AUF DIESER SEITE
Konfigurieren eines DHCP-Relay-Agenten auf Switches der EX-Serie
Deaktivieren der automatischen Bindung von verstreuten DHCP-Anforderungen
Verwenden von Layer-2-Unicast-Übertragung anstelle von Broadcast für DHCP-Pakete
Ändern des Felds Gateway-IP-Adresse (giaddr) in das Feld giaddr des DHCP-Relay-Agenten
Überschreiben der standardmäßigen DHCP-Relay-Konfigurationseinstellungen
Deaktivieren des DHCP-Relay-Agenten für Schnittstellen, für Gruppen oder global
DHCP-Relay-Agent
Der DHCP-Relay-Agent fungiert als Schnittstelle zwischen DHCP-Clients und dem Server. Der DHCP-Relay-Agent leitet DHCP-Nachrichten zwischen DHCP-Clients und DHCP-Servern in verschiedenen IP-Netzwerken weiter. Weitere Informationen finden Sie in diesem Thema.
Grundlegendes zum DHCP-Relay-Agent-Betrieb
Ein Gerät von Juniper Networks, das als DHCP-Relay-Agent fungiert, leitet eingehende Anforderungen von BOOTP- und DHCP-Clients an einen angegebenen BOOTP- oder DHCP-Server weiter. Clientanforderungen können VPN-Tunnel (Virtual Private Network) passieren.
Es ist nicht möglich, eine einzelne Geräteschnittstelle so zu konfigurieren, dass sie sowohl als DHCP-Client als auch als DHCP-Relay fungiert.
Die DHCP-Anforderungen, die auf einer Schnittstelle empfangen werden, sind einem DHCP-Pool zugeordnet, der sich im selben Subnetz wie die primäre IP-Adresse/das primäre Subnetz auf einer Schnittstelle befindet. Wenn eine Schnittstelle mehreren IP-Adressen/Subnetzen zugeordnet ist, verwendet das Gerät die niedrigste numerisch zugewiesene IP-Adresse als primäre IP-Adresse/primäres Subnetz für die Schnittstelle. Um die IP-Adresse/das Subnetz zu ändern, das bzw. das als primäre Adresse auf einer Schnittstelle aufgeführt ist, verwenden Sie den set interfaces < interface name > unit 0 family inet xxx.xxx.xxx.xxx/yy primary Befehl und führen Sie einen Commit für die Änderung aus.
Alle DHCP-Pakete, die über eine nicht konfigurierte DHCP-Schnittstelle geleitet werden, werden möglicherweise verworfen.
Durch Aktivieren der DHCP-Relay- oder DHCP-Serverfunktion wird auch die DHCP-Snooping-Funktion aktiviert, die alle DHCP-Pakete analysiert, die über eine beliebige Schnittstelle des Geräts (sowohl DHCP-konfigurierte als auch nicht konfigurierte Schnittstellen) empfangen werden.
Schnittstellen, die nicht unter DHCP-Einstellungen aufgeführt sind, werden als unconfigured Schnittstellen betrachtet. Je nach Konfiguration werden DHCP-Pakete, die auf nicht konfigurierten DHCP-Schnittstellen empfangen werden, verworfen.
Interaktion zwischen DHCP-Relay-Agent, DHCP-Client und DHCP-Servern
Das Interaktionsmuster zwischen dem DHCP-Relay-Agenten, dem DHCP-Client und den DHCP-Servern ist identisch, unabhängig davon, ob die Softwareinstallation auf einem Router oder einem Switch erfolgt. Es gibt jedoch einige Unterschiede in den Details der Nutzung.
Auf Routern: In einer typischen Carrier-Edge-Netzwerkkonfiguration befindet sich der DHCP-Client auf dem Computer des Teilnehmers, und der DHCP-Relay-Agent ist auf dem Router zwischen dem DHCP-Client und einem oder mehreren DHCP-Servern konfiguriert.
On Switches: In einer typischen Netzwerkkonfiguration befindet sich der DHCP-Client auf einem Zugriffsgerät, z. B. einem PC, und der DHCP-Relay-Agent ist auf dem Switch zwischen dem DHCP-Client und einem oder mehreren DHCP-Servern konfiguriert.
In den folgenden Schritten wird allgemein beschrieben, wie der DHCP-Client, der DHCP-Relay-Agent und der DHCP-Server in einer Konfiguration interagieren, die zwei DHCP-Server umfasst.
Der DHCP-Client sendet ein Ermittlungspaket, um einen DHCP-Server im Netzwerk zu finden, von dem Konfigurationsparameter für den Teilnehmer (oder DHCP-Client), einschließlich einer IP-Adresse, abgerufen werden können.
Der DHCP-Relay-Agent empfängt das Ermittlungspaket und leitet Kopien an jeden der beiden DHCP-Server weiter. Der DHCP-Relay-Agent erstellt dann einen Eintrag in seiner internen Client-Tabelle, um den Status des Clients nachzuverfolgen.
Als Antwort auf den Empfang des Ermittlungspakets sendet jeder DHCP-Server ein Angebotspaket an den Client. Der DHCP-Relay-Agent empfängt die Angebotspakete und leitet sie an den DHCP-Client weiter.
Nach Erhalt der Angebotspakete wählt der DHCP-Client den DHCP-Server aus, von dem Konfigurationsinformationen abgerufen werden sollen. In der Regel wählt der Client den Server aus, der die längste Leasezeit für die IP-Adresse bietet.
Der DHCP-Client sendet ein Anforderungspaket, das den DHCP-Server angibt, von dem Konfigurationsinformationen abgerufen werden sollen.
Der DHCP-Relay-Agent empfängt das Anforderungspaket und leitet Kopien an jeden der beiden DHCP-Server weiter.
Der vom Client angeforderte DHCP-Server sendet ein Bestätigungspaket (ACK), das die Konfigurationsparameter des Clients enthält.
