Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Sicherer DHCP-Nachrichtenaustausch

Mit Junos OS können Sie den DHCP-Relay-Agenten verwenden, um einen sicheren Nachrichtenaustausch zwischen verschiedenen virtuellen Routing- und Weiterleitungsinstanzen (VRFs) bereitzustellen. Um den sicheren Austausch von DHCP-Nachrichten zu ermöglichen, müssen Sie sowohl die Server- als auch die Clientseite des DHCP-Relay-Agenten so konfigurieren, dass akzeptabler Datenverkehr basierend auf DHCP-Optionsinformationen erkannt und weitergeleitet wird. Weitere Informationen finden Sie in diesem Thema.

DHCP-Nachrichtenaustausch zwischen DHCP-Clients und DHCP-Server in verschiedenen VRFs

In einigen Service Provider-Netzwerken ist das Service-Netzwerk, in dem sich der DHCP-Server befindet, vom eigentlichen Teilnehmernetzwerk isoliert. Diese Trennung des Dienst- und des Teilnehmernetzwerks kann manchmal zu potenziellen Sicherheitsproblemen führen, wie z. B. Route-Lecks.

Ab Junos OS Version 14.2 können Sie den DHCP-Relay-Agenten verwenden, um zusätzliche Sicherheit beim Austausch von DHCP-Nachrichten zwischen verschiedenen virtuellen Routing- und Weiterleitungsinstanzen (VRFs) bereitzustellen. Der DHCP-Relay-Agent kann sicherstellen, dass es kein direktes Routing zwischen der Client-VRF und der DHCP-Server-VRF gibt und dass nur akzeptable DHCP-Pakete über die beiden VRFs weitergeleitet werden. Die Abonnentenverwaltung unterstützt den VRF-übergreifenden Nachrichtenaustausch sowohl für DHCP- als auch für DHCPv6-Pakete.

Um DHCP-Nachrichten zwischen verschiedenen VRFs auszutauschen, müssen Sie sowohl die Server- als auch die Clientseite des DHCP-Relay-Agenten aktivieren, um akzeptablen Datenverkehr basierend auf den DHCP-Optionsinformationen in den Paketen zu erkennen und weiterzuleiten. Der Nachrichtenaustausch verwendet die folgenden DHCP-Optionen, um den Datenverkehr zu identifizieren, der weitergeleitet werden soll.

  • Agent-Verbindungs-ID (DHCP-Option 82, Unteroption 1) für DHCPv4-Pakete

  • Relay Agent Interface-ID (DHCPv6 Option 18) für DHCPv6 Pakete

Statistiken für DHCP-Pakete, die den VRF-übergreifenden Nachrichtenaustausch verwenden, werden in der Client-VRF gezählt.

In der folgenden Liste wird beschrieben, wie der DHCP-Relay-Agent Nachrichten zwischen den DHCP-Clients und dem DHCP-Server in verschiedenen VRFs austauscht:

  • Pakete vom DHCP-Client zum DHCP-Server: Der DHCP-Relay-Agent empfängt das DHCP-Paket vom Client in der Client-VRF und fügt dann das entsprechende Attribut DHCP-Option 82 Suboption 1 oder DHCPv6-Option 18 in das Paket ein. Der Relay-Agent leitet das Paket dann an den DHCP-Server in der VRF des Servers weiter.

  • Pakete vom DHCP-Server zum DHCP-Client: Der DHCP-Relay-Agent empfängt die DHCP-Antwortnachricht vom DHCP-Server in der Server-VRF. Der Relay-Agent leitet die Schnittstelle des Clients, einschließlich VRF, aus dem Attribut DHCP-Option 82 Unteroption 1 oder DHCPv6-Option 18 im Paket in der DHCP-Server-VRF ab. Der Relay-Agent leitet dann die Antwortnachricht an den DHCP-Client in der VRF des Clients weiter.

DHCP-Nachrichtenaustausch zwischen DHCP-Server und Clients in verschiedenen virtuellen Routinginstanzen konfigurieren

Ab Junos OS Version 14.2 können Sie den DHCP-Relay-Agenten so konfigurieren, dass er zusätzliche Sicherheit beim Austausch von DHCP-Nachrichten zwischen einem DHCP-Server und DHCP-Clients bietet, die sich in verschiedenen virtuellen Routing- und Weiterleitungsinstanzen (VRFs) befinden.

