Supervisión de DHCP para la seguridad de la red
Soporte de DHCP Snooping
El protocolo de configuración dinámica de host (DHCP) es un protocolo de administración de red que se utiliza en las redes TCP/IP para asignar dinámicamente direcciones IP y otra información de configuración relacionada a los dispositivos de red.
Cómo funciona la supervisión de DHCP
El protocolo de configuración dinámica de host (DHCP) asigna dinámicamente direcciones IP a los dispositivos, alquilando direcciones que se pueden reutilizar cuando ya no se necesitan. Los hosts o dispositivos finales que requieren direcciones IP a través de DHCP deben comunicarse con un servidor DHCP a través de la LAN.
En la siguiente ilustración se muestra el proceso de supervisión de DHCP.
DHCP
En la topología, un dispositivo de usuario final se conecta a un dispositivo de Junos OS (enrutador, conmutador o firewall). El dispositivo de Junos OS se conecta al cliente DHCP y al servidor DHCP. El dispositivo de Junos OS configurado como un agente de retransmisión DHCP funciona como la interfaz entre los clientes DHCP y el servidor DHCP. Este dispositivo Junos OS inspecciona paquetes DHCP. El servidor DHCP asigna direcciones IP a los clientes.
La función de espionaje DHCP en un dispositivo Junos OS realiza las siguientes acciones:
- Valida los mensajes DHCP recibidos de fuentes que no son de confianza y filtra los mensajes no válidos.
- Extrae la dirección IP concedida a cada cliente y crea una base de datos. La base de datos de espionaje DHCP (o tabla de enlaces) incluye información sobre la dirección IP, la dirección MAC y la VLAN de cada cliente DHCP.
- Utiliza la tabla de enlace de espionaje DHCP para validar las solicitudes posteriores de hosts que no son de confianza. Al verificar que las solicitudes DHCP provienen de fuentes confiables, el dispositivo Juniper puede garantizar que solo se procesen solicitudes DHCP válidas.
De esta manera, la supervisión de DHCP actúa como un guardián de la seguridad de red al realizar un seguimiento de las direcciones IP válidas que un servidor DHCP confiable (un servidor conectado a un puerto de red de confianza) asigna a los dispositivos de red posteriores.
Supervisión de agentes de retransmisión DHCPv6
El agente de retransmisión DHCPv6 mejora el agente de retransmisión DHCP al proporcionar compatibilidad en una red IPv6. El agente de retransmisión DHCPv6 pasa mensajes entre el cliente DHCPv6 y el servidor DHCPv6, de manera similar a la forma en que el agente de retransmisión DHCP admite una red IPv4. En una topología de retransmisión múltiple que tiene varios agentes de retransmisión DHCPv6 entre el cliente y el servidor, la supervisión permite que los agentes de retransmisión intermedios procesen correctamente el tráfico de unidifusión desde el cliente y lo reenvíen al servidor. La intromisión en esta topología implica estas acciones:
- El agente de retransmisión DHCPv6 espía los paquetes DHCPv6 de unidifusión entrantes mediante un filtro con el puerto UDP 547, que es el puerto del servidor UDP DHCPv6, por tabla de reenvío.
- Luego, el agente de retransmisión DHCPv6 procesa los paquetes interceptados por el filtro y los reenvía al servidor DHCPv6.
Beneficios de la supervisión de DHCP
- La supervisión de DHCP puede proporcionar una capa de seguridad adicional al filtrar las direcciones IP. El proceso de filtrado evalúa el tráfico de red para permitir la comunicación desde direcciones IP verificadas y válidas.
- La supervisión de DHCP puede evitar la actividad de DHCP no autorizado en la red al filtrar los paquetes DHCP que llegan a los puertos incorrectos o con contenido incorrecto.
Configuración de la compatibilidad de reenvío de paquetes espionados DHCP para el servidor local DHCP
Puede configurar cómo el servidor local DHCP gestiona los paquetes espiados por DHCP. Según la configuración, el servidor local DHCP reenvía o descarta los paquetes espiados que recibe.
La tabla 1 indica la acción que realiza el enrutador para los paquetes espiados del servidor local DHCP.
Las interfaces configuradas son aquellas interfaces que se han configurado con la group instrucción en la [edit system services dhcp-local-server] jerarquía. Las interfaces no configuradas son aquellas que se encuentran en la instancia de enrutamiento o sistema lógico, pero que no se configuraron mediante la group instrucción.
forward-snooped-clients Configuración |
Acción en interfaces configuradas |
Acción en interfaces no configuradas |
|---|---|---|
|
Eliminado |
Eliminado |
|
reenviado |
reenviado |
|
reenviado |
Eliminado |
|
Eliminado |
reenviado |
Para configurar el reenvío de paquetes espionados de DHCP para el servidor local DHCP:
Por ejemplo, para configurar el servidor local DHCP para reenviar paquetes espiados por DHCP solo en interfaces configuradas:
[edit]
system {
services {
dhcp-local-server {
forward-snooped-clients configured-interfaces;
}
}
}
Ver también
Habilitar y deshabilitar la compatibilidad de paquetes espionados DHCP para el agente de retransmisión DHCP
El agente de retransmisión DHCP utiliza una configuración de dos partes para determinar cómo manejar los paquetes espiados por DHCP. En este tema se describe el primer procedimiento, en el que se habilita o deshabilita la compatibilidad con espionaje para el agente de retransmisión DHCP y, opcionalmente, se anula la configuración predeterminada de espionaje.
El segundo procedimiento, que solo se aplica al agente de retransmisión DHCPv4, se describe en Configurar la compatibilidad de reenvío de paquetes espionados DHCP para el agente de retransmisión DHCP y configura la acción de reenvío para clientes espiados, la cual especifica si el agente de retransmisión DHCP reenvía o descarta el tráfico espiado.
Puede habilitar o deshabilitar DHCP globalmente para el relé DHCP, para un grupo de interfaces o para una interfaz específica en un grupo.
De forma predeterminada, la supervisión de DHCP está habilitada para el relé DHCP. Para habilitar o deshabilitar la compatibilidad con la supervisión DHCP globalmente:
Por ejemplo, para habilitar la compatibilidad global con DHCP snooping:
forwarding-options {
dhcp-relay {
overrides {
allow-snooped-clients;
}
}
}
Para habilitar o deshabilitar la compatibilidad con supervisión DHCP para un grupo de interfaces:
Especifique que desea configurar el agente de retransmisión DHCP.
Para el agente de retransmisión DHCP:
[edit] user@host# edit forwarding-options dhcp-relay
Para el agente de retransmisión DHCPv6:
[edit] user@host# edit forwarding-options dhcp-relay dhcpv6
Especifique el grupo con nombre.
Para el agente de retransmisión DHCP:
[edit forwarding-options dhcp-relay] user@host# edit group group-name
Para el agente de retransmisión DHCPv6:
[edit forwarding-options dhcp-relay dhcpv6] user@host# edit group group-name
Especifique que desea anular la configuración predeterminada.
Para el agente de retransmisión DHCP:
[edit forwarding-options dhcp-relay group group-name] user@host# edit overrides
Para el agente de retransmisión DHCPv6:
[edit forwarding-options dhcp-relay dhcpv6 group group-name] user@host# edit overrides
Habilite o deshabilite la compatibilidad con DHCP snooping.
Para habilitar la supervisión de DHCP:
Para el agente de retransmisión DHCP:
[edit forwarding-options dhcp-relay group group-name overrides] user@host# set allow-snooped-clients
Para el agente de retransmisión DHCPv6:
[edit forwarding-options dhcp-relay dhcpv6 group group-name overrides] user@host# set allow-snooped-clients
Para deshabilitar la supervisión de DHCP:
Para el agente de retransmisión DHCP:
[edit forwarding-options dhcp-relay group group-name overrides] user@host# set no-allow-snooped-clients
Para el agente de retransmisión DHCPv6:
[edit forwarding-options dhcp-relay dhcpv6 group group-name overrides] user@host# set no-allow-snooped-clients
Por ejemplo, para habilitar la compatibilidad con la supervisión DHCP en todas las interfaces del grupo boston:
forwarding-options {
dhcp-relay {
group boston {
overrides {
allow-snooped-clients;
}
}
}
}
Para habilitar o deshabilitar la compatibilidad con DHCP snooping en una interfaz específica:
Especifique que desea configurar el agente de retransmisión DHCP.
Para el agente de retransmisión DHCP:
[edit] user@host# edit forwarding-options dhcp-relay
Para el agente de retransmisión DHCPv6:
[edit] user@host# edit forwarding-options dhcp-relay dhcpv6
Especifique el grupo con nombre que contiene la interfaz.
Para el agente de retransmisión DHCP:
[edit forwarding-options dhcp-relay] user@host# edit group group-name
Para el agente de retransmisión DHCPv6:
[edit forwarding-options dhcp-relay dhcpv6] user@host# edit group group-name
Especifique la interfaz para la que desea configurar la supervisión de DHCP.
Para el agente de retransmisión DHCP:
[edit forwarding-options dhcp-relay group group-name] user@host# edit interface interface-name
Para el agente de retransmisión DHCPv6:
[edit forwarding-options dhcp-relay dhcpv6 group group-name] user@host# edit interface interface-name
Especifique que desea anular la configuración predeterminada en la interfaz.
Para el agente de retransmisión DHCP:
[edit forwarding-options dhcp-relay group group-name interface interface-name] user@host# edit overrides
Para el agente de retransmisión DHCPv6:
[edit forwarding-options dhcp-relay dhcpv6 group group-name interface interface-name] user@host# edit overrides
Habilite o deshabilite la compatibilidad con DHCP snooping.
Para habilitar la supervisión de DHCP:
Para el agente de retransmisión DHCP:
[edit forwarding-options dhcp-relay group group-name interface interface-name overrides] user@host# set allow-snooped-clients
Para el agente de retransmisión DHCPv6:
[edit forwarding-options dhcp-relay dhcpv6 group group-name interface interface-name overrides] user@host# set allow-snooped-clients
Para deshabilitar la supervisión de DHCP:
Para el agente de retransmisión DHCP:
[edit forwarding-options dhcp-relay group group-name interface interface-name overrides] user@host# set no-allow-snooped-clients
Para el agente de retransmisión DHCPv6:
[edit forwarding-options dhcp-relay dhcpv6 group group-name interface interface-name overrides] user@host# set no-allow-snooped-clients
Por ejemplo, para deshabilitar la compatibilidad con la supervisión de DHCP en la interfaz ge-2/1/8.0 del grupo boston:
forwarding-options {
dhcp-relay {
group boston {
interface ge-2/1/8.0 {
overrides {
no-allow-snooped-clients;
}
}
}
}
}
Para habilitar la compatibilidad con la supervisión DHCPv6 en la interfaz ge-3/2/1.1 del grupo sunnyvale:
forwarding-options {
dhcp-relay {
dhcpv6 {
group sunnyvale {
interface ge-3/2/1.1 {
overrides {
allow-snooped-clients;
}
}
}
}
}
}
Ver también
Configuración de DHCP Snooping
Deshabilitar filtros de supervisión DHCP
La supervisión de DHCP proporciona seguridad DHCP mediante la identificación de paquetes DHCP entrantes. En la configuración predeterminada de espionaje de DHCP, se espía todo el tráfico. Opcionalmente, puede utilizar la forward-snooped-clients instrucción para evaluar el tráfico espiado y determinar si el tráfico se reenvía o se interrumpe, en función de si la interfaz está configurada como parte de un grupo.
Tanto en la configuración predeterminada como en las configuraciones que utilizan la forward-snooped-clients instrucción, todo el tráfico DHCP se reenvía desde el plano de control de hardware al plano de enrutamiento de la instancia de enrutamiento para garantizar que se intercepten todos los paquetes DHCP. En ciertas topologías, como una topología de anillo de enrutamiento metropolitano, el reenvío de todo el tráfico DHCP al plano de control puede generar tráfico excesivo. La no-snoop instrucción de configuración deshabilita el filtro de supervisión para el tráfico DHCP que se puede reenviar directamente en el plano de control del hardware, como paquetes de unidifusión de capa 3 con una ruta válida, lo que hace que dichos paquetes DHCP omitan el plano de enrutamiento más lento. Puede deshabilitar los filtros de supervisión DHCP a partir de la versión 15.1R2 de Junos OS.
Para deshabilitar los filtros de supervisión DHCP en el servidor local DHCP:
Para deshabilitar los filtros de supervisión DHCP en el servidor de relé DHCP:
Especifique que desea configurar el servidor de relé DHCP.
[edit] user@host# edit forwarding-options dhcp-relay
Deshabilite los filtros de supervisión DHCP para el servidor local DHCP.
[edit forwarding-options dhcp-relay] user@host# set no-snoop
Especifique que desea configurar el servidor de relé DHCPv6.
[edit forwarding-options dhcp-relay] user@host# edit dhcpv6
Deshabilite los filtros de supervisión DHCP para el servidor local DHCPv6.
[edit forwarding-options dhcp-relay dhcpv6] user@host# set no-snoop
Ver también
Ejemplo: Configuración de la compatibilidad con espionaje DHCP para el agente de retransmisión DHCP
En este ejemplo, se muestra cómo configurar la compatibilidad con espionaje DHCP para el agente de retransmisión DHCP.
Requisitos
Configure el agente de retransmisión DHCP. Consulte Descripción general extendida del agente de retransmisión DHCP.
Descripción general
En este ejemplo, se configura la compatibilidad con la supervisión DHCP para el agente de retransmisión DHCP realizando las siguientes operaciones:
Anule la configuración predeterminada de supervisión de DHCP y habilite la compatibilidad con supervisión de DHCP para las interfaces del grupo frankfurt.
Configure el agente de retransmisión DHCP para reenviar los paquetes espiados solo a las interfaces configuradas.
Configuración
Procedimiento
Procedimiento paso a paso
Para configurar la compatibilidad con relés DHCP para la supervisión DHCP:
Especifique que desea configurar el agente de retransmisión DHCP.
[edit] user@host# edit forwarding-options dhcp-relay
Especifique el grupo con nombre de interfaces en el que se admite la supervisión de DHCP.
[edit forwarding-options dhcp-relay] user@host# edit group frankfurt
Especifique las interfaces que desea incluir en el grupo. El agente de retransmisión DHCP considera estas como las interfaces configuradas al determinar si se debe reenviar o descartar el tráfico.
[edit forwarding-options dhcp-relay group frankfurt] user@host# set interface fe-1/0/1.3 upto fe-1/0/1.9
Especifique que desea anular la configuración predeterminada del grupo.
[edit forwarding-options dhcp-relay group frankfurt] user@host# edit overrides
Habilite la compatibilidad con espionaje DHCP para el grupo.
[edit forwarding-options dhcp-relay group frankfurt overrides] user@host# set allow-snooped-clients
Vuelva al nivel de
[edit forwarding-options dhcp-relay]jerarquía para configurar la acción de reenvío y especifique que el agente de retransmisión DHCP reenvíe los paquetes espiados solo en las interfaces configuradas:[edit forwarding-options dhcp-relay group frankfurt overrides] user@host# up 2
Habilite el reenvío de paquetes espionados por DHCP para el agente de retransmisión DHCP.
[edit forwarding-options dhcp-relay] user@host# edit forward-snooped-clients
Especifique que los paquetes espiados se reenvíen solo en interfaces configuradas (las interfaces del grupo
frankfurt).[edit forwarding-options dhcp-relay forward-snooped-clients] user@host# set configured-interfaces
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show forwarding-options configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregirla. En el siguiente resultado, también se muestra un rango de interfaces configuradas en el grupo Frankfurt.
[edit]
user@host# show forwarding-options
dhcp-relay {
forward-snooped-clients configured-interfaces;
group frankfurt {
overrides {
allow-snooped-clients;
}
interface fe-1/0/1.3 {
upto fe-1/0/1.9;
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Ejemplo: Habilitación de la compatibilidad con supervisión DHCP para el agente de retransmisión DHCPv6
La compatibilidad con espionaje para el agente de retransmisión DHCPv6 está deshabilitada en el enrutador de forma predeterminada. En este ejemplo, se muestra cómo invalidar la configuración predeterminada de supervisión del agente de retransmisión DHCPv6 para habilitar explícitamente la supervisión DHCPv6 para un grupo con nombre de interfaces y para una interfaz específica dentro de un grupo con nombre diferente.
También puede habilitar la compatibilidad con la supervisión DHCPv6 globalmente mediante la allow-snooped-clients instrucción en el nivel de [edit forwarding-options dhcp-relay dhcpv6 overrides] jerarquía.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Plataformas de enrutamiento universal 5G de la serie MX
Junos OS versión 12.1 o posterior
Antes de empezar:
Configure el agente de retransmisión DHCPv6.
Consulte Descripción general del agente de retransmisión DHCPv6
Configure grupos de interfaces de agente de retransmisión DHCPv6 denominados a los que desee aplicar una configuración DHCP común.
Consulte Agrupación de interfaces con configuraciones comunes de DHCP
Descripción general
En este ejemplo, anula la configuración predeterminada de supervisión del agente de retransmisión DHCPv6 para habilitar explícitamente la supervisión de DHCP para las dos opciones siguientes:
Todas las interfaces del grupo llamado
bostonInterfaz
ge-3/2/1.1en el grupo denominadosunnyvale
Configuración
Para invalidar la configuración predeterminada de supervisión del agente de retransmisión DHCPv6 para habilitar explícitamente la supervisión de DHCPv6 para un grupo con nombre de interfaces y para una interfaz específica dentro de un grupo con nombre, realice estas tareas:
- Configuración rápida de CLI
- Habilitación de la compatibilidad con supervisión DHCPv6 para un grupo de interfaces con nombre
- Habilitación de la compatibilidad con supervisión DHCPv6 para una interfaz específica en un grupo con nombre
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el nivel jerárquico [edit] .
set forwarding-options dhcp-relay dhcpv6 group boston overrides allow-snooped-clients set forwarding-options dhcp-relay dhcpv6 group sunnyvale interface ge-3/2/1.1 overrides allow-snooped-clients
Habilitación de la compatibilidad con supervisión DHCPv6 para un grupo de interfaces con nombre
Procedimiento paso a paso
Para habilitar la compatibilidad con la supervisión DHCPv6 para un grupo de interfaces con nombre:
Especifique que desea configurar el agente de retransmisión DHCPv6.
[edit] user@host# edit forwarding-options dhcp-relay dhcpv6
Especifique el grupo con nombre de interfaces para las que desea habilitar la supervisión de DHCPv6.
[edit forwarding-options dhcp-relay dhcpv6] user@host# edit group boston
Especifique que desea anular la configuración predeterminada de DHCPv6 para las interfaces de ese grupo.
[edit forwarding-options dhcp-relay dhcpv6 group boston] user@host# edit overrides
Habilite la compatibilidad con supervisión DHCPv6 para todas las interfaces del grupo
boston.[edit forwarding-options dhcp-relay dhcpv6 group boston overrides] user@host# set allow-snooped-clients
Resultados
Desde el modo de configuración, emita la show instrucción en el nivel jerárquico para confirmar los resultados de la [edit forwarding-options dhcp-relay] configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit forwarding-options dhcp-relay]
user@host# show
dhcpv6 {
group boston {
overrides {
allow-snooped-clients;
}
}
}
Cuando termine de configurar el enrutador, ingrese commit desde el modo de configuración.
Habilitación de la compatibilidad con supervisión DHCPv6 para una interfaz específica en un grupo con nombre
Procedimiento paso a paso
Para habilitar la compatibilidad con supervisión DHCPv6 para una interfaz específica dentro de un grupo de interfaces con nombre:
Vuelva al nivel de jerarquía para especificar que desea configurar el
[edit forwarding-options dhcp-relay dhcpv6]agente de retransmisión DHCPv6.[edit forwarding-options dhcp-relay dhcpv6 group boston overrides] user@host# up 2
Especifique el grupo con nombre que contiene la interfaz.
[edit forwarding-options dhcp-relay dhcpv6] user@host# edit group sunnyvale
Especifique la interfaz del grupo
sunnyvalepara la que desea habilitar la supervisión de DHCPv6.[edit forwarding-options dhcp-relay dhcpv6 group sunnyvale] user@host# edit interface ge-3/2/1.1
Especifique que desea anular la configuración predeterminada de DHCPv6 para la interfaz
ge-3/2/1.1del gruposunnyvale.[edit forwarding-options dhcp-relay dhcpv6 group sunnyvale interface ge-3/2/1.1] user@host# edit overrides
Habilite la compatibilidad con supervisión DHCPv6 para la interfaz
ge-3/2/1.1del gruposunnyvale.[edit forwarding-options dhcp-relay dhcpv6 group sunnyvale interface ge-3/2/1.1 overrides] user@host# set allow-snooped-clients
Resultados
Desde el modo de configuración, emita la show instrucción en el nivel jerárquico para confirmar los resultados de la [edit forwarding-options dhcp-relay] configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit forwarding-options dhcp-relay]
user@host# show
dhcpv6 {
group boston {
overrides {
allow-snooped-clients;
}
}
group sunnyvale {
interface ge-3/2/1.1 {
overrides {
allow-snooped-clients;
}
}
}
}
Cuando termine de configurar el enrutador, ingrese commit desde el modo de configuración.
Verificación
Para comprobar la configuración de DHCPv6 en una topología de varios relés, realice esta tarea:
Comprobación de los enlaces de dirección para clientes de agente de retransmisión DHCPv6
Propósito
Compruebe los enlaces de dirección DHCPv6 en la tabla de cliente del Protocolo de configuración dinámica de host (DHCP).
Acción
Muestra información detallada sobre los enlaces de dirección para clientes de agente de retransmisión DHCPv6.
user@host > show dhcpv6 relay binding detail
Session Id: 13
Client IPv6 Prefix: 2001:db8:0:8001::5/128
Client DUID: LL0x1-00:00:5e:00:53:02
State: BOUND(DHCPV6_RELAY_STATE_BOUND)
Lease Expires: 2011-11-21 06:14:50 PST
Lease Expires in: 293 seconds
Lease Start: 2011-11-21 06:09:50 PST
Incoming Client Interface: ge-3/2/1.1
Server Address: unknown
Next Hop Server Facing Relay: 2001:db8::2
Server Interface: none
Client Id Length: 10
Client Id: /0x00030001/0x00006503/0x0102
Significado
El Server Address campo de la salida del show dhcpv6 relay binding detail comando suele mostrar la dirección IP del servidor DHCPv6. En este ejemplo, el valor unknown del Server Address campo indica que se trata de una topología de retransmisión múltiple en la que el agente de retransmisión DHCPv6 no está directamente adyacente al servidor DHCPv6 y no detecta la dirección IP del servidor.
En ese caso, el resultado incluye el Next Hop Server Facing Relay campo, que muestra la dirección del siguiente salto en la dirección del servidor DHCPv6.
Prevención de la suplantación de DHCP
Un problema que a veces ocurre con DHCP es DHCP spoofing. En la suplantación de DHCP, un cliente que no es de confianza inunda una red con mensajes DHCP. A menudo, estos ataques utilizan la suplantación de direcciones IP de origen para ocultar la verdadera fuente del ataque.
La supervisión de DHCP ayuda a prevenir la suplantación de DHCP mediante la copia de mensajes DHCP al plano de control y el uso de la información de los paquetes para crear filtros antisuplantación de identidad. Los filtros antisuplantación de identidad vinculan la dirección MAC de un cliente a su dirección IP asignada por DHCP y utilizan esta información para filtrar mensajes DHCP suplantados. En una topología típica, un enrutador de borde de operadora (en esta función también denominado puerta de enlace de red de banda ancha [BNG]) conecta el servidor DHCP y el enrutador de la serie MX (o el agregador de servicios de banda ancha [BSA]) que realiza la intromisión. El enrutador de la serie MX se conecta al cliente y al BNG.
Para configurar la supervisión de DHCP, incluya las interfaces adecuadas dentro de un grupo DHCP. Puede configurar la supervisión de DHCP para entornos VPLS y dominios de puente.
En un entorno VPLS, las solicitudes DHCP se reenvían a través de pseudocables. La supervisión de DHCP se configura mediante VPLS en el nivel jerárquico
[edit routing-instances routing-instance-name].En los dominios de puente, la supervisión de DHCP funciona por puente de aprendizaje. Cada dominio de aprendizaje debe tener configurada una interfaz ascendente. Esta interfaz actúa como puerto de inundación para las solicitudes DHCP procedentes del lado cliente. Las solicitudes DHCP se reenvían a través de dominios de aprendizaje en un dominio de puente. La supervisión de DHCP se configura en dominios de puente en el nivel de
[edit routing-instances routing-instance-name bridge-domains bridge-domain-name]jerarquía.
Para configurar el relé DHCP para evitar la suplantación de DHCP:
Puede habilitar y deshabilitar explícitamente la compatibilidad de interfaces para clientes espionados por DHCP. Consulte Habilitar y deshabilitar la compatibilidad de paquetes espionados DHCP para el agente de retransmisión DHCP.
Ver también
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.