Der DHCP-Relay-Agent empfängt das ACK-Paket und leitet es an den Client weiter.
Der DHCP-Client empfängt das ACK-Paket und speichert die Konfigurationsinformationen.
Wenn dies konfiguriert ist, installiert der DHCP-Relay-Agent eine Hostroute und einen ARP-Eintrag (Address Resolution Protocol) für diesen Client.
Nach dem Einrichten der anfänglichen Lease für die IP-Adresse verwenden der DHCP-Client und der DHCP-Server die Unicastübertragung, um die Verlängerung oder Freigabe der Lease auszuhandeln. Der DHCP-Relay-Agent "schnüffelt" in allen Unicast-Paketen zwischen dem Client und dem Server, die den Router (oder Switch) passieren, um festzustellen, wann die Lease für diesen Client abgelaufen oder freigegeben wurde. Dieser Vorgang wird als Lease Shadowing oder passives Snooping bezeichnet.
Wenn auf allen Junos OS-Geräten das DHCP-Relay mit forward-only option konfiguriert ist und der DHCP-Client auf der logischen Tunnelschnittstelle beendet wird, wenn die logische Tunnelschnittstelle
Enthält mehrere logische Schnittstellen
Verwenden Sie dasselbe VLAN auf mehreren logischen Schnittstellen derselben
ltSchnittstelle
In solchen Fällen kann das DHCP-Relay die OFFER-Nachrichten möglicherweise nicht senden.
Dieses Problem tritt in den Junos OS-Versionen 19.3R3, 19.4R2, 18.4R3, 19.4R1, 19.3R2, 18.4R3-S1, 17.4R3 auf.
Minimale DHCP-Relay-Agent-Konfiguration
Dieses Beispiel zeigt die Mindestkonfiguration, die Sie benötigen, um den erweiterten DHCP-Relay-Agent auf Ihrem Junos OS-Gerät zu verwenden. Stellen Sie sicher, dass das Gerät eine Verbindung zum DHCP-Server herstellen kann.
In diesem Beispiel leiten Sie bestimmten DHCP-Clientdatenverkehr an einen DHCP-Server weiter. Sie geben eine aktive Servergruppe an, an die der Datenverkehr für jede Clientgruppe weitergeleitet wird. Hinzufügen von Server-IP-Adressen zur aktiven Servergruppe, Sie können eine Schnittstellengruppe konfigurieren und die DHCP-Relay-Schnittstelle für die Gruppe angeben. Die Schnittstelle, die als DHCP-Relay-Agent verwendet wird, kann Nachrichten an bestimmte Server weiterleiten.
Konfigurieren Sie DHCP-Option 82 und die Nur-Weiterleitungs-Funktion .
In diesem Beispiel wird eine aktive Servergruppe mit dem Namen my-dhcp-servers-group 203.0.113.21 erstellt. Die DHCP-Relay-Agent-Konfiguration wird auf eine Schnittstellengruppe mit dem Namen my-dhcp-interfacesangewendet. Innerhalb dieser Gruppe ist der DHCP-Relais-Agent auf der Schnittstelle ge-0/0/1.0 aktiviert.
Konfigurieren Sie die Option zum Weiterleiten des Datenverkehrs, ohne eine neue Abonnentensitzung zu erstellen.
user@host# set forwarding-options dhcp-relay forward-only
Aktivieren Sie die DHCP-Relay-Agent-Informationsoption (Option 82) in DHCP-Paketen, die für einen DHCP-Server bestimmt sind.
user@host# set forwarding-options dhcp-relay relay-option-82 circuit-id use-interface-description device
Verwenden Sie in DHCP-Paketen, die der DHCP-Relay-Agent an einen DHCP-Server sendet, die textuelle Schnittstellenbeschreibung anstelle der Schnittstellenkennung in der DHCP-Basisoption 82 Agent Circuit ID.
Konfigurieren Sie die DHCP-Servergruppe, und fügen Sie die IP-Adressen des DHCP-Servers hinzu, der zur Gruppe gehört.
user@host# set forwarding-options dhcp-relay server-group my-dhcp-servers-group 203.0.113.2
Legen Sie die DHCP-Servergruppe als aktive Servergruppe fest.
user@host# set forwarding-options dhcp-relay active-server-group my-dhcp-servers-group
Der DHCP-Relay-Agent leitet DHCP-Clientanforderungen an die DHCP-Server weiter, die in der aktiven Servergruppe definiert sind.
Konfigurieren Sie eine Schnittstellengruppe, und geben Sie die DHCP-Relay-Schnittstelle für die Gruppe an.
user@host# set forwarding-options dhcp-relay group my-dhcp-interf-group interface ge-0/0/1.0
DHCP-Relay läuft auf den in der Gruppe definierten Schnittstellen.
Um einen Switch mit DHCP-Relay im forward-only Modus zu konfigurieren, überprüfen Sie, ob Ihr DHCP-Server die DHCP-Option 82 unterstützt. Weitere Informationen finden Sie unter Überprüfen der Unterstützung von Option-82 im DHCP-Server .
Für die forward-only Option in DHCP-Relay-Konfigurationen muss die S-SA-FP-Lizenz nicht installiert sein.
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben, show forwarding-options und überprüfen Sie Ihre Konfiguration.
user@srx-01# show forwarding-options
dhcp-relay {
relay-option-82 {
circuit-id {
use-interface-description device;
}
}
forward-only;
server-group {
my-dhcp-servers-group {
203.0.113.21;
}
}
active-server-group my-dhcp-servers-group;
group my-dhcp-interf-group {
interface ge-0/0/1.0;
}
}
Konfigurieren von IPv4- und IPv6-Adressen auf der Loopback-Schnittstelle
Wenn Sie einen DHCP-Server in einem anderen Dienst-VRF konfiguriert haben, müssen Sie IPv4- und IPv6-Adressen auf der Loopback-Schnittstelle in der Server-VRF-Konfiguration konfigurieren, damit die DCHP-Relais-Funktion in allen anderen VRFs funktioniert.
Konfigurieren Sie die Option dhcp-relay forward-only-replies, um DHCP-Antwortpakete zu aktivieren, die an die DHCP-Clients in der anderen VRF weitergeleitet werden.
[edit routing-instances]
Svr-1 {
instance-type vrf;
routing-options {
auto-export;
}
protocols {
evpn {
ip-prefix-routes {
advertise direct-nexthop;
encapsulation vxlan;
vni 11000;
export type5-export;
}
}
}
forwarding-options {
dhcp-relay {
dhcpv6 {
forward-only-replies;
}
forward-only-replies;
}
}
interface lo0.2;
route-distinguisher 103.0.0.1:5000;
vrf-import import-tenant;
vrf-target target:5000:1;
vrf-table-label;
}
lo0 {
unit 0 {
family inet {
address 103.0.0.1/32;
}
family inet6 {
address 1003::1/128;
}
}
unit 1 {
family inet {
address 103.0.0.1/32;
}
family inet6 {
address 1003::1/128;
}
}
unit 2 {
family inet {
address 103.0.0.2/32;
}
family inet6 {
address 1003::2/128;
}
}
Konfigurieren des DHCP-Relay-Agenten
Der DHCP-Relay-Agent fungiert als Schnittstelle zwischen DHCP-Clients und dem Server. Der DHCP-Relay-Agent leitet DHCP-Nachrichten zwischen DHCP-Clients und DHCP-Servern in verschiedenen IP-Netzwerken weiter.
In diesem Beispiel wird beschrieben, wie der DHCP-Relay-Agent auf der Firewall der SRX-Serie konfiguriert wird. Die Firewall der SRX-Serie, die als DHCP-Relay-Agent fungiert, ist für die Weiterleitung der Anfragen und Antworten zwischen den DHCP-Clients und dem Server verantwortlich, die Teil verschiedener Routing-Instanzen sind.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Firewalls der SRX-Serie mit Junos OS 15.1X49-D10 oder höher.
Übersicht
Sie können den DHCP-Relay-Agent so konfigurieren, dass er zusätzliche Sicherheit beim Austausch von DHCP-Nachrichten zwischen einem DHCP-Server und DHCP-Clients bietet, die sich in verschiedenen virtuellen Routinginstanzen befinden. Diese Art der Konfiguration ist für die DHCP-Relay-Verbindung zwischen einem DHCP-Server und einem DHCP-Client vorgesehen, wenn sich der DHCP-Server in einem Netzwerk befindet, das vom Clientnetzwerk isoliert ist.
Topologie
Um DHCP-Nachrichten zwischen verschiedenen Routing-Instanzen auszutauschen, müssen Sie sowohl die serverseitige als auch die clientseitige Schnittstelle des DHCP-Relay-Agenten aktivieren, um DHCP-Pakete zu erkennen und weiterzuleiten.
Die folgende Abbildung 1 zeigt die DHCP-Leistung als lokaler DHCP-Server, DHCP-Client und DHCP-Relay-Agent
Die folgende Liste gibt einen Überblick über die Aufgaben, die erforderlich sind, um den DHCP-Nachrichtenaustausch zwischen den verschiedenen Routing-Instanzen zu erstellen:
Konfigurieren Sie die clientseitige Seite des DHCP-Relay-Agenten.
Konfigurieren Sie die serverseitige Seite des DHCP-Relay-Agenten.
Konfigurieren Sie die Sicherheitszone so, dass das DHCP-Protokoll zugelassen wird.
Tabelle 1: DHCP-Relaisparameter:
Parameter
Client-seitige Details
Serverseitige Details
Schnittstelle
GE-0/0/3.0
GE-0/0/4.0
Routing-Schnittstelle
Trust-VR
untrust-vr
IP-Adresse
10.1.1.2/24
20.1.1.1/24
Hinweis:Damit dieses Setup funktioniert, müssen sich die DHCP-Server-Verbindungsroute und die Relay-Agent-Schnittstellenroute in beiden Routing-Instanzen befinden. In der obigen Topologie muss beispielsweise die Serverroute 30.1.1.0/24 für das dhcp-relay VR freigegeben werden, und die dhcp-relay-Schnittstellenroute 10.1.1.0/24 exact muss für die Standardrouting-Instanz freigegeben werden.
Außerdem muss in der Routinginstanz mit dem DHCP-Server eine dumme dhcp-relay-Konfiguration hinzugefügt werden. Wenn dies nicht konfiguriert ist, kann dhcp-relay keine Pakete vom DHCP-Server empfangen.
Konfiguration
CLI-Schnellkonfiguration
In den folgenden Verfahren werden die Konfigurationsaufgaben zum Erstellen des DHCP-Nachrichtenaustauschs zwischen dem DHCP-Server und Clients in verschiedenen Routinginstanzen beschrieben. Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
Schnellkonfiguration für Client-orientierten Support:
set routing-instances trust-vr instance-type virtual-router set routing-instances trust-vr interface ge-0/0/3.0 set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/24
Schnellkonfiguration für serverseitigen Support:
set routing-instances untrust-vr instance-type virtual-router set routing-instances untrust-vr interface ge-0/0/4.0 set routing-instances untrust-vr forwarding-options dhcp-relay forward-only-replies set interfaces ge-0/0/4 unit 0 family inet address 20.1.1.1/24
Schnellkonfiguration für DHCP-Relay-Unterstützung:
set routing-instances untrust-vr forwarding-options dhcp-relay server-group dummy-config set routing-instances untrust-vr routing-options instance-import import_relay_route_to_server_vr set routing-instances untrust-vr routing-options static route 30.1.1.0/24 next-hop 20.1.1.2 set routing-instances trust-vr forwarding-options dhcp-relay server-group server-1 30.1.1.2 set routing-instances trust-vr forwarding-options dhcp-relay active-server-group server-1 set routing-instances trust-vr forwarding-options dhcp-relay group relay-in-vr interface ge-0/0/3.0 set routing-instances trust-vr routing-options instance-import export_dhcp_server_route set policy-options policy-statement export_dhcp_server_route term 1 from instance untrust-vr set policy-options policy-statement export_dhcp_server_route term 1 from route-filter 30.1.1.0/24 exact set policy-options policy-statement export_dhcp_server_route term 1 then accept set policy-options policy-statement export_dhcp_server_route term 2 then reject set policy-options policy-statement import_relay_route_to_server_vr term 1 from instance trust-vr set policy-options policy-statement import_relay_route_to_server_vr term 1 from route-filter 10.1.1.0/24 exact set policy-options policy-statement import_relay_route_to_server_vr term 1 then accept set policy-options policy-statement import_relay_route_to_server_vr term 2 then reject set routing-options static route 30.1.1.2/32 next-table untrust-vr.inet.0
Schnellkonfiguration für die Sicherheitszone, um das DHCP-Protokoll zuzulassen:
set security policies default-policy permit-all set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3.0 host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/3.0 host-inbound-traffic protocols all
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie die Unterstützung auf der clientseitigen Seite des DHCP-Relay-Agenten:
Legen Sie einen Routing-Instanztyp als virtuellen Router fest.
[edit] user@host# set routing-instances trust-vr instance-type virtual-router
Festlegen einer Schnittstelle für den virtuellen Router
[edit] user@host# set routing-instances trust-vr interface ge-0/0/3.0
Legen Sie die IP-Adresse für die Schnittstelle fest.
[edit] user@host# set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/24
Verfahren
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die Unterstützung auf der serverseitigen Seite des DHCP-Relay-Agenten:
Richten Sie einen virtuellen Router ein.
[edit] user@host# set routing-instances untrust-vr instance-type virtual-router
Legen Sie eine Schnittstelle für den virtuellen Router fest.
[edit] user@host# set routing-instances untrust-vr interface ge-0/0/4.0
Legen Sie die Option "Nur Antworten weiterleiten" fest.
[edit] user@host# set routing-instances untrust-vr forwarding-options dhcp-relay forward-only-replies
Legen Sie die IP-Adresse für die Schnittstelle fest.
[edit] user@host# set interfaces ge-0/0/4 unit 0 family inet address 20.1.1.1/24
Verfahren
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den lokalen DHCP-Server für die Unterstützung:
Legen Sie die Konfiguration in dhcp-relay für die untrust-vr-Routing-Instanz fest
[edit ] user@host# set routing-instances untrust-vr forwarding-options dhcp-relay server-group dummy-config user@host# set routing-instances untrust-vr routing-options instance-import import_relay_route_to_server_vr user@host# set routing-instances untrust-vr routing-options static route 30.1.1.0/24 next-hop 20.1.1.2
Legen Sie die Konfiguration in dhcp-relay für die trust-vr-Routing-Instanz fest
[edit ] user@host# set routing-instances trust-vr forwarding-options dhcp-relay server-group server-1 30.1.1.2 user@host# set routing-instances trust-vr forwarding-options dhcp-relay active-server-group server-1 user@host# set routing-instances trust-vr forwarding-options dhcp-relay group relay-in-vr interface ge-0/0/3.0 user@host# set routing-instances trust-vr routing-options instance-import export_dhcp_server_route
Legen Sie die Konfiguration so fest, dass Routen zwischen Routing-Instanzen gemeinsam genutzt werden.
[edit ] user@host# set policy-options policy-statement export_dhcp_server_route term 1 from instance untrust-vr user@host# set policy-options policy-statement export_dhcp_server_route term 1 from route-filter 30.1.1.0/24 exact user@host# set policy-options policy-statement export_dhcp_server_route term 1 then accept user@host# set policy-options policy-statement export_dhcp_server_route term 2 then reject user@host# set policy-options policy-statement import_relay_route_to_server_vr term 1 from instance trust-vr user@host# set policy-options policy-statement import_relay_route_to_server_vr term 1 from route-filter 10.1.1.0/24 exact user@host# set policy-options policy-statement import_relay_route_to_server_vr term 1 then accept user@host# set policy-options policy-statement import_relay_route_to_server_vr term 2 then reject user@host# set routing-options static route 30.1.1.2/32 next-table untrust-vr.inet.0
Hinweis:Sie können eine Firewall der SRX-Serie so aktivieren, dass sie als lokaler DHCP-Server fungiert. Der lokale DHCP-Server stellt eine IP-Adresse und andere Konfigurationsinformationen als Antwort auf eine Clientanforderung bereit.
Verfahren
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die Sicherheitszone so, dass das DHCP-Protokoll zugelassen wird:
Legen Sie die Standardsicherheitsrichtlinie so fest, dass der gesamte Datenverkehr zugelassen wird.
[edit ] user@host# set security policies default-policy permit-all
Stellen Sie alle Systemdienste und Protokolle auf der Schnittstelle ge-0/0/4.0 ein.
[edit ] user@host# set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic protocols all
Stellen Sie alle Systemdienste und Protokolle auf der Schnittstelle ge-0/0/3.0 ein.
[edit ] user@host# set security zones security-zone trust interfaces ge-0/0/3.0 host-inbound-traffic system-services all user@host# set security zones security-zone trust interfaces ge-0/0/3.0 host-inbound-traffic protocols all
Ergebnisse
Ergebnis für den kundenorientierten Support:
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show routing-instances Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show routing-instances
trust-vr {
instance-type virtual-router;
interface ge-0/0/3.0;
}
Ergebnis für die serverseitige Unterstützung:
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den
show routing-instancesBefehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show routing-instances
untrust-vr {
instance-type virtual-router;
interface ge-0/0/4.0;
forwarding-options {
dhcp-relay {
forward-only-replies;
}
}
}
Ergebnis für die Unterstützung lokaler DHCP-Server:
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die
show routing-instancesBefehle ,show policy-optionsundshow routing-optionseingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show routing-instances
trust-vr {
routing-options {
instance-import export_dhcp_server_route;
}
forwarding-options {
dhcp-relay {
server-group {
server-1 {
30.1.1.2;
}
}
active-server-group server-1;
group relay-in-vr {
interface ge-0/0/3.0;
}
}
}
}
untrust-vr {
routing-options {
static {
route 30.1.1.0/24 next-hop 20.1.1.2;
}
instance-import import_relay_route_to_server_vr;
}
forwarding-options {
dhcp-relay {
server-group {
dummy-config;
}
}
}
}
[edit]
user@host# show policy-options
policy-statement export_dhcp_server_route {
term 1 {
from {
instance untrust-vr;
route-filter 30.1.1.0/24 exact;
}
then accept;
}
term 2 {
then reject;
}
}
policy-statement import_relay_route_to_server_vr {
term 1 {
from {
instance trust-vr;
route-filter 10.1.1.0/24 exact;
}
then accept;
}
term 2 {
then reject;
}
}
[edit]
user@host# show routing-options
static {
route 30.1.1.2/32 next-table untrust-vr.inet.0;
}
Ergebnis für die Sicherheitszone, um das DHCP-Protokoll zuzulassen:
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die
show security policiesBefehle undshow security zoneseingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security zones
security-zone HOST {
interfaces {
all;
}
}
security-zone untrust {
interfaces {
ge-0/0/4.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone trust {
interfaces {
ge-0/0/3.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Überprüfung
- Überprüfen der DHCP-Relay-Statistikkonfiguration:
- Überprüfen der DHCP-Clientbindungen in der Routinginstanz.
Überprüfen der DHCP-Relay-Statistikkonfiguration:
Zweck
Vergewissern Sie sich, dass die DHCP-Relaisstatistik konfiguriert wurde.
Aktion
Geben Sie im Betriebsmodus den
show dhcp relay statistics routing-instance dhcp-relayBefehl ein.Packets dropped: Total 0 Messages received: BOOTREQUEST 1 DHCPDECLINE 0 DHCPDISCOVER 0 DHCPINFORM 0 DHCPRELEASE 0 DHCPREQUEST 1 Messages sent: BOOTREPLY 1 DHCPOFFER 0 DHCPACK 1 DHCPNAK 0 DHCPFORCERENEW 0
Überprüfen der DHCP-Clientbindungen in der Routinginstanz.
Zweck
Stellen Sie sicher, dass die DHCP-Clientbindungen in den Routinginstanzen konfiguriert wurden.
Aktion
Geben Sie im Betriebsmodus den
show dhcp relay binding routing-instance dhcp-relayBefehl ein.IP address Session Id Hardware address Expires State Interface 10.10.10.2 14 00:0c:29:e9:6d:00 86381 BOUND ge-0/0/1.0
Konfigurieren eines DHCP-Relay-Agenten auf Switches der EX-Serie
Sie können einen Switch der EX-Serie so konfigurieren, dass er als erweiterter DHCP-Relay-Agent fungiert. Dies bedeutet, dass ein lokal angeschlossener Host eine DHCP-Anfrage als Broadcast-Nachricht ausgeben kann und der für DHCP-Relay konfigurierte Switch die Nachricht an einen angegebenen DHCP-Server weiterleitet. Konfigurieren Sie einen Switch als DHCP-Relay-Agent, wenn Sie lokal angeschlossene Hosts und einen Remote-DHCP-Server haben.
Bevor Sie beginnen:
Stellen Sie sicher, dass der Switch eine Verbindung zum DHCP-Server herstellen kann.
So konfigurieren Sie einen Switch so, dass er als erweiterter DHCP-Relay-Agent-Server fungiert:
Konfigurieren von DHCP Smart Relay (Legacy-DHCP-Relay)
Sie können DHCP Smart Relay verwenden, um Redundanz und Ausfallsicherheit für Ihre DHCP-Relay-Konfiguration bereitzustellen. Smart Relay bietet zusätzliche Relay-Funktionen und erfordert alle Konfigurationseinstellungen, die für DHCP-Relay erforderlich sind. Um DHCP Smart Relay verwenden zu können, benötigen Sie außerdem eine Schnittstelle, der mehrere IP-Adressen zugewiesen sind. Sie können dies erreichen, indem Sie eine der folgenden Aufgaben ausführen:
Erstellen Sie eine geroutete VLAN-Schnittstelle und weisen Sie ihr mindestens zwei IP-Adressen zu. Weitere Informationen zu diesem Ansatz finden Sie unter Konfigurieren von IRB-Schnittstellen auf Switches und Beispiel: Konfigurieren des Routings zwischen VLANs auf einem Switch mithilfe einer IRB-Schnittstelle .
Erstellen Sie eine logische Layer-3-Schnittstelle (mithilfe von VLAN-Tagging) und weisen Sie ihr mindestens zwei IP-Adressen zu. Weitere Informationen zu diesem Ansatz finden Sie unter Grundlegendes zu logischen Layer-3-Schnittstellen und Konfigurieren einer logischen Layer-3-Schnittstelle .
Nachdem Sie eine Schnittstelle mit mehreren IP-Adressen erstellt haben, schließen Sie die Smart Relay-Konfiguration ab, indem Sie eine der folgenden Anweisungen eingeben:
set forwarding-options helpers bootp smart-relay-global: Verwenden Sie diese Anweisung, um Smart Relay auf allen Schnittstellen zu aktivieren, die als Relay-Agenten konfiguriert sind.set forwarding-options helpers bootp interface interface-name smart-relay-agent: Verwenden Sie diese Anweisung, um Smart Relay auf einer bestimmten Schnittstelle zu aktivieren.
Wenn Smart Relay für eine Schnittstelle konfiguriert ist, sendet der Switch zunächst DHCP-Anforderungsnachrichten (Discover) von dieser Schnittstelle aus, wobei die primäre Adresse der Schnittstelle als Gateway-IP-Adresse (im Feld giaddr) für die DHCP-Nachricht verwendet wird. Wenn als Antwort keine DHCP-Angebotsnachricht von einem Server empfangen wird, ermöglicht der Switch dem Client, bis zu drei weitere Erkennungsnachrichten mit derselben Gateway-IP-Adresse zu senden. Wenn nach drei Wiederholungsversuchen keine DHCP-Angebotsnachricht empfangen wird, sendet der Switch die Erkennungsnachricht erneut unter Verwendung der alternativen IP-Adresse als Gateway-IP-Adresse. Wenn Sie mehr als zwei IP-Adressen auf der Relay-Agent-Schnittstelle konfigurieren, wiederholt der Switch diesen Vorgang, bis eine DHCP-Angebotsnachricht empfangen wird oder alle IP-Adressen erfolglos verwendet wurden.
Siehe auch
Deaktivieren der automatischen Bindung von verstreuten DHCP-Anforderungen
DHCP-Anforderungen, die empfangen werden, aber keinen Eintrag in der Datenbank haben, werden als Streuanforderungen bezeichnet. Standardmäßig versuchen DHCP-Relay, DHCP-Relay-Proxy und DHCPv6-Relay-Agent, den anfordernden Client zu binden, indem sie einen Datenbankeintrag erstellen und die Anforderung an den DHCP-Server weiterleiten. Wenn der Server mit einem ACK antwortet, wird der Client gebunden und die Bestätigung an den Client weitergeleitet. Antwortet der Server mit einer NAK, wird der Datenbankeintrag gelöscht und der NAK an den Client weitergeleitet. Dieses Verhalten tritt unabhängig davon auf, ob die Authentifizierung konfiguriert ist.
Sie können die Standardkonfiguration auf globaler Ebene, für eine benannte Gruppe von Schnittstellen oder für eine bestimmte Schnittstelle innerhalb einer benannten Gruppe überschreiben. Das Überschreiben der Standardeinstellung bewirkt, dass DHCP-Relay, DHCP-Relay-Proxy und DHCPv6-Relay-Agent alle verstreuten Anforderungen verwerfen, anstatt zu versuchen, die Clients zu binden.
Die automatische Bindung von Streuanforderungen ist standardmäßig aktiviert.
Um das automatische Bindungsverhalten zu deaktivieren, schließen Sie die
no-bind-on-requestAnweisung ein, wenn Sie DHCP-Außerkraftsetzungen auf globaler, Gruppen- oder Schnittstellenebene konfigurieren.[edit forwarding-options dhcp-relay overrides] user@host# set no-bind-on-request
Um das Standardverhalten für DHCPv6-Relay-Agent außer Kraft zu setzen, konfigurieren Sie die Außerkraftsetzung auf Hierarchieebene
[edit forwarding-options dhcp-relay dhcpv6].[edit forwarding-options dhcp-relay dhcpv6 overrides] user@host# set no-bind-on-request
Die folgenden beiden Beispiele zeigen eine Konfiguration, die die automatische Bindung von Streuanforderungen für eine Gruppe von Schnittstellen deaktiviert, und eine Konfiguration, die die automatische Bindung an eine bestimmte Schnittstelle deaktiviert.
So deaktivieren Sie die automatische Bindung von Streuanforderungen an eine Gruppe von Schnittstellen:
So deaktivieren Sie die automatische Bindung von Streuanforderungen an eine bestimmte Schnittstelle:
Geben Sie die benannte Gruppe an, zu der die Schnittstelle gehört.
[edit forwarding-options dhcp-relay] user@host# edit group boston
Geben Sie die Schnittstelle an, auf der Sie die automatische Bindung deaktivieren möchten.
[edit forwarding-options dhcp-relay group boston] user@host# edit interface fe-1/0/1.2
Geben Sie an, dass Sie Außerkraftsetzungen konfigurieren möchten.
[edit forwarding-options dhcp-relay group boston interface fe-1/0/1.2] user@host# edit overrides
Deaktivieren Sie die automatische Bindung an der Schnittstelle.
[edit forwarding-options dhcp-relay group boston interface fe-1/0/1.2 overrides] user@host# set no-bind-on-request
Verwenden von Layer-2-Unicast-Übertragung anstelle von Broadcast für DHCP-Pakete
Sie können den DHCP-Relay-Agenten so konfigurieren, dass die Einstellung des Broadcast-Bits in DHCP-Anforderungspaketen überschrieben wird. Der DHCP-Relay-Agent verwendet dann stattdessen die Layer-2-Unicast-Übertragungsmethode, um DHCP-Angebotsantwortpakete und DHCP-ACK-Antwortpakete vom DHCP-Server an DHCP-Clients während des Ermittlungsprozesses zu senden.
So überschreiben Sie die Standardeinstellung des Broadcast-Bits in DHCP-Anforderungspaketen:
Ändern des Felds Gateway-IP-Adresse (giaddr) in das Feld giaddr des DHCP-Relay-Agenten
Sie können den DHCP-Relay-Agent so konfigurieren, dass er das Feld Gateway-IP-Adresse (giaddr) in Paketen ändert, die er zwischen einem DHCP-Client und einem DHCP-Server weiterleitet.
So überschreiben Sie den giaddr jedes DHCP-Pakets mit dem giaddr des DHCP-Relay-Agenten, bevor Sie das Paket an den DHCP-Server weiterleiten:
Konfigurieren Sie den DHCP-Relay-Agenten so, dass Anforderungs- und Freigabepakete durch die Gateway-IP-Adresse ersetzt werden
Sie können den DHCP-Relay-Agent so konfigurieren, dass Anforderungs- und Freigabepakete durch die Gateway-IP-Adresse (giaddr) ersetzt werden, bevor das Paket an den DHCP-Server weitergeleitet wird.
So ersetzen Sie die Quelladresse durch giaddr:
Überschreiben der standardmäßigen DHCP-Relay-Konfigurationseinstellungen
Sie können die standardmäßigen DHCP-Relay-Konfigurationseinstellungen auf globaler Ebene, für eine benannte Gruppe von Schnittstellen oder für eine bestimmte Schnittstelle innerhalb einer benannten Gruppe außer Kraft setzen.
Um die globalen Standardkonfigurationsoptionen des DHCP-Relay-Agenten außer Kraft zu setzen, schließen Sie die
overridesAnweisung und die untergeordneten Anweisungen auf Hierarchieebene[edit forwarding-options dhcp-relay]ein.Um DHCP-Relay-Konfigurationsoptionen für eine benannte Gruppe von Schnittstellen außer Kraft zu setzen, schließen Sie die Anweisungen auf Hierarchieebene
[edit forwarding-options dhcp-relay group group-name]ein.Um DHCP-Relay-Konfigurationsoptionen für eine bestimmte Schnittstelle innerhalb einer benannten Gruppe von Schnittstellen außer Kraft zu setzen, schließen Sie die Anweisungen auf Hierarchieebene
[edit forwarding-options dhcp-relay group group-name interface interface-name]ein.Um Außerkraftsetzungen für DHCPv6-Relay auf globaler Ebene, Gruppenebene oder pro Schnittstelle zu konfigurieren, verwenden Sie die entsprechenden Anweisungen auf Hierarchieebene
[edit forwarding-options dhcp-relay dhcpv6].
So überschreiben Sie die standardmäßigen Konfigurationseinstellungen des DHCP-Relay-Agenten:
Deaktivieren des DHCP-Relay-Agenten für Schnittstellen, für Gruppen oder global
Sie können DHCP-Relay auf allen Schnittstellen oder einer Gruppe von Schnittstellen deaktivieren.
So deaktivieren Sie den DHCP-Relay-Agenten:
Beispiel: Konfigurieren der selektiven Datenverkehrsverarbeitung des DHCP-Relay-Agenten basierend auf DHCP-Optionszeichenfolgen
In diesem Beispiel wird gezeigt, wie der DHCP-Relay-Agent so konfiguriert wird, dass DHCP-Optionszeichenfolgen verwendet werden, um Clientdatenverkehr selektiv zu identifizieren, zu filtern und zu verarbeiten.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Universelle 5G-Routing-Plattformen der MX-Serie oder Switches der EX-Serie
Bevor Sie die Unterstützung für die selektive Verarbeitung des DHCP-Relay-Agents konfigurieren, stellen Sie sicher, dass Sie:
Konfigurieren Sie den DHCP-Relay-Agenten.
Weitere Informationen finden Sie unter Erweiterte Übersicht über DHCP-Relay-Agenten.
(Optional) Konfigurieren Sie eine lokale DHCP-Servergruppe, wenn Sie Clientdatenverkehr an eine Servergruppe weiterleiten möchten.
Weitere Informationen finden Sie unter Gruppieren von Schnittstellen mit gängigen DHCP-Konfigurationen.
Übersicht
In diesem Beispiel konfigurieren Sie den DHCP-Relay-Agent so, dass DHCP-Optionszeichenfolgen in Clientpaketen verwendet werden, um Clientdatenverkehr selektiv zu identifizieren, zu filtern und zu verarbeiten. Um die selektive Verarbeitung zu konfigurieren, gehen Sie wie folgt vor:
Identifizieren des Client-Datenverkehrs: Geben Sie die DHCP-Option an, die der DHCP-Relay-Agent verwendet, um den Client-Datenverkehr zu identifizieren, den Sie verarbeiten möchten. Die von Ihnen angegebene Option stimmt mit der Option im Clientdatenverkehr überein.
Standardaktion konfigurieren: Geben Sie die Standardverarbeitungsaktion an, die DHCP-Relay für identifizierten Clientdatenverkehr verwendet, der keine konfigurierten Übereinstimmungskriterien erfüllt.
Match-Filter erstellen und jedem Filter eine Aktion zuordnen: Geben Sie Übereinstimmungskriterien an, die den Client-Traffic filtern. Bei den Kriterien kann es sich um eine exakte Übereinstimmung oder eine teilweise Übereinstimmung mit der Optionszeichenfolge im Clientdatenverkehr handeln. Verknüpfen Sie jede Übereinstimmungsaktion mit einer Verarbeitungsaktion.
Konfiguration
Führen Sie die folgenden Aufgaben aus, um die selektive Verarbeitung des DHCP-Relay-Agenten basierend auf DHCP-Optionsinformationen zu konfigurieren:
- CLI-Schnellkonfiguration
- Konfigurieren des DHCP-Relay-Agenten für die selektive Verarbeitung des Clientdatenverkehrs basierend auf DHCP-Optionszeichenfolgen
- Ergebnisse
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, und kopieren Sie dann den Befehl und fügen Sie ihn auf Hierarchieebene [edit] in die CLI ein.
set forwarding-options dhcp-relay relay-option option-number 60 set forwarding-options dhcp-relay relay-option equals ascii video-gold forward-only set forwarding-options dhcp-relay relay-option equals ascii video-bronze local-server-group servergroup-15 set forwarding-options dhcp-relay relay-option starts-with hexadecimal fffff local-server-group servergroup-east set forwarding-options dhcp-relay relay-option default-action drop
Konfigurieren des DHCP-Relay-Agenten für die selektive Verarbeitung des Clientdatenverkehrs basierend auf DHCP-Optionszeichenfolgen
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die selektive Verarbeitung von DHCP-Relays:
Geben Sie an, dass Sie die DHCP-Relay-Agent-Unterstützung konfigurieren möchten.
