示例:设置 DHCP Option 82
您可以使用 DHCP 选项 82(也称为 DHCP 中继代理信息选项)来帮助防止交换机遭到攻击,例如 IP 地址和 MAC 地址欺骗(伪造)以及 DHCP IP 地址资源不足。Option 82 提供有关 DHCP 客户端网络位置的信息,DHCP 服务器使用此信息来为客户端实施 IP 地址或其他参数。
您可以在各种拓扑结构中配置 DHCP option 82 功能:
当 DHCP 客户端或 DHCP 服务器通过第 3 层 接口连接到交换机时,交换机可充当中继代理。在交换机上,这些接口被配置为路由 VLAN 接口或 RVI。交换机将客户端的请求中继到服务器,然后将服务器的回复转发给客户端。
对于 EX 系列交换机,增强型第 2 层软件 (ELS) 和非 ELS 的此拓扑配置是相同的。
交换机、DHCP 客户端和 DHCP 服务器均位于同一 VLAN 中。交换机将客户端的请求转发给服务器,并将服务器的回复转发给客户端。
如果您的交换机是 EX 系列,请参阅 在没有中继功能的交换机 (ELS) 上设置 DHCP Option 82 ,了解 ELS 和非 ELS 指令。
交换设备、DHCP 客户端和 DHCP 服务器均位于同一个网桥域中。交换设备将客户端的请求转发给服务器,再将服务器的响应转发给客户端。本主题介绍此配置。
在交换机上配置 DHCP option 82 之前,请确保将 DHCP 服务器配置为接受 DHCP option 82。如果服务器未配置 DHCP option 82,则服务器在生成回复消息时不会在发送给它的请求中使用 DHCP option 82 信息。
示例:在 VLAN 上设置 DHCP Option 82
要求
此示例介绍如何在充当中继代理且与 DHCP 客户端位于同一 VLAN 中,但与 DHCP 服务器位于不同 VLAN 上的交换机上配置 DHCP option 82。该示例包括以下硬件和软件组件:
一台 EX4200-24P 交换机或一台 QFX3500 交换机
EX 系列交换机使用 Junos OS 9.3 或更高版本;QFX 系列交换机使用 Junos OS 12.1 或更高版本
DHCP 服务器,用于为交换机上的网络设备提供 IP 地址
概述和拓扑
在此示例中,您在交换机上配置 option 82。交换机配置为 BOOTP 中继代理(有关详细信息,请参阅 交换机的 DHCP/BOOTP 中继概述 )。交换机通过路由 VLAN 接口 (RVI) 连接到 DHCP 服务器,如在 交换机上配置 IRB 接口 中针对 QFX 以及针对 EX 系列交换机 在交换机上配置路由 VLAN 接口(CLI 过程)中所述。交换机和客户端都是 员工 VLAN 的成员(有关详细信息,请参阅在 EX 和 QFX 系列 交换机上配置 VLAN )。DHCP 服务器是 企业 VLAN 的成员。
如果交换机上启用了 DHCP option 82,当连接到不受信任接口上的交换机的网络设备(DHCP 客户端)发送 DHCP 请求时,交换机会将有关客户端网络位置的信息插入该请求的数据包头中。然后,交换机会将请求(在此设置中,它会中继请求)发送到 DHCP 服务器。DHCP 服务器将读取数据包头中的 option 82 信息,并通过此信息来为客户端实施 IP 地址或其他参数。
在交换机上启用 option 82 后,当 DHCP 客户端发送 DHCP 请求时,事件将按以下顺序发生:
交换机接收请求,并在数据包头中插入 option 82 信息。
交换机将请求中继到 DHCP 服务器。
服务器根据 DHCP option 82 信息生成回复并将响应发送回交换机。这不会改变 option 82 信息。
交换机对响应数据包中的 option 82 信息进行剥离。
交换机将响应数据包转发给客户端。
配置
要配置 DHCP option 82:
程序
CLI 快速配置
要快速配置 DHCP option 82,请复制以下命令并将其粘贴到交换机终端窗口中:
set forwarding-options helpers bootp dhcp-option82 set forwarding-options helpers bootp dhcp-option82 circuit-id prefix hostname set forwarding-options helpers bootp dhcp-option82 circuit-id use-vlan-id set forwarding-options helpers bootp dhcp-option82 remote-id set forwarding-options helpers bootp dhcp-option82 remote-id prefix mac set forwarding-options helpers bootp dhcp-option82 remote-id use-string employee-switch1 set forwarding-options helpers bootp dhcp-option82 vendor-id
分步过程
要配置 DHCP option 82(将斜体值替换为您自己的网络的值):
为 BOOTP 服务器上 的员工 VLAN 指定 DHCP option 82。
在连接到服务器的所有接口上:
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82
在连接到服务器的特定接口上:
[edit forwarding-options helpers bootp] user@switch# set interface ge-0/0/10 dhcp-option82
其余步骤可选。它们显示了所有接口的配置;包括特定接口名称,以便在特定接口上配置以下任一选项:
为电路 ID 子选项配置前缀(前缀始终是交换机的主机名):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 circuit-id prefix hostname
要指定电路 ID 子选项值应包含接口描述而不是接口名称(默认值),请执行以下作:
注意:使用接口描述而不是接口名称时,必须在接口单元 (“set interfaces ge-0/0/0 unit 0 description ”client“) 下指定接口说明。如果不这样做,则使用接口名称。
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 circuit-id use-interface-description
指定电路 ID 子选项值包含 VLAN ID,而不是 VLAN 名称(默认值):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 circuit-id use-vlan-id
指定将远程 ID 子选项包含在 DHCP option 82 信息中:
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id
为远程 ID 子选项配置前缀(此处的前缀是交换机的 MAC 地址):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id prefix mac
或者,要将远程 ID 子选项的前缀指定为交换机的主机名,而不是交换机的 MAC 地址(默认设置):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id prefix hostname
要指定远程 ID 子选项值应包含接口说明,请执行以下作:
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id use-interface-description
指定远程 ID 子选项值包含一个字符串(此处的字符串为 employee-switch1):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id use-string employee-switch1
配置供应商 ID 子选项值,并使用默认值。要使用默认值(即 瞻博网络),请勿在 vendor-id 选项关键字后键入字符串。否则,请指定一个值,例如 show here:
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 vendor-id mystring
结果
要在提交配置之前查看配置步骤的结果,请在用户提示符下键入 show 命令。
要将这些更改提交到活动配置,请在用户提示符下键入 commit 命令。
检查配置结果:
[edit forwarding-options helpers bootp]
user@switch# show
dhcp-option82 {
circuit-id {
prefix hostname;
use-vlan-id;
}
remote-id {
prefix mac;
use-string employee-switch1;
}
vendor-id;
}
在具有网桥域的路由器上配置 DHCP Option 82
在交换设备上配置 DHCP option 82 之前,请执行以下作:
连接并配置 DHCP 服务器。
注意:您的 DHCP 服务器必须配置为接受 DHCP option 82。如果服务器未配置 DHCP option 82,则服务器在生成回复消息时不会在发送给它的请求中使用 DHCP option 82 信息。
在交换设备上配置桥接域,并将客户端和服务器连接的接口与具有该桥接域的交换机相关联。
要配置 DHCP option 82: