Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

了解 DHCP Option 82

您可以使用 DHCP option 82(也称为 DHCP 中继代理信息选项)帮助保护受支持的瞻博网络设备免遭攻击,包括 IP 地址和 MAC 地址欺骗(伪造)以及 DHCP IP 地址不足。

在常见情况下,各种主机通过交换机上不受信任的访问接口连接到网络,这些主机请求并从 DHCP 服务器分配 IP 地址。但是,危险分子会使用伪造的网络地址欺骗 DHCP 请求,以获得与网络的不正当连接。

为防范此漏洞,RFC 3046 DHCP 中继代理信息选项 http://tools.ietf.org/html/rfc3046 描述了一种称为 Option 82 的标准,用于定义 DHCP 服务器在向客户端分配 IP 地址或其他参数时如何使用 DHCP 客户端的位置。

DHCP Option 82 概述

如果 VLAN 或网桥域上启用了 DHCP option 82,则当连接到 VLAN 或不受信任接口上的桥接域的网络设备 (DHCP 客户端) 发送 DHCP 请求时,交换设备会将有关客户端网络位置的信息插入该请求的数据包标头中。然后交换设备将请求发送至 DHCP 服务器。DHCP 服务器会读取数据包标头中的 option 82 信息,并使用它为客户端实施 IP 地址或其他参数。有关 option 82 的详细信息,请参阅 Option 82 的子选项组件

注意:

在 EX4300 交换机上,DHCP option 82 信息会添加到在可信接口和不可信接口上收到的 DHCP 数据包中。

如果 VLAN 或桥接域上启用了 option 82,则当 DHCP 客户端发送 DHCP 请求时,将发生以下事件序列:

  1. 交换设备收到请求并在数据包标头中插入 option 82 信息。

  2. 交换设备将请求转发(或中继)至 DHCP 服务器。

  3. 服务器使用 DHCP option 82 信息来制定回复并向交换设备发送响应。它不会改变 option 82 信息。

  4. 交换设备会从响应数据包中去除 option 82 信息。

  5. 交换设备将响应数据包转发给客户端。

要使用 DHCP option 82 功能,必须确保将 DHCP 服务器配置为接受 option 82。如果 DHCP 服务器未配置为接受 option 82,则当其收到包含 option 82 信息的请求时,它不会使用设置参数的信息,也不会回应其响应消息中的信息。

注意:

如果您的交换设备是 EX 系列交换机,并且使用增强型第 2 层软件 (ELS) 配置样式的 Junos OS,则只能为特定 VLAN 启用 DHCP option 82。请参阅 在没有中继 (ELS) 的交换机上设置 DHCP Option 82

如果您的交换设备是 EX 系列交换机, 并且不 使用增强型第 2 层软件 (ELS) 配置样式的 Junos OS,则可以为特定 VLAN 或所有 VLAN 启用 DHCP option 82。请参阅 在没有中继(非 ELS)的交换机上设置 DHCP Option 82

Option 82 的子选项组件

在交换设备上实施的 Option 82 包括电路 ID、远程 ID 和供应商 ID 的子选项。这些子Option 是数据包标头中的字段:

  • 电路 ID — 标识收到请求的交换设备上的电路(接口或 VLAN)。电路 ID 包含接口名称和 VLAN 名称,两个元素由一个冒号分隔开来,例如 ge-0/0/10:vlan1,其中 ge-0/0/10 是接口名称,vlan1 是 VLAN 名称。如果在第 3 层接口上接收请求数据包,则电路 ID 只是接口名称,例如 ge-0/0/10。

    使用前缀选项向电路 ID 添加可选前缀。如果启用前缀选项,则交换设备的主机名用作前缀;例如,device1:ge-0/0/10:vlan1,其中设备 1 是主机名。

    您还可以指定使用接口说明,而不是接口名称,或者使用 VLAN ID,而不是 VLAN 名称。

  • 远程 ID — 识别远程主机。有关详细信息,请参阅 远程 ID

  • 供应商 ID — 标识主机的供应商。如果指定选项 vendor-id 但未输入值,则使用默认值瞻博网络。要指定值,请键入一个字符串。

支持 Option 82 的交换设备配置

支持 option 82 的交换设备配置包括:

交换设备、DHCP 客户端和 DHCP 服务器位于同一 VLAN 或网桥域中

如果交换设备、DHCP 客户端和 DHCP 服务器均位于同一 VLAN 或桥接域中,则交换设备会将来自不可信接入接口上客户端的请求转发至可信接口上的服务器。请参阅 图 1

图 1:DHCP 客户端、交换设备和 DHCP 服务器均位于同一 VLAN 或网桥域中 DHCP Clients, Switching Device, and the DHCP Server Are All on the Same VLAN or Bridge Domain

交换设备充当中继代理

当 DHCP 客户端或 DHCP 服务器通过第 3 层接口连接到交换设备时,交换设备可用作中继代理(扩展中继服务器)。在交换设备上,这些接口配置为路由 VLAN 接口 (RVI)。 图 2 展示了交换设备充当扩展中继服务器的场景;在此实例中,交换设备会将请求中继到服务器。此图显示了同一网络上的中继代理和服务器,但它们也可以位于不同的网络上,也就是说,中继代理可以是外部代理。

图 2:用作扩展中继服务器 Switching Device Acting as an Extended Relay Server的交换设备

DHCPv6 选项

DHCPv6 提供了多个选项,可用于将信息插入从客户端中继到服务器的 DHCPv6 请求数据包中。这些选项等同于 DHCP option 82 的子选项。

  • 选项 37 — 标识远程主机。Option 37 等同于 remote-id DHCP option 82 的子选项。

  • 选项 18 — 标识从客户端接收 DHCP 请求数据包的接口。Option 18 等同于 circuit-id DHCP option 82 的子选项。

  • 选项 16 — 标识客户端托管的硬件的供应商。选项 16 等同于 vendor-id DHCP option 82 的子选项。

当 VLAN 上启用 DHCPv6 侦听时,DHCPv6 选项不会自动启用。它们必须使用 dhcpv6-options 语句进行配置。

相关文档