Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

示例:设置 DHCP Option 82(无中继)

您可以使用 DHCP option 82(也称为 DHCP 中继代理信息选项)帮助保护交换机免受 IP 地址和 MAC 地址欺骗(伪造)以及 DHCP IP 地址不足等攻击。Option 82 提供有关 DHCP 客户端网络位置的信息,而 DHCP 服务器则使用此信息为客户端实施 IP 地址或其他参数。

注意:

QFX10000 交换机上不支持 DHCP option 82。

您可以在多个拓扑中配置 DHCP option 82 功能:

  • 交换机、DHCP 客户端和 DHCP 服务器均在同一 VLAN 上。交换机将客户端的请求转发至服务器,并将服务器的回复转发给客户端。本主题介绍此配置。

  • 当 DHCP 客户端或 DHCP 服务器通过第 3 层接口连接到交换机时,交换机可用作中继代理。这意味着中继代理和服务器可以位于不同的网络上,也就是说,中继代理可以是外部代理。在交换机上,这些接口配置为路由 VLAN 接口 (RVI),或者,接口配置为集成路由和桥接 (IRB) 接口。无论哪种情况,交换机都可将客户端的请求中继到服务器,然后将服务器的回复转发给客户端。这些配置在示例中进行了说明 :设置 DHCP Option 82

在交换机上配置 DHCP option 82 之前,请执行以下任务:

  • 连接和配置 DHCP 服务器。

    注意:

    您的 DHCP 服务器必须配置为接受 DHCP option 82。如果服务器未配置为 DHCP option 82,则服务器在发出回复消息时,不会在发送给服务器的请求中使用 DHCP option 82 信息。

  • 在交换机上配置 VLAN 并将客户端和服务器连接到交换机的接口与该 VLAN 进行关联。请参阅 为支持 ELS 的 EX 系列交换机配置 VLAN(CLI 过程)

在无中继 (ELS) 的交换机上设置 DHCP Option 82

注意:

此任务使用支持增强型第 2 层软件 (ELS) 配置样式的 EX 系列交换机的 Junos OS。如果您的交换机运行的软件不支持 ELS,请参阅 在没有中继(非 ELS)的交换机上设置 DHCP Option 82。有关 ELS 详细信息,请参阅 使用增强型第 2 层软件 CLI

要配置 DHCP option 82:

  1. 为您配置的 VLAN 指定 DHCP option 82。
    注意:

    如果要在所有 VLAN 上启用 DHCP option 82,则必须为每个特定 VLAN 单独配置。

    其余步骤为可选步骤。

  2. 配置电路 ID 子选项的前缀,以包括交换机的主机名或 VLAN 的路由实例名称:
  3. 指定电路 ID 子option 值包含接口说明,而不是接口名称(默认):
    注意:

    从 Junos OS 14.1X53-D25 版开始,当您使用接口说明而非接口名称时,接口说明必须在接口单元下指定。使用接口说明而非接口名称时,必须在接口单元下指定接口说明(“set interfaces ge-0/0/0 单元 0 说明”客户端“)。如果不执行此操作,则使用接口名称。
  4. 指定电路 ID 子Option 值包含 VLAN ID 而不是 VLAN 名称(默认):
  5. 指定 DHCP option 82 信息中包含远程 ID 子选项:
    注意:

    如果后 remote-id方未指定关键字,则子option 的 remote-id 默认值为接口名称。
  6. 指定远程 ID 子Option 是交换机的主机名:
  7. 指定远程 ID 子Option 值包含接口说明:
  8. 指定远程 ID 子Option 值包含一个字符串:
  9. 配置供应商 ID 子Option:

    • 要使用默认值(默认值为 Juniper),请勿在选项关键字之后 vendor-id 键入字符串:

    • 要配置供应商 ID 子option 值包含您指定的字符串值,而不是 Juniper (默认值):

另请参阅

在无中继(非 ELS)的交换机上设置 DHCP Option 82

注意:

此任务对 EX 系列交换机使用 Junos OS,其中不包含对增强型第 2 层软件 (ELS) 配置样式的支持。如果您的交换机运行的软件确实支持 ELS,请参阅 在没有中继 (ELS) 的交换机上设置 DHCP Option 82。有关 ELS 详细信息,请参阅 使用增强型第 2 层软件 CLI

要配置 DHCP option 82:

注意:

将斜体中显示的值替换为配置的值。
  1. 为与交换机关联的所有 VLAN 或指定 VLAN 指定 DHCP option 82。(您也可为 VLAN 范围配置此功能。)

    • 在特定 VLAN 上:

    • 在所有 VLAN 上:

      其余步骤为可选步骤。

  2. 要配置电路 ID 子选项的前缀(前缀始终为交换机的主机名):
  3. 要指定电路 ID 子option 值应包含接口说明,而不是接口名称(默认):
    注意:

    使用接口说明而非接口名称时,必须在接口单元下指定接口说明(“set interfaces ge-0/0/0 单元 0 说明”客户端“)。如果不执行此操作,则使用接口名称。
  4. 要指定电路 ID 子Option 值应包含 VLAN ID,而不是 VLAN 名称(默认):
  5. 要指定在 DHCP option 82 信息中包含远程 ID 子选项:
  6. 要为远程 ID 子选项配置前缀(此处的前缀是交换机的 MAC 地址):
  7. 要指定远程 ID 子选项的前缀是交换机的主机名,而不是交换机的 MAC 地址(默认):
  8. 要指定远程 ID 子Option 值应包含接口说明:
  9. 要指定远程 ID 子option 值应包含一个字符串:
  10. 要配置供应商 ID 子选项并使用默认值(默认值为 瞻博网络),请勿在 供应商 ID 选项关键字之后键入字符串:
  11. 要指定供应商 ID 子选择值应包含您指定的字符串值,而不是 瞻博网络 (默认值):

要在提交配置之前查看配置步骤的结果,请在用户提示符时键入 show 命令。

要将这些更改提交到活动配置,请在用户提示符处键入 commit 命令。

另请参阅

示例:使用同一 VLAN 设置 DHCP Option 82

此示例介绍如何在同一 VLAN 上使用 DHCP 客户端、DHCP 服务器和交换机的交换机上配置 DHCP option 82:

要求

此示例使用以下硬件和软件组件:

  • 一台 EX 系列或 QFX 系列交换机

  • EX 系列交换机的 Junos OS 9.3 或更高版本或 QFX 系列的 Junos OS 12.1 或更高版本

  • 一台 DHCP 服务器,可向交换机上的网络设备提供 IP 地址

概述和拓扑

如果交换机上启用了 DHCP option 82,则当连接到不可信接口上交换机的网络设备 (DHCP 客户端) 发送 DHCP 请求时,交换机会将有关客户端网络位置的信息插入该请求的数据包标头中。然后交换机将请求发送至 DHCP 服务器。DHCP 服务器会读取数据包标头中的 option 82 信息,并使用它来为客户端实施 IP 地址或其他参数。

单个 VLAN 或交换机上的所有 VLAN 上都启用了 DHCP option 82。

当交换机上启用 option 82 时,当 DHCP 客户端发送 DHCP 请求时,将发生此事件序列:

  1. 交换机收到请求并在数据包标头中插入 option 82 信息。

  2. 交换机将请求转发至 DHCP 服务器。

  3. 服务器使用 DHCP option 82 信息来制定回复并向交换机发送响应。它不会改变 option 82 信息。

  4. 交换机会从响应数据包中去除 option 82 信息。

  5. 交换机将响应数据包转发给客户端。

图 1 说明了此示例的拓扑。

图 1:与 DHCP 客户端和 DHCP 服务器在同一 VLAN 上的交换机上配置 DHCP Option 82 的网络拓扑 Network Topology for Configuring DHCP Option 82 on a Switch That Is on the Same VLAN as the DHCP Clients and the DHCP Server

拓扑

在此示例中,您可在交换机上配置 DHCP option 82。交换机连接到接口 ge-0/0/8 上的 DHCP 服务器。DHCP 客户端连接到接口上的交换机 ge-0/0/1ge-0/0/2ge-0/0/3

交换机、服务器和客户端都是 员工 VLAN 的成员 – 请务必在交换机上配置 员工 VLAN,并将客户端和服务器连接到交换机的接口与 员工 VLAN 相关联。

配置

程序

CLI 快速配置

要快速配置 DHCP option 82,请复制以下命令并将其粘贴到交换机终端窗口中:

逐步过程

要配置 DHCP option 82:

  1. 员工 VLAN 指定 DHCP option 82:

  2. 配置电路 ID 子选项的前缀(前缀始终为交换机的主机名):

  3. 指定电路 ID 子Option 值包含 VLAN ID 而不是 VLAN 名称(默认):

  4. 指定 DHCP option 82 信息中包含远程 ID 子选项:

  5. 为远程 ID 子选项配置前缀(此处的前缀是交换机的 MAC 地址):

  6. 指定远程 ID 子Option 值包含一个字符串(此处,字符串为 员工交换机1):

  7. 配置供应商 ID 子Option 值并使用默认值。要使用默认值,请勿在 供应商 ID 选项关键字之后键入字符串:

结果

检查配置结果:

另请参阅

发布历史记录表
释放
描述
14.1X53-D25
从 Junos OS 14.1X53-D25 版开始,当您使用接口说明而非接口名称时,接口说明必须在接口单元下指定。