Sie können den DHCP-Relay-Agent so konfigurieren, dass er zusätzliche Sicherheit beim Austausch von DHCP-Nachrichten zwischen einem DHCP-Server und DHCP-Clients bietet, die sich in verschiedenen virtuellen Routinginstanzen befinden. Diese Art der Konfiguration ist für eine zustandslose DHCP-Relay-Verbindung zwischen einem DHCP-Server und einem DHCP-Client vorgesehen, wenn sich der DHCP-Server in einem Netzwerk befindet, das vom Clientnetzwerk isoliert werden muss.

Ein zustandsloser DHCP-Relay-Agent verwaltet keine dynamischen Statusinformationen zu den DHCP-Clients und unterhält keine statische Route für den Datenverkehr zwischen den Client- und Server-Routinginstanzen.

Um den DHCP-Nachrichtenaustausch zwischen den beiden VRFs zu aktivieren, konfigurieren Sie jede Seite des DHCP-Relays so, dass akzeptabler Datenverkehr basierend auf den DHCP-Optionsinformationen in den Paketen erkannt und weitergeleitet wird. Der akzeptable Datenverkehr wird entweder durch die Agent-Leitungs-ID (DHCP-Option 82, Unteroption 1) für DHCPv4-Pakete oder die Relay-Agent-Schnittstellen-ID (DHCPv6-Option 18) für DHCPv6-Pakete identifiziert.

Die folgende Liste gibt einen Überblick über die Aufgaben, die zum Erstellen des DHCP-Nachrichtenaustauschs zwischen den verschiedenen VRFs erforderlich sind:

  • Clientseitige Unterstützung: Konfigurieren Sie die DHCP-Relay-Agent-Anweisung forward-only , um den VRF-Speicherort des DHCP-Servers anzugeben, an den der DHCP-Relay-Agent die Clientpakete mit den entsprechenden DHCP-Optionsinformationen weiterleitet. Die forward-only Anweisung stellt sicher, dass der DHCP-Relay-Agent keine neue Sitzung erstellt oder andere Abonnentenverwaltungsvorgänge ausführt (z. B. das Erstellen dynamischer Schnittstellen oder das Verwalten von Leases).

    Optional können Sie ein bestimmtes logisches System und eine bestimmte Routinginstanz für die Server-VRF konfigurieren. Wenn Sie kein logisches System oder keine Routinginstanz angeben, verwendet DHCP das lokale logische System und die Routinginstanz, aus denen die Konfiguration hinzugefügt wird.

  • Serverseitige Unterstützung: Konfigurieren Sie die DHCP-Relay-Agent-Anweisung forward-only-replies so, dass der DHCP-Relay-Agent die Antwortpakete weiterleitet, die die entsprechenden DHCP-Optionsinformationen enthalten. Mit dieser Anweisung wird auch sichergestellt, dass der DHCP-Relay-Agent keine neue Sitzung erstellt oder andere Abonnentenverwaltungsvorgänge ausführt.

    Hinweis:

    Sie müssen die forward-only-replies Anweisung nicht konfigurieren, wenn sich der DHCP-Client und der DHCP-Server im selben logischen System/derselben Routinginstanz befinden.

  • Unterstützung des lokalen DHCP-Servers: Konfigurieren Sie den lokalen DHCP-Server so, dass er die Informationen zu Option 82 in DHCP-NAK- und forcerenew-Nachrichten unterstützt. Standardmäßig unterstützen die beiden Nachrichtentypen die Option 82 nicht.

  • Zusätzliche Unterstützung: Stellen Sie sicher, dass die folgende erforderliche Unterstützung konfiguriert ist:

    • Die Proxy-ARP-Unterstützung muss auf der serverseitigen Schnittstelle in der DHCP-Server-VRF aktiviert sein, damit der DHCP-Relay-Agent die ARP-Anforderungen für Clients und die clientseitige Schnittstelle in der DHCP-Server-VRF empfangen und beantworten kann.

    • Routen müssen verfügbar sein, um die DHCP-Pakete vom DHCP-Server in der Server-VRF für die Clients zu empfangen, die in der Client-VRF erreichbar sind.

In den folgenden Verfahren werden die Konfigurationsaufgaben zum Erstellen des DHCP-Nachrichtenaustauschs zwischen dem DHCP-Server und Clients in verschiedenen VRFs beschrieben.

Client-seitiger Support

So konfigurieren Sie die Unterstützung auf der Client-Seite des DHCP-Relay-Agenten:

  1. Aktivieren Sie die DHCP-Relay-Agent-Konfiguration.
  2. Geben Sie die VRF des DHCP-Servers an, an die der DHCP-Relay-Agent die Pakete vom DHCP-Client weiterleitet. Der DHCP-Relay-Agent leitet die akzeptablen Pakete weiter, die über die entsprechenden DHCP-Optionsinformationen verfügen, führt jedoch keine zusätzlichen Abonnentenverwaltungsvorgänge durch. Sie können die forward-only Anweisung global oder für eine benannte Gruppe von Schnittstellen und für DHCPv4 oder DHCPv6 konfigurieren. Sie können die aktuelle, die Standardeinstellung oder eine bestimmte logische System- oder Routinginstanz für die Server-VRF angeben.

    Im folgenden Beispiel wird die forward-only Anweisung global für DHCPv4 konfiguriert und das logische Standardsystem und die Routinginstanz angegeben:

Hinweis:

Für lokale DHCPv4-Clients fügt der DHCP-Relay-Agent die Option Agent Circuit ID hinzu. Wenn jedoch die Option Agent Circuit ID bereits im Paket vorhanden ist, müssen Sie sicherstellen, dass der DHCP-Server die Option 82 Herstellerspezifische Informationen (Unteroption 9) unterstützt.

Wenn die forward-only Anweisung auf Hierarchieebene [edit forwarding-options dhcp-relay relay-option] konfiguriert ist, hat diese Relay-Optionsaktion Vorrang vor der Konfiguration der forward-only Anweisung für den DHCP-VRF-übergreifenden Nachrichtenaustausch.

Serverseitige Unterstützung

So konfigurieren Sie die Unterstützung für den VRF-übergreifenden Nachrichtenaustausch auf der Serverseite des DHCP-Relays:

Hinweis:

Sie müssen die forward-only-replies Anweisung nicht konfigurieren, wenn sich der DHCP-Client und der DHCP-Server im selben logischen System/derselben Routinginstanz befinden.
  1. Aktivieren Sie die DHCP-Relay-Agent-Konfiguration.
  2. Konfigurieren Sie den DHCP-Relay-Agenten so, dass die DHCP-Pakete von der VRF des DHCP-Servers an den Client weitergeleitet werden. Der DHCP-Relay-Agent leitet die Pakete nur weiter und führt keine zusätzlichen Abonnentenverwaltungsvorgänge durch. Sie können die forward-only-replies Anweisung global für DHCPv4 und DHCPv6 konfigurieren.

    Im folgenden Beispiel wird die forward-only-replies Anweisung global für DHCPv4 konfiguriert.

Unterstützung für lokale DHCP-Server

So konfigurieren Sie den lokalen DHCP-Server für die Unterstützung von Option 82-Informationen in NAK- und forcerenew-Nachrichten; Die VRF-übergreifende Nachrichtenaustauschfunktion verwendet die Informationen zu Option 82 oder DHCPv6 Option 18, um die Client-VRF zu bestimmen:

  1. Aktivieren Sie die Konfiguration des lokalen DHCP-Servers.
  2. Geben Sie an, dass Sie eine Außerkraftsetzungsoption konfigurieren möchten.
  3. Konfigurieren Sie den lokalen DHCP-Server so, dass das Standardverhalten außer Kraft gesetzt wird und Informationen zu Option 82 in DHCP-NAK- und forcerenew-Meldungen unterstützt werden. Sie können die Überschreibungsaktion global, für eine Gruppe von Schnittstellen oder für eine bestimmte Schnittstelle konfigurieren.

Zugehörige Dokumentation

Tabelle "Änderungshistorie"

Die Funktionsunterstützung hängt von der Plattform und der Version ab, die Sie verwenden. Verwenden Sie den Feature-Explorer , um festzustellen, ob ein Feature auf Ihrer Plattform unterstützt wird.

Release
Beschreibung
14.2
Ab Junos OS Version 14.2 können Sie den DHCP-Relay-Agenten verwenden, um zusätzliche Sicherheit beim Austausch von DHCP-Nachrichten zwischen verschiedenen virtuellen Routing- und Weiterleitungsinstanzen (VRFs) bereitzustellen.
14.2
Ab Junos OS Version 14.2 können Sie den DHCP-Relay-Agenten so konfigurieren, dass er zusätzliche Sicherheit beim Austausch von DHCP-Nachrichten zwischen einem DHCP-Server und DHCP-Clients bietet, die sich in verschiedenen virtuellen Routing- und Weiterleitungsinstanzen (VRFs) befinden.