Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

安全 DHCP 消息交换

Junos OS 允许您使用 DHCP 中继代理在不同的虚拟路由和转发实例 (VRF) 之间提供安全的消息交换。要启用 DHCP 消息的安全交换,必须将 DHCP 中继代理的服务器端和客户端配置为根据 DHCP 选项信息识别和转发可接受的流量。有关更多信息,请阅读本主题。

不同 VRF 中的 DHCP 客户端和 DHCP 服务器之间的 DHCP 消息交换

在某些服务提供商网络中,DHCP 服务器所在的服务网络与实际的订阅者网络是隔离的。这种服务和用户网络的分离有时会引入潜在的安全问题,例如路由泄漏。

从 Junos OS 14.2 版开始,在不同的虚拟路由和转发实例 (VRF) 之间交换 DHCP 消息时,可以使用 DHCP 中继代理提供额外的安全性。DHCP 中继代理可以确保客户端 VRF 和 DHCP 服务器 VRF 之间没有直接路由,并且只有可接受的 DHCP 数据包在两个 VRF 之间中继。 订阅者管理支持 DHCP 和 DHCPv6 数据包的跨 VRF 消息交换。

要在不同 VRF 之间交换 DHCP 消息,必须同时启用 DHCP 中继代理的服务器端和客户端,以根据数据包中的 DHCP 选项信息识别和转发可接受的流量。消息交换使用以下 DHCP 选项来标识要中继的流量。

  • DHCPv4 数据包的代理电路 ID(DHCP 选项 82 子选项 1)

  • DHCPv6 数据包的中继代理接口 ID(DHCPv6 选项 18)

使用跨 VRF 消息交换的 DHCP 数据包的统计信息将计入客户端 VRF。

以下列表描述了 DHCP 中继代理如何在不同 VRF 中的 DHCP 客户端和 DHCP 服务器之间交换消息:

  • 从 DHCP 客户端到 DHCP 服务器的数据包 — DHCP 中继代理从客户端 VRF 中的客户端接收 DHCP 数据包,然后将相应的 DHCP 选项 82 子选项 1 或 DHCPv6 选项 18 属性插入数据包中。然后,中继代理将数据包转发到服务器 VRF 中的 DHCP 服务器。

  • 从 DHCP 服务器到 DHCP 客户端的数据包 — DHCP 中继代理从服务器 VRF 中的 DHCP 服务器接收 DHCP 回复消息。中继代理从 DHCP 服务器 VRF 中数据包中的 DHCP 选项 82 子选项 1 或 DHCPv6 选项 18 属性派生客户端接口(包括 VRF)。然后,中继代理将回复消息转发到客户端 VRF 中的 DHCP 客户端。

在不同的虚拟路由实例中配置 DHCP 服务器和客户端之间的 DHCP 消息交换

从 Junos OS 14.2 版开始,您可以将 DHCP 中继代理配置为在 DHCP 服务器与驻留在不同虚拟路由和转发实例 (VRF) 中的 DHCP 客户端之间交换 DHCP 消息时提供额外的安全性。

您可以将 DHCP 中继代理配置为在 DHCP 服务器和驻留在不同虚拟路由实例中的 DHCP 客户端之间交换 DHCP 消息时提供额外的安全性。当 DHCP 服务器驻留在必须与客户端网络隔离的网络中时,此类型的配置适用于 DHCP 服务器和 DHCP 客户端之间的 无状态 DHCP 中继连接。

无状态 DHCP 中继代理不会维护有关 DHCP 客户端的动态状态信息,也不会维护要在客户端和服务器路由实例之间流动的流量的静态路由。

要启用两个 VRF 之间的 DHCP 消息交换,请将 DHCP 中继的每一端配置为根据数据包中的 DHCP 选项信息识别和转发可接受的流量。可接受的流量由 DHCPv4 数据包的代理电路 ID(DHCP 选项 82 子选项 1)或 DHCPv6 数据包的中继代理接口 ID(DHCPv6 选项 18)标识。

以下列表概述了在不同 VRF 之间创建 DHCP 消息交换所需的任务:

  • 客户端支持 — 配置 DHCP 中继代理 forward-only 语句以指定 DHCP 服务器的 VRF 位置,DHCP 中继代理将使用相应的 DHCP 选项信息将客户端数据包转发到该位置。该 forward-only 语句可确保 DHCP 中继代理不会创建新会话或执行任何其他订阅者管理操作(例如创建动态接口或维护租约)。

