Entendendo a opção DHCP 82

Você pode usar a opção DHCP 82, também conhecida como opção de informações do agente de retransmissão DHCP, para ajudar a proteger dispositivos Juniper suportados contra ataques, incluindo spoofing (forja) de endereços IP e endereços MAC, e fome de endereço DHCP IP.

Em um cenário comum, vários hosts são conectados à rede por interfaces de acesso não confiáveis no switch, e esses hosts solicitam e são atribuídos endereços IP do servidor DHCP. Os maus atores podem falsificar solicitações de DHCP usando endereços de rede falsos, no entanto, para obter uma conexão inadequada com a rede.

Para se proteger contra essa vulnerabilidade, RFC 3046, DHCP Relay Agent Information Option, http://tools.ietf.org/html/rfc3046 descreve um padrão conhecido como Option 82 que define como o servidor DHCP pode usar a localização de um cliente DHCP ao atribuir endereços IP ou outros parâmetros ao cliente.

Visão geral do DHCP Option 82

Se a opção DHCP 82 estiver ativada em um domínio de VLAN ou ponte, quando um dispositivo de rede — um cliente DHCP — conectado ao VLAN ou domínio de ponte em uma interface não confiável enviar uma solicitação DHCP, o dispositivo de comutação insere informações sobre a localização da rede do cliente no cabeçalho de pacotes dessa solicitação. O dispositivo de comutação envia a solicitação ao servidor DHCP. O servidor DHCP lê a opção 82 informações no cabeçalho do pacote e as usa para implementar o endereço IP ou outro parâmetro para o cliente. Consulte componentes de subopção da opção 82 para obter mais informações sobre a opção 82.

Nota:

Nos switches EX4300, as informações da opção DHCP 82 são adicionadas aos pacotes DHCP recebidos em interfaces confiáveis e interfaces não confiáveis.

Se a opção 82 estiver habilitada em um domínio de VLAN ou ponte, a sequência de eventos a seguir ocorre quando um cliente DHCP envia uma solicitação de DHCP:

O dispositivo de comutação recebe a solicitação e insere a opção 82 informações no cabeçalho do pacote.
O dispositivo de comutação encaminha (ou retransmite) a solicitação ao servidor DHCP.
O servidor usa as informações da opção DHCP 82 para formular sua resposta e envia uma resposta ao dispositivo de comutação. Ele não altera as informações da opção 82.
O dispositivo de comutação tira a opção 82 informações do pacote de resposta.
O dispositivo de comutação encaminha o pacote de resposta ao cliente.

Para usar a opção DHCP 82, você deve garantir que o servidor DHCP esteja configurado para aceitar a opção 82. Se o servidor DHCP não estiver configurado para aceitar a opção 82, então, quando recebe solicitações contendo informações da opção 82, ele não usa as informações para definir parâmetros e não ecoa as informações em sua mensagem de resposta.

Nota:

Se o seu dispositivo de comutação for um switch da Série EX e usar o Junos OS com estilo de configuração de Software de Camada 2 (ELS) aprimorado, você pode habilitar a opção DHCP 82 apenas para um VLAN específico. Veja a configuração da opção DHCP 82 no switch sem relé (ELS).

Se o seu dispositivo de comutação for um switch da Série EX e não usar o Junos OS com estilo de configuração de Software de Camada 2 (ELS) aprimorado, você pode habilitar a opção DHCP 82 para um VLAN específico ou para todas as VLANs. Veja a configuração da opção DHCP 82 no switch sem relé (não-ELS).

Componentes de subopção da opção 82

A opção 82 implementada em um dispositivo de comutação inclui as subopções de ID de circuito, ID remoto e ID do fornecedor. Essas subopções são campos no cabeçalho de pacotes:

ID de circuito — identifica o circuito (interface ou VLAN) no dispositivo de comutação no qual a solicitação foi recebida. O ID do circuito contém o nome da interface e o nome VLAN, com os dois elementos separados por um cólon — por exemplo, ge-0/0/10:vlan1, onde ge-0/0/10 é o nome da interface e vlan1 é o nome VLAN. Se o pacote de solicitação for recebido em uma interface de Camada 3, o ID do circuito é apenas o nome da interface — por exemplo, ge-0/0/10.

