Exemplo: configurando a opção DHCP 82
Você pode usar a opção DHCP 82, também conhecida como a opção de informações do agente de retransmissão DHCP, para ajudar a proteger o switch contra ataques como spoofing (forjamento) de endereços IP e endereços MAC e endereço IP DHCP. A opção 82 fornece informações sobre a localização da rede de um cliente DHCP, e o servidor DHCP usa essas informações para implementar endereços IP ou outros parâmetros para o cliente.
Você pode configurar o recurso opção DHCP 82 em várias topologias:
O switch funciona como um agente de retransmissão quando os clientes DHCP ou o servidor DHCP estão conectados ao switch por meio de uma interface de Camada 3. No switch, essas interfaces estão configuradas como interfaces VLAN roteadas ou RVIs. O switch encaminha as solicitações dos clientes ao servidor e encaminha as respostas do servidor aos clientes.
Para switches da Série EX, a configuração dessa topologia é a mesma para software de camada 2 aprimorada (ELS) e não ELS.
O switch, os clientes DHCP e o servidor DHCP estão todos no mesmo VLAN. O switch encaminha as solicitações dos clientes ao servidor e encaminha as respostas do servidor aos clientes.
Se o switch for da Série EX, consulte Configuração da Opção DHCP 82 no switch sem relé (ELS) para instruções de ELS e não ELS.
O dispositivo de com switching, os clientes DHCP e o servidor DHCP estão todos no mesmo domínio da ponte. O dispositivo de com switching encaminha as solicitações dos clientes ao servidor e encaminha as respostas do servidor aos clientes. Este tópico descreve essa configuração.
Antes de configurar a opção DHCP 82 no switch, certifique-se de que o servidor DHCP está configurado para aceitar a opção DHCP 82. Se o servidor não estiver configurado para a opção DHCP 82, o servidor não utilizará as informações da opção DHCP 82 nas solicitações enviadas a ele quando formular suas mensagens de resposta.
Exemplo: configurando a opção DHCP 82 em uma VLAN
Requisitos
Este exemplo descreve como configurar a opção DHCP 82 em um switch que funciona como um agente de retransmissão e está no mesmo VLAN dos clientes DHCP, mas está em uma VLAN diferente do servidor DHCP. O exemplo inclui os seguintes componentes de hardware e software:
Um EX4200-24P ou um QFX3500 switch
Junos OS Release 9.3 ou posterior para switches série EX ou Junos OS Release 12.1 ou mais tarde para a Série QFX
Um servidor DHCP para fornecer endereços IP para dispositivos de rede no switch
Visão geral e topologia
Neste exemplo, você configura a opção 82 no switch. O switch está configurado como um agente de retransmissão BOOTP (Consulte DHCP/BOOTP Relay para Switches Visão geral para mais informações). O switch se conecta ao servidor DHCP por meio da interface VLAN roteada (RVI), conforme descrito para QFX na configuração de interfaces IRB nos switches e para switches da Série EX na configuração de interfaces VLAN roteados nos switches (ClI Procedure). O switch e os clientes são membros da VLAN do funcionário (para obter detalhes, consulte Configurando VLANs em switches para as séries EX e QFX). O servidor DHCP é um membro da VLAN corporativa.
Se a opção DHCP 82 estiver ativada no switch, quando um dispositivo de rede — um cliente DHCP — conectado ao switch em uma interface não confiança enviar uma solicitação de DHCP, o switch inserirá informações sobre a localização da rede do cliente no localizador do pacote dessa solicitação. Em seguida, o switch envia a solicitação (nesta configuração, retransmiti a solicitação) para o servidor DHCP. O servidor DHCP lê as informações da opção 82 no header de pacotes e as usa para implementar o endereço IP ou outro parâmetro para o cliente.
Quando a opção 82 está ativada no switch, essa sequência de eventos ocorre quando um cliente DHCP envia uma solicitação de DHCP:
O switch recebe a solicitação e insere as informações da opção 82 no header de pacotes.
O switch transmite a solicitação ao servidor DHCP.
O servidor usa as informações da opção DHCP 82 para formular sua resposta e envia uma resposta de volta ao switch. Ele não altera as informações da opção 82.