    您可以选择为服务器 VRF 配置特定的逻辑系统和路由实例。如果未指定逻辑系统或路由实例,则 DHCP 将使用从中添加配置的本地逻辑系统和路由实例。

  • 服务器端支持 — 配置 DHCP 中继代理 forward-only-replies 语句,以便 DHCP 中继代理转发具有相应 DHCP 选项信息的回复数据包。此语句还确保 DHCP 中继代理不会创建新会话或执行任何其他订阅者管理操作。

    注意:

    如果 DHCP 客户端和 DHCP 服务器位于同一逻辑系统/路由实例中,则无需配置该 forward-only-replies 语句。

  • DHCP 本地服务器支持 — 配置 DHCP 本地服务器以支持 DHCP NAK 中的选项 82 信息并强制续订消息。默认情况下,这两种消息类型不支持选项 82。

  • 其他支持 - 确保配置了以下所需的支持:

    • 必须在 DHCP 服务器 VRF 中面向服务器的接口上启用代理 ARP 支持,以便 DHCP 中继代理可以接收和响应客户端的 ARP 请求以及 DHCP 服务器 VRF 中面向客户端的接口。

    • 路由必须可用于从服务器 VRF 中的 DHCP 服务器接收 DHCP 数据包,以便客户端 VRF 中可访问的客户端。

以下过程介绍了在不同 VRF 中的 DHCP 服务器和客户端之间创建 DHCP 消息交换的配置任务。

客户端支持

要在 DHCP 中继代理的客户端配置支持,请执行以下操作:

  1. 启用 DHCP 中继代理配置。
  2. 指定 DHCP 中继代理将数据包从 DHCP 客户端转发到的 DHCP 服务器 VRF。DHCP 中继代理转发具有相应 DHCP 选项信息的可接受数据包,但不执行任何其他订阅者管理操作。您可以全局配置语句 forward-only ,也可以为指定的接口组配置语句,也可以为 DHCPv4 或 DHCPv6 配置语句。可以为服务器 VRF 指定当前、默认或特定的逻辑系统或路由实例。

    以下示例为 forward-only DHCPv4 全局配置语句,并指定默认逻辑系统和路由实例:

注意:

对于本地 DHCPv4 客户端,DHCP 中继代理会添加代理电路 ID 选项。但是,如果数据包中已存在代理电路 ID 选项,则必须确保 DHCP 服务器支持选项 82 供应商特定信息子选项(子选项 9)。

如果在层次结构级别配置[edit forwarding-options dhcp-relay relay-option]语句forward-only,则该中继选项操作优先于 DHCP 跨 VRF 消息交换的语句配置forward-only

服务器端支持

要在 DHCP 中继的服务器端配置跨 VRF 消息交换支持,请执行以下操作:

注意:

如果 DHCP 客户端和 DHCP 服务器位于同一逻辑系统/路由实例中,则无需配置该 forward-only-replies 语句。
  1. 启用 DHCP 中继代理配置。
  2. 配置 DHCP 中继代理以将 DHCP 数据包从 DHCP 服务器 VRF 转发到客户端。DHCP 中继代理仅转发数据包,不执行任何其他订阅者管理操作。您可以为 DHCPv4 和 DHCPv6 全局配置 forward-only-replies 语句。

    以下示例为 forward-only-replies DHCPv4 全局配置语句。

DHCP 本地服务器支持

要将 DHCP 本地服务器配置为支持 NAK 中的选项 82 信息并强制续订消息;跨 VRF 消息交换功能使用选项 82 或 DHCPv6 选项 18 信息来确定客户端 VRF:

  1. 启用 DHCP 本地服务器配置。
  2. 指定要配置覆盖选项。
  3. 配置 DHCP 本地服务器以覆盖默认行为,并支持 DHCP NAK 中的选项 82 信息并强制续订消息。您可以为一组接口或特定接口全局配置覆盖操作。

相关文档

更改历史记录表

功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。

释放
描述
14.2
从 Junos OS 14.2 版开始,在不同的虚拟路由和转发实例 (VRF) 之间交换 DHCP 消息时,可以使用 DHCP 中继代理提供额外的安全性。
14.2
从 Junos OS 14.2 版开始,您可以将 DHCP 中继代理配置为在 DHCP 服务器与驻留在不同虚拟路由和转发实例 (VRF) 中的 DHCP 客户端之间交换 DHCP 消息时提供额外的安全性。