Use a opção de prefixo para adicionar um prefixo opcional ao ID do circuito. Se você habilitar a opção de prefixo, o nome de host para o dispositivo de comutação é usado como prefixo; por exemplo, dispositivo1:ge-0/0/10:vlan1, onde o dispositivo1 é o nome de host.

Você também pode especificar que a descrição da interface seja usada em vez do nome da interface ou que o ID VLAN seja usado em vez do nome VLAN.
ID remoto — identifica o host remoto. Veja a identificação remota para obter detalhes.
ID do fornecedor — identifica o fornecedor do host. Se você especificar a opção vendor-id , mas não inserir um valor, o valor padrão da Juniper é usado. Para especificar um valor, você digita uma seqüência de caracteres.

Configurações de dispositivos de comutação que oferecem suporte à opção 82

As configurações de dispositivos de comutação que oferecem suporte à opção 82 são:

Dispositivo de comutação, clientes DHCP e servidor DHCP estão no mesmo domínio de VLAN ou Ponte
Dispositivo de comutação atua como um agente de retransmissão

Dispositivo de comutação, clientes DHCP e servidor DHCP estão no mesmo domínio de VLAN ou Ponte

Se o dispositivo de comutação, os clientes DHCP e o servidor DHCP estiverem todos no mesmo domínio de VLAN ou ponte, o dispositivo de comutação encaminha as solicitações dos clientes em interfaces de acesso não confiáveis para o servidor em uma interface confiável. Veja a Figura 1.

Figura 1: clientes DHCP, dispositivo de comutação e servidor DHCP estão todos no mesmo domínio DHCP Clients, Switching Device, and the DHCP Server Are All on the Same VLAN or Bridge Domain

DHCP Clients, Switching Device, and the DHCP Server Are All on the Same VLAN or Bridge Domain

de VLAN ou ponte

Dispositivo de comutação atua como um agente de retransmissão

O dispositivo de comutação funciona como um agente de relé (servidor de relé estendido) quando os clientes DHCP ou o servidor DHCP estão conectados ao dispositivo de comutação por uma interface de Camada 3. No dispositivo de comutação, essas interfaces são configuradas como interfaces VLAN (RVIs) roteadas. A Figura 2 ilustra um cenário para o dispositivo de comutação que funciona como um servidor de relé estendido; neste caso, o dispositivo de comutação retransmite solicitações ao servidor. Esse número mostra o agente de relé e o servidor na mesma rede, mas também podem estar em redes diferentes, ou seja, o agente de relé pode ser externo.

Figura 2: dispositivo de comutação atuando como um servidor Switching Device Acting as an Extended Relay Server

de relé estendido

Opções de DHCPv6

O DHCPv6 oferece várias opções que podem ser usadas para inserir informações nos pacotes de solicitação DHCPv6 que são retransmitidos a um servidor de um cliente. Essas opções equivalem às sub opções da opção DHCP 82.

Opção 37 — identifica o host remoto. A opção 37 equivale à subopção da opção remote-id DHCP 82.
Opção 18 — identifica a interface na qual o pacote de solicitação DHCP foi recebido do cliente. A opção 18 equivale à subopção da opção circuit-id DHCP 82.
Opção 16 — identifica o fornecedor do hardware no qual o cliente está hospedado. A opção 16 equivale à subopção da opção vendor-id DHCP 82.

As opções de DHCPv6 não são habilitadas automaticamente quando o bisbilhotamento DHCPv6 é habilitado em um VLAN. Eles devem ser configurados usando a dhcpv6-options declaração.

NESTA PÁGINA