Exemplo: configurar a opção DHCP 82
Você pode usar a opção DHCP 82, também conhecida como a opção de informações do agente de retransmissão DHCP, para ajudar a proteger o switch contra ataques, como falsificação (falsificação) de endereços IP e endereços MAC, e fome de endereço IP DHCP. A opção 82 fornece informações sobre a localização da rede de um cliente DHCP, e o servidor DHCP usa essas informações para implementar endereços IP ou outros parâmetros para o cliente.
Você pode configurar a opção DHCP 82 em várias topologias:
O switch funciona como um agente de relé quando os clientes DHCP ou o servidor DHCP estão conectados ao switch por uma interface de Camada 3. No switch, essas interfaces são configuradas como interfaces VLAN roteadas ou RVIs. O switch retransmite as solicitações dos clientes para o servidor e depois encaminha as respostas do servidor aos clientes.
Para switches da Série EX, a configuração para essa topologia é a mesma para o Software de Camada 2 (ELS) aprimorado e não-ELS.
O switch, os clientes DHCP e o servidor DHCP estão todos no mesmo VLAN. O switch encaminha as solicitações dos clientes para o servidor e encaminha as respostas do servidor aos clientes.
Se o seu switch for uma Série EX, consulte a configuração da opção DHCP 82 no switch sem relé (ELS) para instruções ELS e não-ELS.
O dispositivo de comutação, os clientes DHCP e o servidor DHCP estão todos no mesmo domínio da ponte. O dispositivo de comutação encaminha as solicitações dos clientes ao servidor e encaminha as respostas do servidor aos clientes. Este tópico descreve essa configuração.
Antes de configurar a opção DHCP 82 no switch, certifique-se de que o servidor DHCP está configurado para aceitar a opção DHCP 82. Se o servidor não estiver configurado para a opção DHCP 82, o servidor não usará as informações da opção DHCP 82 nas solicitações enviadas a ele quando formula suas mensagens de resposta.
Exemplo: configurar a opção DHCP 82 em um VLAN
Requisitos
Este exemplo descreve como configurar a opção DHCP 82 em um switch que atua como um agente de relé e está no mesmo VLAN que os clientes DHCP, mas está em um VLAN diferente do servidor DHCP. O exemplo inclui os seguintes componentes de hardware e software:
Um switch EX4200-24P ou um switch QFX3500
Junos OS Versão 9.3 ou posterior para switches da Série EX ou Junos OS Versão 12.1 ou posterior para a Série QFX
Um servidor DHCP para fornecer endereços IP a dispositivos de rede no switch
Visão geral e topologia
Neste exemplo, você configura a opção 82 no switch. O switch é configurado como um agente de relé BOOTP (Veja a visão geral do DHCP/BOOTP para switches para obter mais informações). O switch se conecta ao servidor DHCP por meio da interface VLAN roteada (RVI), conforme descrito para QFX na configuração de interfaces IRB em switches e para switches da Série EX na configuração de interfaces VLAN roteados em switches (procedimento CLI). O switch e os clientes são membros do VLAN funcionário (para detalhes, veja a configuração de VLANs em switches para as Séries EX e QFX). O servidor DHCP é um membro da VLAN corporativa .
Se a opção DHCP 82 estiver habilitada no switch e, em seguida, quando um dispositivo de rede — um cliente DHCP — conectado ao switch em uma interface não confiável envia uma solicitação DHCP, o switch insere informações sobre a localização da rede do cliente no cabeçalho de pacote dessa solicitação. Em seguida, o switch envia a solicitação (nesta configuração, ela retransmite a solicitação) para o servidor DHCP. O servidor DHCP lê a opção 82 informações no cabeçalho de pacote e as usa para implementar o endereço IP ou outro parâmetro para o cliente.
Quando a opção 82 está habilitada no switch, essa sequência de eventos ocorre quando um cliente DHCP envia uma solicitação de DHCP:
O switch recebe a solicitação e insere a opção 82 informações no cabeçalho do pacote.
O switch retransmite a solicitação ao servidor DHCP.
O servidor usa as informações da opção DHCP 82 para formular sua resposta e envia uma resposta de volta ao switch. Ele não altera as informações da opção 82.
O switch tira a opção 82 informações do pacote de resposta.
O switch encaminha o pacote de resposta ao cliente.
Configuração
Para configurar a opção DHCP 82:
Procedimento
Configuração rápida de CLI
Para configurar rapidamente a opção DHCP 82, copie os seguintes comandos e cole-os na janela do terminal do switch:
set forwarding-options helpers bootp dhcp-option82 set forwarding-options helpers bootp dhcp-option82 circuit-id prefix hostname set forwarding-options helpers bootp dhcp-option82 circuit-id use-vlan-id set forwarding-options helpers bootp dhcp-option82 remote-id set forwarding-options helpers bootp dhcp-option82 remote-id prefix mac set forwarding-options helpers bootp dhcp-option82 remote-id use-string employee-switch1 set forwarding-options helpers bootp dhcp-option82 vendor-id
Procedimento passo a passo
Configurar a opção DHCP 82 (substituir valores em itálico por valores para sua própria rede):
Especifique a opção DHCP 82 para o VLAN do funcionário no servidor BOOTP.
Em todas as interfaces que se conectam ao servidor:
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82
Em uma interface específica que se conecta ao servidor:
[edit forwarding-options helpers bootp] user@switch# set interface ge-0/0/10 dhcp-option82
As demais etapas são opcionais. Eles mostram configurações para todas as interfaces; inclua a designação de interface específica para configurar qualquer uma das seguintes opções em uma interface específica:
Configure um prefixo para a subopção de circuito ID (o prefixo é sempre o nome de hospedagem do switch):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 circuit-id prefix hostname
Para especificar que o valor de subopção do ID do circuito deve conter a descrição da interface em vez do nome da interface (o padrão):
Nota:Quando você usa a descrição da interface em vez do nome da interface, a descrição da interface precisa ser especificada sob a unidade de interface ("definir interfaces ge-0/0/0 unidade 0 descrição "cliente"). Se você não fizer isso, o nome da interface é usado.
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 circuit-id use-interface-description
Especifique que o valor de subopção de ID de circuito contém o ID VLAN em vez do nome VLAN (o padrão):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 circuit-id use-vlan-id
Especifique que a subopção remota de ID seja incluída nas informações da opção DHCP 82:
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id
Configure um prefixo para a subopção ID remota (aqui, o prefixo é o endereço MAC do switch):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id prefix mac
Ou especificar que o prefixo para a subopção remota de ID seja o nome de host do switch em vez do endereço MAC do switch (o padrão):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id prefix hostname
Para especificar que o valor de subopção de ID remoto deve conter a descrição da interface:
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id use-interface-description
Especifique que o valor de subopção de ID remoto contém uma seqüência de caracteres (aqui, a seqüência é o switch-funcionário1):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id use-string employee-switch1
Configure um valor de subopção de ID de fornecedor e use o valor padrão. Para usar o valor padrão, (que é a Juniper), não digite uma seqüência de caracteres após a palavra-chave da opção de identificação do fornecedor . Caso contrário, especifique um valor como mostrar aqui:
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 vendor-id mystring
Resultados
Para visualizar os resultados das etapas de configuração antes de cometer a configuração, digite o show comando no prompt do usuário.
Para comprometer essas mudanças na configuração ativa, digite o commit comando no prompt do usuário.
Verifique os resultados da configuração:
[edit forwarding-options helpers bootp]
user@switch# show
dhcp-option82 {
circuit-id {
prefix hostname;
use-vlan-id;
}
remote-id {
prefix mac;
use-string employee-switch1;
}
vendor-id;
}
Configuração da opção DHCP 82 em um roteador com domínio de ponte
Antes de configurar a opção DHCP 82 no dispositivo de comutação, execute essas tarefas:
Conecte e configure o servidor DHCP.
Nota:Seu servidor DHCP deve estar configurado para aceitar a opção DHCP 82. Se o servidor não estiver configurado para a opção DHCP 82, o servidor não usará as informações da opção DHCP 82 nas solicitações enviadas a ele quando formula suas mensagens de resposta.
Configure um domínio de ponte no dispositivo de comutação e associe as interfaces nas quais os clientes e o servidor se conectam ao switch com esse domínio de ponte.
Para configurar a opção DHCP 82: