Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

安全的 DHCP 消息交换

Junos OS 允许您使用 DHCP 中继代理在不同的虚拟路由和转发实例 (VRF) 之间提供安全消息交换。要实现 DHCP 消息的安全交换,必须配置 DHCP 中继代理的服务器端和客户端,以便根据 DHCP 选项信息识别和转发可接受的流量。有关更多信息,请阅读本主题。

不同 VRF 中的 DHCP 客户端和 DHCP 服务器之间的 DHCP 消息交换

在某些服务提供商网络中,DHCP 服务器所在的服务网络与实际订阅者网络隔离。服务和订阅者的这种分离有时会带来潜在的安全问题,例如路由泄漏。

从 Junos OS 14.2 版开始,当在不同的虚拟路由和转发实例 (VRF) 之间交换 DHCP 消息时,您可以使用 DHCP 中继代理提供额外的安全性。DHCP 中继代理可以确保客户端 VRF 和 DHCP 服务器 VRF 之间没有直接路由,并且仅通过两个 VRF 中继可接受的 DHCP 数据包。订阅者管理支持 DHCP 和 DHCPv6 数据包的跨 VRF 消息交换。

要在不同的 VRF 之间交换 DHCP 消息,必须同时启用 DHCP 中继代理的服务器端和客户端,以便根据数据包中的 DHCP 选项信息识别和转发可接受的流量。消息交换使用以下 DHCP 选项来识别要中继的流量。

  • DHCPv4 数据包的代理电路 ID(DHCP option 82 子选项 1)

  • DHCPv6 数据包的中继代理接口 ID(DHCPv6 选项 18)

使用跨 VRF 消息交换的 DHCP 数据包的统计信息会计入客户端 VRF 中。

以下列表介绍了 DHCP 中继代理如何在不同 VRF 中的 DHCP 客户端和 DHCP 服务器之间交换消息:

  • 从 DHCP 客户端到 DHCP 服务器的数据包 — DHCP 中继代理从客户端 VRF 中的客户端接收 DHCP 数据包,然后将相应的 DHCP option 82 子选项 1 或 DHCPv6 option 18 属性插入数据包中。然后,中继代理将数据包转发到服务器 VRF 中的 DHCP 服务器。

  • 从 DHCP 服务器到 DHCP 客户端的数据包 — DHCP 中继代理从服务器 VRF 中的 DHCP 服务器接收 DHCP 回复消息。中继代理从 DHCP 服务器 VRF 中的数据包中的 DHCP option 82 子选项 1 或 DHCPv6 option 18 属性派生客户端的接口,包括 VRF。然后,中继代理将回复消息转发到客户端 VRF 中的 DHCP 客户端。

配置不同虚拟路由实例中的 DHCP 服务器和客户端之间的 DHCP 消息交换

从 Junos OS 14.2 版开始,您可以配置 DHCP 中继代理,以在 DHCP 服务器与位于不同虚拟路由和转发实例 (VRF) 中的 DHCP 客户端之间交换 DHCP 消息时提供额外的安全性。

您可以配置 DHCP 中继代理,以在 DHCP 服务器和位于不同虚拟路由实例中的 DHCP 客户端之间交换 DHCP 消息时提供额外的安全性。当 DHCP 服务器驻留在必须与客户端网络隔离的网络中时,此配置适用于 DHCP 服务器和 DHCP 客户端之间的 无状态 DHCP 中继连接。

无状态 DHCP 中继代理不会维护有关 DHCP 客户端的动态状态信息,也不会为在客户端和服务器路由实例之间流动的流量维护静态路由。

要启用两个 VRF 之间的 DHCP 消息交换,请配置 DHCP 中继的每一端,以便根据数据包中的 DHCP 选项信息识别和转发可接受的流量。可接受流量由 DHCPv4 数据包的代理电路 ID(DHCP option 82 子选项 1)或 DHCPv6 数据包的中继代理接口 ID (DHCPv6 option 18) 标识。

以下列表概述了在不同 VRF 之间创建 DHCP 消息交换所需的任务:

  • 客户端支持 — 配置 DHCP 中继代理 forward-only 语句以指定 DHCP 服务器的 VRF 位置,DHCP 中继代理使用适当的 DHCP 选项信息转发客户端数据包。该 forward-only 语句可确保 DHCP 中继代理不会创建新的会话或执行任何其他订阅者管理操作(例如,创建动态接口或维护租赁)。

    您可以选择为服务器 VRF 配置特定的逻辑系统和路由实例。如果未指定逻辑系统或路由实例,则 DHCP 将使用添加配置的本地逻辑系统和路由实例。

  • 服务器端支持 — 配置 DHCP 中继代理 forward-only-replies 语句,以便 DHCP 中继代理转发具有相应 DHCP 选项信息的答复数据包。此语句还可确保 DHCP 中继代理不会创建新的会话或执行任何其他订阅者管理操作。

    注意:

    如果 DHCP 客户端和 DHCP 服务器位于同一逻辑系统/路由实例中,则无需配置 forward-only-replies 语句。

  • DHCP 本地服务器支持 — 将 DHCP 本地服务器配置为支持 DHCP NAK 中的 option 82 信息并强制重新发送消息。默认情况下,这两种消息类型不支持 option 82。

  • 其他支持 — 确保配置了以下所需支持:

    • 必须在 DHCP 服务器 VRF 中面向服务器的接口上启用代理 ARP 支持,以便 DHCP 中继代理可以接收并响应对客户端的 ARP 请求以及 DHCP 服务器 VRF 中面向客户端的接口。

    • 路由必须可用,才能从服务器 VRF 中的 DHCP 服务器接收 DHCP 数据包,以便客户端 VRF 中可访问的客户端。

以下过程介绍了在不同 VRF 中的 DHCP 服务器和客户端之间创建 DHCP 消息交换的配置任务。

客户端支持

要配置 DHCP 中继代理的客户端支持:

  1. 启用 DHCP 中继代理配置。
  2. 指定 DHCP 中继代理将数据包从 DHCP 客户端转发到的 DHCP 服务器 VRF。DHCP 中继代理转发具有相应 DHCP 选项信息但不会执行任何其他订阅者管理操作的可接受数据包。您可以为全局或一组指定接口配置 forward-only 语句,也可以为 DHCPv4 或 DHCPv6 配置语句。您可以为服务器 VRF 指定当前、默认或特定的逻辑系统或路由实例。

    以下示例为 DHCPv4 全局配置 forward-only 语句,并指定默认逻辑系统和路由实例:

注意:

对于本地 DHCPv4 客户端,DHCP 中继代理会添加代理电路 ID 选项。但是,如果数据包中已存在代理电路 ID 选项,则必须确保 DHCP 服务器支持选项 82-供应商特定信息子选项(子选项 9)。

如果在层级配置[edit forwarding-options dhcp-relay relay-option]了语句forward-only,则中继选项操作优先于用于 DHCP 跨 VRF 消息交换的forward-only语句配置。

服务器端支持

请在 DHCP 中继的服务器端配置跨 VRF 消息交换支持:

注意:

如果 DHCP 客户端和 DHCP 服务器位于同一逻辑系统/路由实例中,则无需配置 forward-only-replies 语句。

  1. 启用 DHCP 中继代理配置。
  2. 配置 DHCP 中继代理,以将 DHCP 数据包从 DHCP 服务器 VRF 转发到客户端。DHCP 中继代理仅转发数据包,不执行任何其他订阅者管理操作。您可以为 DHCPv4 和 DHCPv6 全局配置 forward-only-replies 语句。

    以下示例为 DHCPv4 全局配置 forward-only-replies 语句。

DHCP 本地服务器支持

将 DHCP 本地服务器配置为支持 NAK 中的 option 82 信息并强制重新发布消息;跨 VRF 消息交换功能使用 option 82 或 DHCPv6 option 18 信息来确定客户端 VRF:

  1. 启用 DHCP 本地服务器配置。
  2. 指定要配置覆盖选项。
  3. 配置 DHCP 本地服务器以覆盖默认行为并支持 DHCP NAK 中的 option 82 信息并强制重新发送消息。您可以为一组接口或特定接口全局配置覆盖操作。
版本历史记录表
释放
描述
14.2
从 Junos OS 14.2 版开始,当在不同的虚拟路由和转发实例 (VRF) 之间交换 DHCP 消息时,您可以使用 DHCP 中继代理提供额外的安全性。
14.2
从 Junos OS 14.2 版开始,您可以配置 DHCP 中继代理,以在 DHCP 服务器与位于不同虚拟路由和转发实例 (VRF) 中的 DHCP 客户端之间交换 DHCP 消息时提供额外的安全性。