Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

了解 DHCP Option 82

您可以使用 DHCP 选项 82(也称为 DHCP 中继代理信息选项)来帮助保护受支持的瞻博网络设备免受攻击,包括 IP 地址和 MAC 地址欺骗(伪造)以及 DHCP IP 地址资源不足。

在常见情况下,各种主机通过交换机上不受信任的接入接口连接到网络,这些主机从 DHCP 服务器请求并分配 IP 地址。但是,不良行为者可以使用伪造的网络地址欺骗 DHCP 请求,从而获得与网络的不当连接。

为了防止此漏洞,RFC 3046( DHCP 中继代理信息选项http://tools.ietf.org/html/rfc3046 描述了一种称为选项 82 的标准,该标准定义了 DHCP 服务器在向客户端分配 IP 地址或其他参数时如何使用 DHCP 客户端的位置。

DHCP Option 82 概述

如果在 VLAN 或网桥域上启用了 DHCP 选项 82,则当连接到不受信任接口上的 VLAN 或网桥域的网络设备(DHCP 客户端)发送 DHCP 请求时,交换设备会将有关客户端网络位置的信息插入该请求的数据包头中。然后,交换设备将请求发送到 DHCP 服务器。DHCP 服务器读取数据包头中的 option 82 信息,并使用它来为客户端实现 IP 地址或其他参数。有关选项 82 的详细信息,请参阅 选项 82 的子选项组件

注意:

在 EX4300 交换机上,DHCP option 82 信息将添加到通过可信接口和不可信接口接收的 DHCP 数据包中。

如果在 VLAN 或网桥域上启用了选项 82,则在 DHCP 客户端发送 DHCP 请求时,将发生以下事件序列:

  1. 交换设备接收请求,并在数据包头中插入 option 82 信息。

  2. 交换设备将请求转发(或中继)到 DHCP 服务器。

  3. 服务器使用 DHCP option 82 信息来制定其回复并向交换设备发送响应。它不会更改 option 82 信息。

  4. 交换设备从响应数据包中剥离 option 82 信息。

  5. 交换设备将响应数据包转发给客户端。

要使用 DHCP 选项 82 功能,必须确保将 DHCP 服务器配置为接受选项 82。如果 DHCP 服务器未配置为接受选项 82,则当它收到包含选项 82 信息的请求时,它不会使用该信息来设置参数,也不会回显其响应消息中的信息。

注意:

如果您的交换设备是 EX 系列交换机,并且使用具有增强型第 2 层软件 (ELS) 配置样式的 Junos OS,则只能为特定 VLAN 启用 DHCP 选项 82。请参阅 在没有中继功能的交换机 (ELS) 上设置 DHCP Option 82

如果您的交换设备是 EX 系列交换机,并且 使用增强型第 2 层软件 (ELS) 配置样式的 Junos OS,则可以为特定 VLAN 或所有 VLAN 启用 DHCP 选项 82。请参阅 在没有中继功能的交换机(非 ELS)上设置 DHCP Option 82

选项 82 的子选项组件

在交换设备上实施的选件 82 包括子选项电路 ID、远程 ID 和供应商 ID。这些子选项是数据包头中的字段:

  • 电路 ID — 标识接收请求的交换设备上的电路(接口或 VLAN)。电路 ID 包含接口名称和 VLAN 名称,两个元素用冒号分隔,例如 ge-0/0/10:vlan1,其中 ge-0/0/10 是接口名称,vlan1 是 VLAN 名称。如果在第 3 层接口上接收请求数据包,则电路 ID 只是接口名称,例如 ge-0/0/10。

    使用前缀选项为电路 ID 添加可选前缀。如果启用前缀选项,则将交换设备的主机名用作前缀;例如,device1:ge-0/0/10:VLAN1,其中 device1 是主机名。

    您还可以指定使用接口描述而不是接口名称,或者指定使用 VLAN ID 而不是 VLAN 名称。

  • 远程 ID - 标识远程主机。有关详细信息,请参阅 远程 ID

  • 供应商 ID - 标识主机的供应商。如果指定了 vendor-id 选项但未输入值,则使用默认值“瞻博网络”。要指定值,请键入一个字符串。

支持 Option 82 的交换设备配置

支持 option 82 的交换设备配置如下:

交换设备、DHCP 客户端和 DHCP 服务器位于同一 VLAN 或网桥域中

如果交换设备、DHCP 客户端和 DHCP 服务器都位于同一 VLAN 或网桥域中,交换设备会将来自不可信接入接口上的客户端的请求转发到可信接口上的服务器。参见 图 1

图 1:DHCP 客户端、交换设备和 DHCP 服务器均位于同一 VLAN 或网桥域 DHCP Clients, Switching Device, and the DHCP Server Are All on the Same VLAN or Bridge Domain

交换设备充当中继代理

当 DHCP 客户端或 DHCP 服务器通过第 3 层接口连接到交换设备时,交换设备将充当中继代理(扩展中继服务器)。在交换设备上,这些接口配置为路由 VLAN 接口 (RVI)。 图 2 显示了交换设备充当扩展中继服务器的场景;在这种情况下,交换设备将请求中继到服务器。此图显示了同一网络上的中继代理和服务器,但它们也可以位于不同的网络上,也就是说,中继代理可以是外部代理。

图2:用作扩展中继服务器的 Switching Device Acting as an Extended Relay Server交换设备

DHCPv6 选项

DHCPv6 提供了多个选项,可用于将信息插入从客户端中继到服务器的 DHCPv6 请求数据包中。这些选项等同于 DHCP 选项 82 的子选项。

  • 选项 37 — 标识远程主机。选项 37 等同于 remote-id DHCP 选项 82 的子选项。

  • 选项 18 — 标识从客户端接收 DHCP 请求数据包的接口。选项 18 等同于 circuit-id DHCP 选项 82 的子选项。

  • 选项 16 — 标识托管客户端的硬件的供应商。选项 16 等同于 vendor-id DHCP 选项 82 的子选项。

如果在 VLAN 上启用了 DHCPv6 侦听,则不会自动启用 DHCPv6 选项。必须使用语句进行 dhcpv6-options 配置。

相关文档