

단계별 절차

DHCP 스누핑을 위한 DHCP 릴레이 지원을 구성하려면 다음을 수행합니다.

  1. DHCP 릴레이 에이전트를 구성할 것인지 지정합니다.

  2. DHCP 스누핑이 지원되는 인터페이스의 명명된 그룹을 지정합니다.

  3. 그룹에 포함할 인터페이스를 지정합니다. DHCP 릴레이 에이전트는 트래픽을 포워딩 또는 드롭할지 여부를 결정할 때 구성된 인터페이스로 간주합니다.

  4. 그룹에 대한 기본 구성을 재정의하도록 지정합니다.

  5. 그룹에 대한 DHCP 스누핑 지원을 활성화합니다.

  6. [edit forwarding-options dhcp-relay] 계층 수준으로 돌아가 포워딩 작업을 구성하고 DHCP 릴레이 에이전트가 구성된 인터페이스에서만 스누핑된 패킷을 포워딩하도록 지정합니다.

  7. DHCP 릴레이 에이전트에 대한 DHCP 스누핑 패킷 전달을 활성화합니다.

  8. 스누핑된 패킷이 구성된 인터페이스(그룹 frankfurt의 인터페이스)에서만 포워딩되도록 지정합니다.

결과

구성 모드에서 명령을 입력하여 show forwarding-options 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 수정하십시오. 다음 출력은 프랑크푸르트 그룹에서 구성된 인터페이스의 범위도 보여줍니다.

디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .

예: DHCPv6 릴레이 에이전트에 대한 DHCP 스누핑 지원 활성화

DHCPv6 릴레이 에이전트에 대한 스누핑 지원은 기본적으로 라우터에서 비활성화되어 있습니다. 이 예는 기본 DHCPv6 릴레이 에이전트 스누핑 구성을 재정의하여 명명된 인터페이스 그룹과 다른 명명된 그룹 내의 특정 인터페이스에 대해 DHCPv6 스누핑을 명시적으로 활성화하는 방법을 보여줍니다.

메모:

또한 계층 수준에서 문을 사용하여 allow-snooped-clients DHCPv6 스누핑 지원을 전역으로 [edit forwarding-options dhcp-relay dhcpv6 overrides] 활성화할 수 있습니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • MX 시리즈 5G 유니버설 라우팅 플랫폼

  • Junos OS 릴리스 12.1 이상

시작하기 전에:

개요

이 예에서는 기본 DHCPv6 릴레이 에이전트 스누핑 구성을 재정의하여 다음 모두에 대해 DHCP 스누핑을 명시적으로 활성화합니다.

  • 라는 그룹의 모든 인터페이스 boston

  • 라는 그룹의 인터페이스 ge-3/2/1.1sunnyvale

구성

기본 DHCPv6 릴레이 에이전트 스누핑 구성을 재정의하여 명명된 인터페이스 그룹 및 명명된 그룹 내의 특정 인터페이스에 대해 DHCPv6 스누핑을 명시적으로 활성화하려면 다음 작업을 수행합니다.

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣습니다.

명명된 인터페이스 그룹에 대한 DHCPv6 스누핑 지원 활성화

단계별 절차

명명된 인터페이스 그룹에 대한 DHCPv6 스누핑 지원을 활성화하려면:

  1. DHCPv6 릴레이 에이전트를 구성할 것인지 지정합니다.

  2. DHCPv6 스누핑을 활성화하려는 명명된 인터페이스 그룹을 지정합니다.

  3. 해당 그룹의 인터페이스에 대한 기본 DHCPv6 구성을 재정의하도록 지정합니다.

  4. 그룹의 boston모든 인터페이스에 대해 DHCPv6 스누핑 지원을 활성화합니다.

결과

구성 모드의 계층 수준에서 명령문을 [edit forwarding-options dhcp-relay] 발행 show 하여 구성 결과를 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

라우터 구성을 마친 경우, 구성 모드에서 을(를) 입력합니다 commit .

명명된 그룹의 특정 인터페이스에 대한 DHCPv6 스누핑 지원 활성화

단계별 절차

명명된 인터페이스 그룹 내의 특정 인터페이스에 대한 DHCPv6 스누핑 지원을 활성화하려면:

  1. [edit forwarding-options dhcp-relay dhcpv6] 계층 수준으로 돌아가 DHCPv6 릴레이 에이전트 구성을 지정합니다.

  2. 인터페이스를 포함하는 명명된 그룹을 지정합니다.

  3. DHCPv6 스누핑을 활성화하려는 그룹의 sunnyvale 인터페이스를 지정합니다.

  4. 그룹 sunnyvale의 인터페이스 ge-3/2/1.1 에 대한 기본 DHCPv6 구성을 재정의하도록 지정합니다.

  5. 그룹 sunnyvale의 인터페이스 ge-3/2/1.1 에 대한 DHCPv6 스누핑 지원을 활성화합니다.

결과

구성 모드의 계층 수준에서 명령문을 [edit forwarding-options dhcp-relay] 발행 show 하여 구성 결과를 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

라우터 구성을 마친 경우, 구성 모드에서 을(를) 입력합니다 commit .

확인

다중 릴레이 토폴로지에서 DHCPv6 구성을 확인하려면 다음 작업을 수행하십시오.

DHCPv6 릴레이 에이전트 클라이언트에 대한 주소 바인딩 확인

목적

DHCP(Dynamic Host Configuration Protocol) 클라이언트 테이블에서 DHCPv6 주소 바인딩을 확인합니다.

행동

DHCPv6 릴레이 에이전트 클라이언트의 주소 바인딩에 대한 자세한 정보를 표시합니다.

의미

명령 출력의 show dhcpv6 relay binding detail 필드는 Server Address 일반적으로 DHCPv6 서버의 IP 주소를 표시합니다. 이 예에서 필드 값은 unknown Server Address DHCPv6 릴레이 에이전트가 DHCPv6 서버에 직접 인접하지 않고 서버의 IP 주소를 감지하지 않는 다중 릴레이 토폴로지임을 나타냅니다.

이 경우 출력에는 DHCPv6 서버 방향의 다음 홉 주소를 표시하는 필드가 대신 포함됩니다 Next Hop Server Facing Relay .

참조

DHCP 스푸핑 방지

DHCP DHCP spoofing에서 가끔 발생하는 문제는 입니다. DHCP 스푸핑에서 신뢰할 수 없는 클라이언트는 DHCP 메시지로 네트워크를 플러딩합니다. 종종 이러한 공격은 공격의 실제 소스를 숨기기 위해 소스 IP 주소 스푸핑을 사용합니다.

DHCP 스누핑은 DHCP 메시지를 컨트롤 플레인에 복사하고 패킷의 정보를 사용하여 스푸핑 방지 필터를 생성함으로써 DHCP 스푸핑을 방지하는 데 도움이 됩니다. 스푸핑 방지 필터는 클라이언트의 MAC 주소를 DHCP 할당 IP 주소에 바인딩하고 이 정보를 사용하여 스푸핑된 DHCP 메시지를 필터링합니다. 일반적인 토폴로지에서 캐리어 에지 라우터(이 기능에서는 광대역 네트워크 게이트웨이[BNG]라고도 함)는 DHCP 서버와 MX 시리즈 라우터(또는 광대역 서비스 어그리게이터[BSA])를 연결하여 스누핑을 수행합니다. MX 시리즈 라우터는 클라이언트 및 BNG에 연결됩니다.

DHCP 스누핑을 구성하려면 DHCP 그룹 내에 적절한 인터페이스를 포함합니다. VPLS 환경 및 브리지 도메인에 대해 DHCP 스누핑을 구성할 수 있습니다.

  • VPLS 환경에서 DHCP 요청은 유사 회선을 통해 전달됩니다. 계층 수준에서 VPLS를 통해 DHCP 스누핑을 [edit routing-instances routing-instance-name] 구성합니다.

  • 브리지 도메인에서 DHCP 스누핑은 학습 브리지별로 작동합니다. 각 학습 도메인에는 업스트림 인터페이스가 구성되어 있어야 합니다. 이 인터페이스는 클라이언트 측에서 오는 DHCP 요청에 대한 플러드 포트 역할을 합니다. DHCP 요청은 브리지 도메인의 학습 도메인 간에 전달됩니다. 계층 수준의 브리지 도메인에서 DHCP 스누핑을 [edit routing-instances routing-instance-name bridge-domains bridge-domain-name] 구성합니다.

DHCP 스푸핑을 방지하기 위해 DHCP 릴레이를 구성하려면 다음을 수행합니다.

  1. VPLS 또는 브리지 도메인 구성에 적합한 계층에 액세스합니다.
  2. DHCP 릴레이를 구성할 것인지 지정합니다.
  3. 그룹을 만들고 이름을 지정합니다.

  4. 하나 이상의 인터페이스 이름을 지정합니다. DHCP는 지정된 인터페이스에서 학습된 MAC 주소만 신뢰합니다.
메모:

DHCP 스누핑 클라이언트에 대한 인터페이스 지원을 명시적으로 활성화 및 비활성화할 수 있습니다. DHCP 릴레이 에이전트에 대한 DHCP 스누핑 패킷 지원 활성화 및 비활성화를 참조하십시오.

참조

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

석방
묘사
15.1R2 시리즈
Junos OS 릴리스 15.1R2부터 DHCP 스누핑 필터를 비활성화할 수 있습니다.