O switch tira as informações da opção 82 do pacote de resposta.
O switch encaminha o pacote de resposta ao cliente.
Configuração
Para configurar a opção DHCP 82:
Procedimento
Configuração rápida CLI
Para configurar rapidamente a opção DHCP 82, copie os seguintes comandos e os confique na janela do terminal do switch:
set forwarding-options helpers bootp dhcp-option82 set forwarding-options helpers bootp dhcp-option82 circuit-id prefix hostname set forwarding-options helpers bootp dhcp-option82 circuit-id use-vlan-id set forwarding-options helpers bootp dhcp-option82 remote-id set forwarding-options helpers bootp dhcp-option82 remote-id prefix mac set forwarding-options helpers bootp dhcp-option82 remote-id use-string employee-switch1 set forwarding-options helpers bootp dhcp-option82 vendor-id
Procedimento passo a passo
Para configurar a opção DHCP 82 (substituir valores em itálico por valores para sua própria rede):
Especifique a opção DHCP 82 para a VLAN do funcionário no servidor BOOTP.
Em todas as interfaces que se conectam ao servidor:
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82
Em uma interface específica que se conecta ao servidor:
[edit forwarding-options helpers bootp] user@switch# set interface ge-0/0/10 dhcp-option82
As etapas restantes são opcionais. Eles mostram configurações para todas as interfaces; incluem a designação de interface específica para configurar qualquer uma das seguintes opções em uma interface específica:
Configure um prefixo para a subopção de ID de circuito (o prefixo sempre é o nome de host do switch):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 circuit-id prefix hostname
Para especificar que o valor da subopção de ID do circuito deve conter a descrição da interface em vez do nome da interface (o padrão):
Observação:Quando você usa a descrição da interface em vez do nome da interface, a descrição da interface precisa ser especificada na unidade de interface ("definir interfaces ge-0/0/0 unidade 0 "cliente"). Se você não fizer isso, o nome da interface será usado.
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 circuit-id use-interface-description
Especifique que o valor da subopção de ID de circuito contém a ID VLAN em vez do nome VLAN (o padrão):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 circuit-id use-vlan-id
Especifique que a subopção de ID remota seja incluída nas informações da opção DHCP 82:
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id
Configure um prefixo para a subopção de ID remota (aqui, o prefixo é o endereço MAC do switch):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id prefix mac
Ou, para especificar que o prefixo da subopção de ID remota seja o nome de host do switch em vez do endereço MAC do switch (o padrão):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id prefix hostname
Para especificar que o valor da subopção de ID remoto deve conter a descrição da interface:
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id use-interface-description
Especifique que o valor da subopção de ID remoto contém uma string de caracteres (aqui, a string é funcionário-switch1):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id use-string employee-switch1
Configure um valor de subopção de ID de fornecedor e use o valor padrão. Para usar o valor padrão (que é Juniper),não digite uma string de caracteres após a palavra-chave da opção id do fornecedor. Caso contrário, especifique um valor, como mostra aqui:
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 vendor-id mystring
Resultados
Para exibir os resultados das etapas de configuração antes de comprometer a configuração, digite o show comando no pronto-usuário.
Para comprometer essas alterações à configuração ativa, digite commit o comando na solicitação do usuário.
Veja os resultados da configuração:
[edit forwarding-options helpers bootp]
user@switch# show
dhcp-option82 {
circuit-id {
prefix hostname;
use-vlan-id;
}
remote-id {
prefix mac;
use-string employee-switch1;
}
vendor-id;
}
Configurando a opção 82 do DHCP em um roteador com domínio de ponte
Antes de configurar a opção DHCP 82 no dispositivo de comação, realize essas tarefas:
Conecte e configure o servidor DHCP.
Observação:Seu servidor DHCP deve estar configurado para aceitar a opção DHCP 82. Se o servidor não estiver configurado para a opção DHCP 82, o servidor não utilizará as informações da opção DHCP 82 nas solicitações enviadas a ele quando formular suas mensagens de resposta.
Configure um domínio de ponte no dispositivo de complicação e associe as interfaces nas quais os clientes e o servidor se conectam ao switch com esse domínio da ponte.
Para configurar a opção DHCP 82: