Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

DHCP 选项和选择性流量处理

DHCP 选项和选择性流量处理概述

通过订阅者管理,您可以根据流量中包含的 DHCP 和 DHCPv6 选项字符串中提供的信息提供选择性流量处理。从 Junos OS 15.1 版开始,选择性流量处理功能允许您使用扩展的 DHCP 和 DHCPv6 中继代理管理多供应商网络。您可以启用扩展 DHCP 和 DHCPv6 中继代理,将 DHCP 客户端数据包中接收的特定于选项的字符串与您在路由器上配置的 ASCII 或十六进制字符串列表进行比较。选择性流量处理功能允许您根据 DHCP 客户端数据包中的选项识别流量、过滤流量以及指定 DHCP 中继对流量采取的操作。您可以使用 DHCP 选项 60 和 77 以及 DHCPv6 选项 15 和 16 来识别客户端流量。您可以配置路由器对所选流量执行的操作,例如将流量转发到特定 DHCP 服务器或丢弃流量。DHCP 中继代理选择性流量处理还允许您指定默认操作,当没有其他操作满足配置时,路由器将使用该操作。

在 DHCP 客户端访问由多个供应商和多个 DHCP 服务器提供的服务的网络环境中,使用选择性流量处理非常有用。例如,DHCP 客户端可以从一个供应商提供的特定 DHCP 服务器获得因特网访问,并从另一个供应商拥有的其他 DHCP 服务器访问 IPTV 服务。使用 DHCP 客户端数据包中的选项特定信息,DHCP 中继代理能够区分两台服务器并为订阅者执行正确的操作。

您还可以使用选择性处理来区分同一接口上向不同 DHCP 订阅者提供的服务。例如,一个家庭可能包含两个 IP 设备,它们从服务提供商的 DHCP 服务器获取其 IP 地址。服务提供商可能希望将其中一个设备绑定到传入接口,与其他家庭共享该地址。同时,服务提供商可能希望第二台设备具有自己的过滤器和 CoS 功能。对于这第二个设备,服务提供商可以使用选择性处理来创建动态 IP 多路分离接口。

您可以全局配置选择性处理支持,也可以为一组命名的接口配置选择性处理支持。您还可以按逻辑系统和路由实例配置对扩展 DHCP 中继代理的支持。

要配置选择性处理,请指定用于标识流量的 DHCP 或 DHCPv6 选项属性、用于过滤流量的匹配条件以及要对过滤后的流量执行的操作。

您可以使用以下 DHCP 选项有选择地处理客户端流量:

  • DHCPv4 option 60(供应商类别标识符)

  • DHCPv4 option 77(用户类标识符)

  • DHCPv6 option 15(用户类选项)

  • DHCPv6 选项 16(供应商类别选项)

您可以配置完全匹配或部分匹配标准来过滤客户端流量,并指定 ascii 选项(定义 1 到 255 个字母数字字符的非空 ASCII 字符串)或 hexadecimal 选项(定义 1 到 255 个十六进制字符 [0 到 9、a 到 f 和 A 到 F] 的十六进制字符串)。

最佳实践:

由于 DHCP option 77 和 DHCPv6 option 16 的格式,建议仅使用这两个选项配置十六进制匹配,而非 ASCII 匹配。

您可以配置无限数量的匹配字符串。如果将字符串配置为完全匹配 (equals) 和部分匹配 (starts-with) 条件,则精确匹配优先。完全匹配或部分匹配字符串不支持通配符。

使用以下匹配条件过滤客户端流量:

  • equals- 您指定的字符串与客户端流量中的选项字符串完全匹配。

  • starts-with—您指定的字符串是客户端流量中选项字符串的子集,从最左侧的字符开始。例如,您配置的字符串“test”是客户端选项字符串中“test123”的子集,并且与条件匹配 starts-with

  • default-action- 客户端流量中的选项字符串不满足任何匹配条件,或者未配置匹配条件。

    注意:

    default-action 可选的。如果未满足匹配条件或未配置且未 default-action 配置匹配条件,DHCP 中继将按正常方式处理流量。

您可以为过滤后的客户端流量指定以下操作:

  • drop- 丢弃流量。

  • forward-only—转发流量,无需创建新的订阅者会话。

    注意:

    使用该 forward-only 操作时,唯一支持的配置 overrides 操作是 trust-option-82 选项。DHCP 中继代理会忽略已配置的所有其他 overrides 选项。

  • local-server-group- 将流量转发到指定的 DHCP 本地服务器组,以提供所请求的客户端服务。DHCPv6 中继代理不支持此选项。

  • relay-server-group- 将流量转发到提供所请求客户端服务的指定 DHCP 服务器组。

使用 DHCP 选项信息选择性地处理 DHCP 客户端流量

从 Junos OS 15.1 版开始,您可以将 DHCP 中继代理配置为有选择地处理客户端流量。选择性处理使用 DHCP 或 DHCPv6 选项信息来识别、过滤和处理客户端流量。要配置 DHCPv6 支持,请在 [edit forwarding-options dhcp-relay dhcpv6] 层次结构级别上使用过程。

要将 DHCP 中继代理配置为使用选项信息选择性地处理 DHCP 客户端流量,请执行以下操作:

  1. 指定要配置 DHCP 中继代理支持。
  2. 指定要使用 DHCP 选项功能有选择地处理传入的 DHCP 流量。
  3. 指定 DHCP 中继用于识别和处理客户端流量的 DHCP 或 DHCPv6 选项编号。可以为 DHCP 中继代理指定选项 60 和 77,为 DHCPv6 中继代理指定选项 15 和 16。

    例如,要识别具有 DHCP option 60 信息的流量,请执行以下操作:

  4. (可选)配置当传入客户端流量不满足任何配置的匹配或部分匹配条件时,DHCP 中继使用的默认操作。

    例如,要将 DHCP 中继配置为默认丢弃流量:

  5. (可选)配置完全匹配条件,用于过滤客户端流量并指定 DHCP 中继代理要执行的关联操作。

    例如,要选择 option 60 ASCII 字符串为 video25的流量,然后将该流量转发到指定的本地服务器组:

  6. (可选)配置部分匹配条件,用于过滤客户端流量并指定关联的操作。

    例如,要选择选项为 60 的十六进制字符串(从左到右)的 766964656F 流量,然后转发该流量而不创建新会话:

显示在选择性处理期间丢弃或转发的 DHCP 数据包计数(基于 DHCP 选项字符串)

要显示选择性处理期间丢弃或转发的 DHCP 或 DHCPv6 客户端数据包的数量,请使用以下操作命令:

示例:配置基于 DHCP 选项字符串的 DHCP 中继代理选择性流量处理

此示例说明如何将 DHCP 中继代理配置为使用 DHCP 选项字符串来选择性地识别、过滤和处理客户端流量。

要求

此示例使用以下硬件和软件组件:

  • MX 系列 5G 通用路由平台或 EX 系列交换机

在配置 DHCP 中继代理选择性处理支持之前,请确保:

概述

在此示例中,您将 DHCP 中继代理配置为使用客户端数据包中的 DHCP 选项字符串来选择性地识别、过滤和处理客户端流量。要配置选择性处理,请执行以下过程:

  1. 识别客户端流量 — 指定 DHCP 中继代理用于识别要处理的客户端流量的 DHCP 选项。您指定的选项将与客户端流量中的选项匹配。

  2. 配置默认操作 — 指定默认处理操作,DHCP 中继将该操作用于不满足任何配置匹配条件的已识别客户端流量。

  3. 创建匹配过滤器并将操作与每个过滤器关联 - 指定过滤客户端流量的匹配条件。条件可以是与客户端流量中的选项字符串完全匹配或部分匹配。将处理操作与每个匹配条件相关联。

配置

要根据 DHCP 选项信息配置 DHCP 中继代理选择性处理,请执行以下任务:

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到层级的 CLI [edit] 中。

配置 DHCP 中继代理以基于 DHCP 选项字符串选择性地处理客户端流量

分步过程

要配置 DHCP 中继选择性处理:

  1. 指定要配置 DHCP 中继代理支持。

  2. 指定 DHCP 中继代理用于识别传入客户端流量的 DHCP 选项。

  3. 配置默认操作,当传入客户端流量不满足任何配置的匹配条件时,DHCP 中继代理会使用该操作。

  4. 配置 DHCP 中继用于处理已识别客户端流量的完全匹配条件和关联操作。

  5. 配置第二个完全匹配条件和 DHCP 中继用于处理客户端流量的关联操作。

  6. 配置部分匹配标准和 DHCP 中继用于处理客户端流量的关联操作。

结果

在配置模式下,通过在[edit forwarding-options]层次结构级别发出show语句来确认配置结果。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

要验证 DHCP 中继代理选择性流量处理的状态,请执行以下任务:

验证 DHCP 中继代理的状态 选择性流量处理

目的

验证 DHCP 中继代理选择性流量处理状态。

行动

显示 DHCP 中继代理的统计信息。

意义

Packets forwarded命令输出中的show dhcp relay statistics字段显示由于选择性流量处理配置而转发的客户端数据包数。在此示例中,输出指示 DHCP 中继代理转发的数据包总数,以及转发的数据BOOTREQUEST包数量和BOOTREPLY数据包数的明细。

示例:配置 DHCP 和 DHCPv6 中继代理 组级选择性流量处理

此示例说明如何为 DHCPv6 中继代理选择性处理配置基于命名接口组的支持,该处理使用 DHCP 选项字符串来识别、过滤和处理客户端流量。

此示例介绍 DHCPv6 中继代理配置 - 您可以在层次结构级别为 DHCP 中继代理组 [edit forwarding-options dhcp-relay] 配置相关过程。DHCPv6 选择性处理支持 DHCPv6 选项 15 和 16。DHCP 选择性处理支持 option 60(仅限 MX 系列路由器)和 option 77。

要求

此示例使用以下硬件和软件组件:

  • MX 系列 5G 通用路由平台或 PTX 系列数据包传输路由器

在配置 DHCPv6 中继代理选择性处理支持之前,请确保:

概述

在此示例中,您将配置组级 DHCPv6 中继代理命名接口支持,以便基于 DHCPv6 选项字符串选择性地处理客户端数据包。要配置选择性处理,请执行以下过程:

  1. 识别客户端流量 — 指定 DHCPv6 中继代理用于识别要处理的客户端流量的 DHCPv6 选项。您指定的 DHCPv6 选项与客户端流量中的选项匹配。

  2. 配置默认操作 - 指定默认处理操作,DHCPv6 中继将该操作用于不满足任何配置匹配条件的已识别客户端流量。

  3. 创建匹配过滤器并将操作与每个过滤器关联 - 指定过滤客户端流量的匹配条件。标准可以是与客户端流量中的 DHCPv6 选项字符串完全匹配或部分匹配。将处理操作与每个匹配条件相关联。

配置

要根据 DHCPv6 选项信息配置组级 DHCPv6 中继代理选择性处理,请执行以下任务:

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到层级的 CLI [edit] 中。快速配置假定之前已配置命名接口组和 DHCP 服务器组。

配置名为接口组的 DHCPv6 中继代理,以基于 DHCPv6 选项字符串选择性地处理客户端流量

分步过程

此过程假定您之前已创建命名接口组和 DHCPv6 服务器组。要配置 DHCPv6 中继组级选择性处理,请执行以下操作:

  1. 指定要配置 DHCPv6 中继代理支持。

  2. 指定要配置组级 DHCPv6 中继代理支持。

  3. 指定 DHCPv6 中继代理用于识别传入客户端流量的 DHCPv6 选项号。

  4. 配置默认操作,当传入客户端流量不满足任何配置的匹配条件时,DHCPv6 中继代理会使用该操作。

  5. 配置完全匹配条件和关联操作,DHCPv6 中继用于处理已识别的客户端流量。

  6. 配置第二个完全匹配条件和 DHCPv6 中继用于处理客户端流量的关联操作。

  7. 配置部分匹配标准和 DHCPv6 中继用于处理客户端流量的关联操作。

结果

在配置模式下,通过在[edit forwarding-options dhcp]层次结构级别发出show语句来确认配置结果。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

要验证 DHCPv6 中继代理选择性流量处理的状态,请执行以下任务:

验证 DHCPv6 中继代理的状态 选择性流量处理

目的

验证 DHCPv6 中继代理选择性流量处理状态。

行动

显示 DHCPv6 中继代理的统计信息。

意义

Packets forwarded命令输出中的show dhcpv6 relay statistics字段显示由于选择性流量处理配置而转发的客户端数据包数。在此示例中,输出表示 DHCPv6 中继代理转发的数据包总数,以及转发的数据FWD REQUEST包数量和FWD REPLY数据包数的明细。

不同 VRF 中的 DHCP 客户端与 DHCP 服务器之间的 DHCP 消息交换

在某些服务提供商网络中,DHCP 服务器所在的服务网络与实际用户网络是隔离的。服务和用户网络的这种分离有时会带来潜在的安全问题,例如路由泄漏。

从 Junos OS 14.2 版开始,您可以在不同的虚拟路由和转发实例 (VRF) 之间交换 DHCP 消息时,使用 DHCP 中继代理来提供额外的安全性。DHCP 中继代理可以确保客户端 VRF 和 DHCP 服务器 VRF 之间没有直接路由,并且只有可接受的 DHCP 数据包才会在两个 VRF 之间中继。 订阅者管理支持 DHCP 和 DHCPv6 数据包的跨 VRF 消息交换。

要在不同 VRF 之间交换 DHCP 消息,必须使 DHCP 中继代理的服务器端和客户端都能根据数据包中的 DHCP 选项信息识别和转发可接受的流量。消息交换使用以下 DHCP 选项来标识要中继的流量。

  • DHCPv4 数据包的代理电路 ID(DHCP option 82 子选项 1)

  • DHCPv6 数据包的中继代理接口 ID(DHCPv6 选项 18)

使用跨 VRF 消息交换的 DHCP 数据包的统计信息将计入客户端 VRF 中。

以下列表介绍了 DHCP 中继代理如何在不同 VRF 中的 DHCP 客户端和 DHCP 服务器之间交换消息:

  • 从 DHCP 客户端到 DHCP 服务器的数据包 — DHCP 中继代理在客户端 VRF 中接收来自客户端的 DHCP 数据包,然后将相应的 DHCP option 82 子选项 1 或 DHCPv6 option 18 属性插入到数据包中。然后,中继代理将数据包转发到服务器 VRF 中的 DHCP 服务器。

  • 从 DHCP 服务器到 DHCP 客户端的数据包 — DHCP 中继代理接收来自服务器 VRF 中 DHCP 服务器的 DHCP 回复消息。中继代理从 DHCP 服务器 VRF 中数据包中的 DHCP option 82 子选项 1 或 DHCPv6 option 18 属性派生客户端接口,包括 VRF。然后,中继代理将回复消息转发到客户端 VRF 中的 DHCP 客户端。

在不同的虚拟路由实例中配置 DHCP 服务器和客户端之间的 DHCP 消息交换

从 Junos OS 14.2 版开始,您可以配置 DHCP 中继代理,以便在 DHCP 服务器与位于不同虚拟路由和转发实例 (VRF) 中的 DHCP 客户端之间交换 DHCP 消息时提供额外的安全性。

您可以配置 DHCP 中继代理,以便在 DHCP 服务器和位于不同虚拟路由实例中的 DHCP 客户端之间交换 DHCP 消息时提供额外的安全性。当 DHCP 服务器驻留在必须与客户端网络隔离的网络中时,此类配置用于 DHCP 服务器与 DHCP 客户端之间的 无状态 DHCP 中继连接。

无状态 DHCP 中继代理不会维护有关 DHCP 客户端的动态状态信息,也不会维护流量在客户端和服务器路由实例之间流动的静态路由。

要在两个 VRF 之间启用 DHCP 消息交换,请将 DHCP 中继的每个端配置为根据数据包中的 DHCP 选项信息识别和转发可接受的流量。可接受的流量由 DHCPv4 数据包的代理电路 ID(DHCP option 82 子选项 1)或 DHCPv6 数据包的中继代理接口 ID(DHCPv6 选项 18)来标识。

以下列表概述了在不同 VRF 之间创建 DHCP 消息交换所需的任务:

  • 客户端支持 — 配置 DHCP 中继代理 forward-only 语句以指定 DHCP 服务器的 VRF 位置,DHCP 中继代理会将带有相应 DHCP 选项信息的客户端数据包转发到该位置。该 forward-only 语句可确保 DHCP 中继代理不会创建新会话或执行任何其他订阅者管理操作(例如创建动态接口或维护租约)。

    您可以选择为服务器 VRF 配置特定的逻辑系统和路由实例。如果未指定逻辑系统或路由实例,则 DHCP 将使用从中添加配置的本地逻辑系统和路由实例。

  • 服务器端支持 — 配置 DHCP 中继代理 forward-only-replies 语句,以便 DHCP 中继代理转发具有相应 DHCP 选项信息的回复数据包。此语句还可确保 DHCP 中继代理不会创建新会话或执行任何其他订阅者管理操作。

    注意:

    如果 DHCP 客户端和 DHCP 服务器位于同一逻辑系统/路由实例中,则无需配置 forward-only-replies 语句。

  • DHCP 本地服务器支持 — 将 DHCP 本地服务器配置为支持 DHCP NAK 中的 option 82 信息,并强制续订消息。默认情况下,这两种消息类型不支持 option 82。

  • 其他支持 — 确保配置以下所需支持:

    • 必须在 DHCP 服务器 VRF 中面向服务器的接口上启用代理 ARP 支持,以便 DHCP 中继代理可以接收和响应 DHCP 服务器 VRF 中客户端和面向客户端的接口的 ARP 请求。

    • 对于在客户端 VRF 中可访问的客户端,路由必须可用才能从服务器 VRF 中的 DHCP 服务器接收 DHCP 数据包。

以下过程介绍用于在 DHCP 服务器与不同 VRF 中的客户端之间创建 DHCP 消息交换的配置任务。

客户端支持

要在 DHCP 中继代理的客户端配置支持:

  1. 启用 DHCP 中继代理配置。
  2. 指定 DHCP 中继代理将数据包从 DHCP 客户端转发到的 DHCP 服务器 VRF。DHCP 中继代理会转发具有相应 DHCP 选项信息的可接受数据包,但不执行任何其他订阅者管理操作。您可以全局配置语句,也可以为指定的接口组配置语句,也可以为 DHCPv4 或 DHCPv6 配置 forward-only 语句。您可以为服务器 VRF 指定当前、默认或特定逻辑系统或路由实例。

    以下示例为 DHCPv4 全局配置 forward-only 语句,并指定默认逻辑系统和路由实例:

注意:

对于本地 DHCPv4 客户端,DHCP 中继代理会添加代理电路 ID 选项。但是,如果数据包中已存在代理电路 ID 选项,则必须确保 DHCP 服务器支持 option 82 供应商特定信息子选项(子选项 9)。

如果在层次结构级别配置[edit forwarding-options dhcp-relay relay-option]forward-only句,则该中继选项操作优先于 DHCP 跨 VRF 消息交换语句的配置forward-only

服务器端支持

要在 DHCP 中继的服务器端配置跨 VRF 消息交换支持,请执行以下操作:

注意:

如果 DHCP 客户端和 DHCP 服务器位于同一逻辑系统/路由实例中,则无需配置 forward-only-replies 语句。
  1. 启用 DHCP 中继代理配置。
  2. 配置 DHCP 中继代理以将 DHCP 数据包从 DHCP 服务器 VRF 转发到客户端。DHCP 中继代理仅转发数据包,不执行任何其他订阅者管理操作。您可以为 DHCPv4 和 DHCPv6 全局配置 forward-only-replies 语句。

    以下示例为 DHCPv4 全局配置 forward-only-replies 语句。

DHCP 本地服务器支持

将DHCP本地服务器配置为支持NAK中的option 82信息和forcerenew消息;跨 VRF 消息交换功能使用 option 82 或 DHCPv6 option 18 信息来确定客户端 VRF:

  1. 启用 DHCP 本地服务器配置。
  2. 指定要配置覆盖选项。
  3. 配置 DHCP 本地服务器以覆盖默认行为并支持 DHCP NAK 中的 option 82 信息并强制更新消息。您可以为一组接口或特定接口全局配置覆盖操作。

基于远程 ID 的 DHCP 启动的服务更改

通过订阅者管理,您可以使用客户端的远程 ID(代理远程 ID)更新 DHCP 客户端的当前服务。远程 ID 可以位于 DHCPv4 客户端的 option 82 子选项 2 中,或者 DHCPv6 客户端的 option 37 中。

最初建立 DHCP 客户端时,DHCP 会在 DHCP 客户端数据库中保留客户端的传入远程 ID。收到该客户端的重新绑定或续订消息时,DHCP 会将客户端的初始远程 ID 与 DHCP 续订或重新绑定消息中的远程 ID 进行比较。如果两个远程 ID 不匹配,DHCP 本地服务器将拆除现有绑定并发送 NAK 消息(或 DHCPv6 的逻辑 NAK),这会导致客户端启动重新连接序列。当客户端重新连接时,DHCP 本地服务器会激活新服务,该服务在新的代理远程 ID 字符串中编码。

您可以将路由器配置为全局或为特定组支持远程 ID 服务更改功能,还可以在 DHCP 本地服务器和 DHCP 中继代理上配置支持。

在双堆栈环境中,DHCP 启动的服务更改功能要求客户端的 DHCPv4 和 DHCPv6 会话驻留在相同的 VLAN 上(1:1 映射),并且两个会话的代理远程 ID 字符串相同。双堆栈支持还要求将相同的动态客户端配置文件应用于 DHCPv4 和 DHCPv6 网络,以确保两个网络之间的远程 ID 一致性。当 DHCP 在双堆栈的一个会话中检测到远程 ID 不匹配时,DHCP 会断开该会话。然后将传入的远程 ID 与双堆栈的其他会话进行比较,如果存在不匹配,则会正常撤消该其他会话。

在平滑拆除过程中,如果另一个会话当前处于绑定状态,则该会话将转换为延迟删除状态。延迟删除状态允许检测到更改的会话立即使用新的服务计划重新建立,同时使路由器能够通过发送 NAK 消息来响应后续的续订和重新绑定消息,从而正常地断开其他会话。

作为 DHCP 发起的服务更改功能的一部分,AAA 可以设置会话的客户端配置文件。AAA 从远程 ID 获取客户端配置文件,并将配置文件写入会话数据库。AAA 写入数据库的客户端配置文件始终优先于任何本地 DHCP 配置。

代理远程 ID 的更改也可能在重新身份验证期间引发服务更改。您不能在全局级别[edit system services dhcp-local-server]同时配置remote-id-mismatch语句和reauthenticate语句。但是,DHCP 优先级规则允许您在这两个语句处于不同级别时对其进行配置。例如,您可以在全局级别remote-id-mismatch配置 DHCPv6,也可以在[edit system services dhcp-local-server dhcpv6]层次结构级别为 DHCPv6 进行配置,或者在[edit system services dhcp-local-server group name]层次结构级别上为特定组进行配置reauthenticate,依此类推。

DHCP 基于远程 ID 发起的服务更改的好处

  • 当客户端远程 ID 发生更改且与之前存储的代理远程 ID 不匹配时,使 DHCP 服务器或中继代理能够基于远程 ID 更新客户端的服务。在双堆栈环境中,启用 DHCP 服务器或中继代理,以帮助确保双堆栈会话之间的远程 ID 一致性。

基于远程 ID 配置 DHCP 启动的服务更改

本主题介绍如何在 DHCP 本地服务器和 DHCP 中继代理上配置对 DHCP 发起的服务更改的支持。

配置 DHCP 本地服务器

您可以全局配置对 DHCP 本地服务器和 DHCPv6 本地服务器以及一组命名接口的 DHCP 发起的服务更改的支持。

要将 DHCP 本地服务器配置为支持命名组的 DHCP 启动的服务更改:

  1. 在开始 DHCP 启动的服务更改功能的配置之前,请确保将 DHCP 或 DHCPv6 中继代理配置为覆盖默认行为,并在发生远程 ID 不匹配时向 DHCP 服务器发送发布消息。此配置是必需的,因为中继代理无法直接拆除客户端绑定;释放数据包向 DHCP 服务器发出信号,要求其拆除原始绑定。
  2. 指定要配置 DHCP 本地服务器。
  3. 指定要配置的命名组。
  4. 指定对于命名组,DHCP 本地服务器匹配初始 ID 和新的客户端远程 ID,然后在发生不匹配时执行 disconnect 操作。

    当发生不匹配时,DHCP 本地服务器将拆除现有绑定并向客户端发送 NAK 消息,这将启动客户端重新连接序列。然后,在客户端重新连接时激活在代理远程 ID 字符串中编码的新服务。

配置 DHCP 中继代理

您可以全局配置对 DHCP 中继代理和 DHCPv6 中继代理以及一组命名接口的 DHCP 发起的服务更改的支持。

以下示例显示配置 DHCPv6 中继代理以支持 DHCP 发起的全局服务更改的步骤。

  1. 在开始 DHCP 启动的服务更改功能的配置之前,请确保将 DHCPv6 中继代理配置为覆盖默认行为,并在发生远程 ID 不匹配时向 DHCP 服务器发送发布消息。此配置是必需的,因为中继代理无法直接拆除客户端绑定;释放数据包向 DHCP 服务器发出信号,要求其拆除原始绑定。

  2. 指定要配置 DHCP 中继代理。

  3. 指定要配置 DHCPv6 中继代理。

  4. 指定 DHCPv6 中继代理匹配初始 ID 和新的客户端远程 ID ,然后在发生不匹配时执行该 disconnect 操作。

    发生不匹配时,DHCPv6 中继代理会将释放消息发送到 DHCPv6 本地服务器,并向客户端发送逻辑 NAK 消息(生存期为 0 的回复数据包)。然后,服务器撤消现有绑定,客户端启动重新连接序列。在客户端重新连接时,在代理远程 ID 字符串中编码的新服务将会激活。

DHCPv4 和 DHCPv6 对 DHCP 服务器地址未知的中继流量采取的只进操作

可在 DHCPv4 或 DHCPv6 服务器上创建的 DHCP 中继代理条目可用于身份验证、授权、计费、应用过滤、确保客户端服务质量 (QoS) 以及处理数据包中指定的选项。中继代理或客户端条目的创建涉及 jdhcpd 进程内存资源、会话数据库资源、身份验证过程、计费、动态配置文件实例化、动态接口创建、防火墙、服务等级 (CoS) 关联等的参与。客户网络可以包含非客户控制的绑定,他们可能不希望这些中继代理条目功能。当客户的网络具有此类流量时,创建中继代理条目(与创建客户端条目相关)会不必要地占用资源,还可能导致配置文件的错误关联,因为在当前网络场景中,从特定接口接收的所有流量都会被转发,而不处理任何目标地址。

从 Junos OS 17.4R1 版开始, forward-only 可以在宽带网络网关 (BNG) 设备上为非客户流量以及未知的 DHCP 服务器地址启用配置。语句的配置 forward-only 以及新的 DHCP 选项(option-54 用于 DHCPv4 和 option-2 DHCPv6)可避免在 BNG 上创建 DHCP 中继代理条目,并确保将流量转发到指定的目标地址。

通过这些配置,管理员能够确定客户端绑定到哪些服务器;哪些客户端需要创建中继客户端条目并应用动态配置文件和策略,等等;以及为谁(非客户) forward-only 启用配置。

引入了两个新的配置语句(和options-54 options-2)用于处理目标地址。

处理 DHCPv4 和 DHCPv6 目标地址

管理员可以配置语 forward-only 句以避免创建非客户客户端条目。jdhcpd 进程将传入数据包中带或不带目的地址的服务器标识符(option-54 DHCPv4 和 option-2 DHCPv6)与配置的服务器地址进行比较。如果服务器标识符和配置的服务器地址匹配,则操作是仅转发而不创建客户端条目。

在非被动中继时,语句的配置server-match意味着为处理server-match语句的客户端隐式启用语delay-authentication句。您还可以选择性地配置选项 60 和 77(用于 DHCPv4)或选项 15 和 16(用于 DHCPv6)以及关联的处理。这些选项的配置还包括处理顺序的规范。如果未配置这些选项,则 DHCPv4 的默认顺序为 60、77 和 DHCPv6 的默认顺序为 15、16。

注意:

RFC 3315 IPv6 动态主机配置协议 (DHCPv6) 中定义的 DHCPv6 option-16 数据包括一个 4 字节企业编号和可变长度的供应商级数据。企业编号是供应商在 IANA 中注册的编号。因此,预计将 ASCII 匹配与option-16中继选项匹配配置在一起可能不起作用,因为企业编号必须与可打印的 ASCII 字符的值一致。

DHCPv4 option-77 语句也存在类似的限制,因为 option-77 数据可以细分为包括子选项和子长度。因此,使用 option-77 中继选项匹配配置 ASCII 匹配可能不起作用。

在非被动中继时,如果在 重新绑定 阶段收到请求数据包,且不存在对应的中继条目,则需要先配置 bind-on-request 语句,然后创建中继条目并转发数据包。收到确认后,jdhcpd 进程将验证配置中的 server-match 源地址(DHCPv4 使用或不使用 option 54,DHCPv6 使用 option 2)。如果验证结果为无状态条目,则删除中继条目。

管理员可以指定带或不带服务器地址的 DHCP 唯一标识符 (DUID)。jdhcpd 进程首先处理地址语句,然后处理 DUID 语句。如果在地址语句和 DUID 语句中指定了相同的服务器地址,则管理员有责任为 address 和 DUID 语句指定相同的操作。

在无源和非无源中继上,如果接收的数据包包含中继转发标头,并且目标地址为组播地址或链路本地地址,则转发数据包无需任何进一步处理。

注意:

对于 DHCPv4 和 DHCPv6 订阅者,和 server-match 语句处于相同的层次结构中,relay-option并且具有相同的优先级。

处理顺序和操作

中继选项和服务器匹配处理是互斥的。尽管它们处于相同的层次结构并具有相同的优先级,但出于实现目的,您需要先处理中继选项,然后处理服务器匹配。

以下是 DHCPv4 中继选项处理操作:

  • drop- 有匹配项时丢弃。

  • forward-only—当有匹配项时,在没有客户服务的情况下转发。

  • local-server-group- 匹配时 DHCP 本地服务器组的名称。

  • relay-server-group- 匹配时 DHCP 中继服务器组的名称。

以下是 DHCPv6 中继选项处理操作:

  • drop- 有匹配项时丢弃。

  • forward-only—当有匹配项时,在没有客户服务的情况下转发。

  • relay-server-group- 匹配时 DHCP 中继服务器组的名称。

注意:

DHCPv6 服务器对 IPv6 地址的匹配仅在无源中继中可用。

默认和可配置的期权订单的处理方式如图 1 所示。如果需要颠倒选项顺序(DHCPv4 或 DHCPv6),请在 [edit forwarding-options dhcp-relay relay-option] 层次结构级别为 DHCPv4 配置语句或option-order 16,15为 DHCPv6 配置option-order 77,66语句。

图 1:DHCPv4 和 DHCPv6 选项顺序 DHCPv4 and DHCPv6 Option Order

DHCP 中继只转发操作的优点

  • 减少非客户控制的绑定的不必要资源消耗,这些绑定不需要在创建客户端条目时创建中继代理条目。

相关主题

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。

释放
描述
15.1
从 Junos OS 15.1 版开始,选择性流量处理功能允许您使用扩展的 DHCP 和 DHCPv6 中继代理管理多供应商网络。
15.1
从 Junos OS 15.1 版开始,您可以将 DHCP 中继代理配置为有选择地处理客户端流量。
14.2
从 Junos OS 14.2 版开始,您可以在不同的虚拟路由和转发实例 (VRF) 之间交换 DHCP 消息时,使用 DHCP 中继代理来提供额外的安全性。
14.2
从 Junos OS 14.2 版开始,您可以配置 DHCP 中继代理,以便在 DHCP 服务器与位于不同虚拟路由和转发实例 (VRF) 中的 DHCP 客户端之间交换 DHCP 消息时提供额外的安全性。