Exemplo: configuração da opção DHCP 82
Você pode usar a opção DHCP 82, também conhecida como opção de informações de agente de transmissão DHCP, para ajudar a proteger o switch contra ataques como spoofing (forjação) de endereços IP e endereços MAC, e endereço IP DHCP. A opção 82 fornece informações sobre a localização da rede de um cliente DHCP, e o servidor DHCP usa essas informações para implementar endereços IP ou outros parâmetros para o cliente.
Você pode configurar a opção DHCP 82 em várias topologias:
O switch funciona como um agente de retransmissão quando os clientes DHCP ou o servidor DHCP são conectados ao switch através de uma interface de Camada 3. No switch, essas interfaces são configuradas como interfaces VLAN roteadas ou RVIs. O switch transmite as solicitações dos clientes para o servidor e depois encaminha as respostas do servidor aos clientes.
Para switches da Série EX, a configuração para essa topologia é a mesma tanto para software de camada 2 aprimorado (ELS) quanto para não-ELS.
O switch, os clientes DHCP e o servidor DHCP estão todos na mesma VLAN. O switch encaminha as solicitações dos clientes para o servidor e encaminha as respostas do servidor aos clientes.
Se o seu switch for uma Série EX, veja configuração da opção DHCP 82 no switch sem retransmissão (ELS) para instruções ELS e não-ELS.
O dispositivo de comutação, os clientes DHCP e o servidor DHCP estão todos no mesmo domínio bridge. O dispositivo de comutação encaminha as solicitações dos clientes para o servidor e encaminha as respostas do servidor aos clientes. Este tópico descreve essa configuração.
Antes de configurar a opção DHCP 82 no switch, certifique-se de que o servidor DHCP está configurado para aceitar a opção DHCP 82. Se o servidor não estiver configurado para a opção DHCP 82, o servidor não usará as informações da opção DHCP 82 nas solicitações enviadas a ele quando formula suas mensagens de resposta.
Exemplo: configuração da opção DHCP 82 em uma VLAN
Requisitos
Este exemplo descreve como configurar a opção DHCP 82 em um switch que atua como um agente de retransmissão e está na mesma VLAN que os clientes DHCP, mas está em uma VLAN diferente do servidor DHCP. O exemplo inclui os seguintes componentes de hardware e software:
Um switch EX4200-24P ou um switch QFX3500
Junos OS Versão 9.3 ou posterior para switches da Série EX ou Junos OS Versão 12.1 ou posterior para a Série QFX
Um servidor DHCP para fornecer endereços IP a dispositivos de rede no switch
Visão geral e topologia
Neste exemplo, você configura a opção 82 no switch. O switch está configurado como um agente de retransmissão BOOTP (Veja o transmissor DHCP/BOOTP para visão geral dos switches para obter mais informações). O switch se conecta ao servidor DHCP através da interface VLAN roteada (RVI), conforme descrito para QFX na configuração de interfaces IRB em switches e para switches da Série EX na configuração de interfaces VLAN roteadas em switches (procedimento CLI). O switch e os clientes são membros da VLAN do funcionário (para obter mais informações, veja Configuração de VLANs em switches para a Série EX e QFX). O servidor DHCP é um membro da VLAN corporativa .
Se a opção DHCP 82 estiver habilitada no switch e, em seguida, quando um dispositivo de rede — um cliente DHCP — conectado ao switch em uma interface não confiável envia uma solicitação DHCP, o switch insere informações sobre a localização da rede do cliente no cabeçalho do pacote dessa solicitação. Em seguida, o switch envia a solicitação (nesta configuração, ela transmite a solicitação) para o servidor DHCP. O servidor DHCP lê as informações da opção 82 no cabeçalho do pacote e as usa para implementar o endereço IP ou outro parâmetro para o cliente.
Quando a opção 82 é habilitada no switch, essa sequência de eventos ocorre quando um cliente DHCP envia uma solicitação de DHCP:
O switch recebe a solicitação e insere a opção 82 informações no cabeçalho do pacote.
O switch transmite a solicitação ao servidor DHCP.
O servidor usa as informações da opção DHCP 82 para formular sua resposta e envia uma resposta de volta ao switch. Ele não altera as informações da opção 82.
O switch tira as informações da opção 82 do pacote de resposta.
O switch encaminha o pacote de resposta ao cliente.
Configuração
Para configurar a opção DHCP 82:
Procedimento
Configuração rápida da CLI
Para configurar rapidamente a opção DHCP 82, copie os seguintes comandos e cole-os na janela de terminal do switch:
set forwarding-options helpers bootp dhcp-option82 set forwarding-options helpers bootp dhcp-option82 circuit-id prefix hostname set forwarding-options helpers bootp dhcp-option82 circuit-id use-vlan-id set forwarding-options helpers bootp dhcp-option82 remote-id set forwarding-options helpers bootp dhcp-option82 remote-id prefix mac set forwarding-options helpers bootp dhcp-option82 remote-id use-string employee-switch1 set forwarding-options helpers bootp dhcp-option82 vendor-id
Procedimento passo a passo
Para configurar a opção DHCP 82 (substituir valores em itálico por valores para sua própria rede):
Especifique a opção DHCP 82 para a VLAN do funcionário no servidor BOOTP.
Em todas as interfaces que se conectam ao servidor:
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82
Em uma interface específica que se conecta ao servidor:
[edit forwarding-options helpers bootp] user@switch# set interface ge-0/0/10 dhcp-option82
As etapas restantes são opcionais. Eles mostram configurações para todas as interfaces; inclua a designação de interface específica para configurar qualquer uma das seguintes opções em uma interface específica:
Configure um prefixo para a subopção de ID do circuito (o prefixo é sempre o nome de host do switch):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 circuit-id prefix hostname
Para especificar que o valor de subopção de ID do circuito deve conter a descrição da interface em vez do nome da interface (o padrão):
Nota:Quando você usa a descrição da interface em vez do nome da interface, a descrição da interface precisa ser especificada sob a unidade de interface ("definir interfaces ge-0/0/0 unidade 0 descrição "cliente"). Se você não fizer isso, o nome da interface será usado.
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 circuit-id use-interface-description
Especifique que o valor de subopção de ID do circuito contém o ID VLAN em vez do nome VLAN (o padrão):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 circuit-id use-vlan-id
Especifique que a subopção remota de ID seja incluída na opção DHCP 82 informações:
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id
Configure um prefixo para a subopção de ID remota (aqui, o prefixo é o endereço MAC do switch):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id prefix mac
Ou, especificar que o prefixo para a subopção remota de ID seja o nome de host do switch em vez do endereço MAC do switch (o padrão):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id prefix hostname
Para especificar que o valor de subopção de ID remoto deve conter a descrição da interface:
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id use-interface-description
Especifique que o valor de subopção de ID remoto contém uma corda de caractere (aqui, a corda é o switch de funcionário1):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id use-string employee-switch1
Configure um valor de subopção de ID de um fornecedor e use o valor padrão. Para usar o valor padrão (que é a Juniper), não digite uma seqüência de caracteres após a palavra-chave da opção de id do fornecedor . Caso contrário, especifique um valor como o show aqui:
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 vendor-id mystring
Resultados
Para visualizar os resultados das etapas de configuração antes de comprometer a configuração, digite o show comando no prompt do usuário.
Para comprometer essas mudanças na configuração ativa, digite o commit comando no prompt do usuário.
Confira os resultados da configuração:
[edit forwarding-options helpers bootp]
user@switch# show
dhcp-option82 {
circuit-id {
prefix hostname;
use-vlan-id;
}
remote-id {
prefix mac;
use-string employee-switch1;
}
vendor-id;
}
Configuração da opção DHCP 82 em um roteador com domínio de ponte
Antes de configurar a opção DHCP 82 no dispositivo de comutação, execute essas tarefas:
Conecte e configure o servidor DHCP.
Nota:Seu servidor DHCP deve ser configurado para aceitar a opção DHCP 82. Se o servidor não estiver configurado para a opção DHCP 82, o servidor não usará as informações da opção DHCP 82 nas solicitações enviadas a ele quando formula suas mensagens de resposta.
Configure um domínio de ponte no dispositivo de comutação e associe as interfaces nas quais os clientes e o servidor se conectam ao switch com esse domínio de ponte.
Para configurar a opção DHCP 82: