Entendendo a opção DHCP 82
Você pode usar a opção DHCP 82, também conhecida como opção de informações do agente de retransmissão DHCP, para ajudar a proteger dispositivos Juniper suportados contra ataques, incluindo spoofing (forja) de endereços IP e endereços MAC, e fome de endereço DHCP IP.
Em um cenário comum, vários hosts são conectados à rede por interfaces de acesso não confiáveis no switch, e esses hosts solicitam e são atribuídos endereços IP do servidor DHCP. Os maus atores podem falsificar solicitações de DHCP usando endereços de rede falsos, no entanto, para obter uma conexão inadequada com a rede.
Para se proteger contra essa vulnerabilidade, RFC 3046, DHCP Relay Agent Information Option, http://tools.ietf.org/html/rfc3046 descreve um padrão conhecido como Option 82 que define como o servidor DHCP pode usar a localização de um cliente DHCP ao atribuir endereços IP ou outros parâmetros ao cliente.
Visão geral do DHCP Option 82
Se a opção DHCP 82 estiver ativada em um domínio de VLAN ou ponte, quando um dispositivo de rede — um cliente DHCP — conectado ao VLAN ou domínio de ponte em uma interface não confiável enviar uma solicitação DHCP, o dispositivo de comutação insere informações sobre a localização da rede do cliente no cabeçalho de pacotes dessa solicitação. O dispositivo de comutação envia a solicitação ao servidor DHCP. O servidor DHCP lê a opção 82 informações no cabeçalho do pacote e as usa para implementar o endereço IP ou outro parâmetro para o cliente. Consulte componentes de subopção da opção 82 para obter mais informações sobre a opção 82.
Nos switches EX4300, as informações da opção DHCP 82 são adicionadas aos pacotes DHCP recebidos em interfaces confiáveis e interfaces não confiáveis.
Se a opção 82 estiver habilitada em um domínio de VLAN ou ponte, a sequência de eventos a seguir ocorre quando um cliente DHCP envia uma solicitação de DHCP:
O dispositivo de comutação recebe a solicitação e insere a opção 82 informações no cabeçalho do pacote.
O dispositivo de comutação encaminha (ou retransmite) a solicitação ao servidor DHCP.
O servidor usa as informações da opção DHCP 82 para formular sua resposta e envia uma resposta ao dispositivo de comutação. Ele não altera as informações da opção 82.
O dispositivo de comutação tira a opção 82 informações do pacote de resposta.
O dispositivo de comutação encaminha o pacote de resposta ao cliente.
Para usar a opção DHCP 82, você deve garantir que o servidor DHCP esteja configurado para aceitar a opção 82. Se o servidor DHCP não estiver configurado para aceitar a opção 82, então, quando recebe solicitações contendo informações da opção 82, ele não usa as informações para definir parâmetros e não ecoa as informações em sua mensagem de resposta.
Se o seu dispositivo de comutação for um switch da Série EX e usar o Junos OS com estilo de configuração de Software de Camada 2 (ELS) aprimorado, você pode habilitar a opção DHCP 82 apenas para um VLAN específico. Veja a configuração da opção DHCP 82 no switch sem relé (ELS).
Se o seu dispositivo de comutação for um switch da Série EX e não usar o Junos OS com estilo de configuração de Software de Camada 2 (ELS) aprimorado, você pode habilitar a opção DHCP 82 para um VLAN específico ou para todas as VLANs. Veja a configuração da opção DHCP 82 no switch sem relé (não-ELS).
Componentes de subopção da opção 82
A opção 82 implementada em um dispositivo de comutação inclui as subopções de ID de circuito, ID remoto e ID do fornecedor. Essas subopções são campos no cabeçalho de pacotes:
ID de circuito — identifica o circuito (interface ou VLAN) no dispositivo de comutação no qual a solicitação foi recebida. O ID do circuito contém o nome da interface e o nome VLAN, com os dois elementos separados por um cólon — por exemplo, ge-0/0/10:vlan1, onde ge-0/0/10 é o nome da interface e vlan1 é o nome VLAN. Se o pacote de solicitação for recebido em uma interface de Camada 3, o ID do circuito é apenas o nome da interface — por exemplo, ge-0/0/10.
Use a opção de prefixo para adicionar um prefixo opcional ao ID do circuito. Se você habilitar a opção de prefixo, o nome de host para o dispositivo de comutação é usado como prefixo; por exemplo, dispositivo1:ge-0/0/10:vlan1, onde o dispositivo1 é o nome de host.
Você também pode especificar que a descrição da interface seja usada em vez do nome da interface ou que o ID VLAN seja usado em vez do nome VLAN.
ID remoto — identifica o host remoto. Veja a identificação remota para obter detalhes.
ID do fornecedor — identifica o fornecedor do host. Se você especificar a opção
vendor-id
, mas não inserir um valor, o valor padrão da Juniper é usado. Para especificar um valor, você digita uma seqüência de caracteres.
Configurações de dispositivos de comutação que oferecem suporte à opção 82
As configurações de dispositivos de comutação que oferecem suporte à opção 82 são:
- Dispositivo de comutação, clientes DHCP e servidor DHCP estão no mesmo domínio de VLAN ou Ponte
- Dispositivo de comutação atua como um agente de retransmissão
Dispositivo de comutação, clientes DHCP e servidor DHCP estão no mesmo domínio de VLAN ou Ponte
Se o dispositivo de comutação, os clientes DHCP e o servidor DHCP estiverem todos no mesmo domínio de VLAN ou ponte, o dispositivo de comutação encaminha as solicitações dos clientes em interfaces de acesso não confiáveis para o servidor em uma interface confiável. Veja a Figura 1.

Dispositivo de comutação atua como um agente de retransmissão
O dispositivo de comutação funciona como um agente de relé (servidor de relé estendido) quando os clientes DHCP ou o servidor DHCP estão conectados ao dispositivo de comutação por uma interface de Camada 3. No dispositivo de comutação, essas interfaces são configuradas como interfaces VLAN (RVIs) roteadas. A Figura 2 ilustra um cenário para o dispositivo de comutação que funciona como um servidor de relé estendido; neste caso, o dispositivo de comutação retransmite solicitações ao servidor. Esse número mostra o agente de relé e o servidor na mesma rede, mas também podem estar em redes diferentes, ou seja, o agente de relé pode ser externo.

Opções de DHCPv6
O DHCPv6 oferece várias opções que podem ser usadas para inserir informações nos pacotes de solicitação DHCPv6 que são retransmitidos a um servidor de um cliente. Essas opções equivalem às sub opções da opção DHCP 82.
Opção 37 — identifica o host remoto. A opção 37 equivale à subopção da opção
remote-id
DHCP 82.Opção 18 — identifica a interface na qual o pacote de solicitação DHCP foi recebido do cliente. A opção 18 equivale à subopção da opção
circuit-id
DHCP 82.Opção 16 — identifica o fornecedor do hardware no qual o cliente está hospedado. A opção 16 equivale à subopção da opção
vendor-id
DHCP 82.
As opções de DHCPv6 não são habilitadas automaticamente quando o bisbilhotamento DHCPv6 é habilitado em um VLAN. Eles devem ser configurados usando a dhcpv6-options
declaração.