[edit forwarding-options] user@host#
edit dhcp-relayGeben Sie die DHCP-Option an, die der DHCP-Relay-Agent verwendet, um eingehenden Clientdatenverkehr zu identifizieren.
[edit forwarding-options dhcp-relay] user@host#
set relay-option option-number 60Konfigurieren Sie eine Standardaktion, die der DHCP-Relay-Agent verwendet, wenn der eingehende Clientdatenverkehr keine konfigurierten Übereinstimmungskriterien erfüllt.
[edit forwarding-options dhcp-relay] user@host#
set relay-option default-action dropKonfigurieren Sie eine exakte Übereinstimmungsbedingung und die zugehörige Aktion, die DHCP-Relay zur Verarbeitung des identifizierten Clientdatenverkehrs verwendet.
[edit forwarding-options dhcp-relay] user@host#
set relay-option equals ascii video-goldforward-onlyKonfigurieren Sie eine zweite exakte Übereinstimmungsbedingung und die zugehörige Aktion, die DHCP-Relay zum Verarbeiten des Clientdatenverkehrs verwendet.
[edit forwarding-options dhcp-relay] user@host#
set relay-option equals ascii video-bronzelocal-server-group servergroup-15Konfigurieren Sie ein partielles Übereinstimmungskriterium und die zugehörige Aktion, die DHCP-Relay zur Verarbeitung des Clientdatenverkehrs verwendet.
[edit forwarding-options dhcp-relay] user@host#
set relay-option starts-with hexadecimal fffff local-server-group servergroup-east
Ergebnisse
Bestätigen Sie im Konfigurationsmodus die Ergebnisse Ihrer Konfiguration, indem Sie die show Anweisung auf Hierarchieebene [edit forwarding-options] absetzen. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit forwarding-options]
user@host# show
dhcp-relay {
relay-option {
option-number 60;
equals {
ascii video-gold {
forward-only;
}
}
equals {
ascii video-bronze {
local-server-group servergroup-15;
}
}
default-action {
drop;
}
starts-with {
hexadecimal fffff {
local-server-group servergroup-east;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Überprüfung
Führen Sie die folgende Aufgabe aus, um den Status der selektiven Datenverkehrsverarbeitung des DHCP-Relay-Agenten zu überprüfen:
Überprüfen des Status der selektiven Datenverkehrsverarbeitung des DHCP-Relay-Agenten
Zweck
Überprüfen Sie den Verarbeitungsstatus des selektiven Datenverkehrs des DHCP-Relay-Agenten.
Aktion
Zeigt Statistiken für DHCP-Relay-Agent an.
user@host> show dhcp relay statistics
Packets dropped:
Total 30
Bad hardware address 1
Bad opcode 1
Bad options 3
Invalid server address 5
No available addresses 1
No interface match 2
No routing instance match 9
No valid local address 4
Packet too short 2
Read error 1
Send error 1
Option 60 1
Option 82 2
Messages received:
BOOTREQUEST 116
DHCPDECLINE 0
DHCPDISCOVER 11
DHCPINFORM 0
DHCPRELEASE 0
DHCPREQUEST 105
Messages sent:
BOOTREPLY 0
DHCPOFFER 2
DHCPACK 1
DHCPNAK 0
DHCPFORCERENEW 0
Packets forwarded:
Total 4
BOOTREQUEST 2
BOOTREPLY 2
Bedeutung
Das Packets forwarded Feld in der show dhcp relay statistics Befehlsausgabe zeigt die Anzahl der Clientpakete an, die als Ergebnis der Konfiguration für die selektive Datenverkehrsverarbeitung weitergeleitet wurden. In diesem Beispiel gibt die Ausgabe die Gesamtzahl der Pakete an, die der DHCP-Relay-Agent weitergeleitet hat, sowie eine Aufschlüsselung für die Anzahl der weitergeleiteten BOOTREQUEST und BOOTREPLY weitergeleiteten Pakete.
Überprüfen und Verwalten der DHCP-Relay-Konfiguration
Zweck
Anzeigen oder Löschen von Adressbindungen oder Statistiken für DHCP-Relay-Agent-Clients.
Aktion
So zeigen Sie die Adressbindungen für DHCP-Relay-Agent-Clients an:
user@host>
show dhcp relay bindingSo zeigen Sie DHCP-Relay-Agent-Statistiken an:
user@host>
show dhcp relay statisticsSo löschen Sie den Bindungsstatus von DHCP-Relay-Agent-Clients:
user@host>
clear dhcp relay bindingSo löschen Sie alle DHCP-Relay-Agent-Statistiken:
user@host>
clear dhcp relay statistics
Führen Sie die folgenden Befehle aus, um Informationen zu Clientbindungen und Statistiken in einer Routinginstanz zu löschen oder anzuzeigen:
show dhcp relay binding routing instance <routing-instance name>show dhcp relay statistics routing instance <routing-instance name>clear dhcp relay binding routing instance <routing-instance name>clear dhcp relay statistics routing instance <routing-instance name>
Bei allen Firewalls der SRX-Serie ist DHCP-Relay nicht in der Lage, den Bindungsstatus basierend auf DHCP_RENEW- und DHCP_RELEASE-Nachrichten zu aktualisieren.
Siehe auch
Erweiterte Übersicht über den DHCP-Relay-Agenten
Sie können erweiterte DHCP-Relay-Optionen auf dem Router oder auf dem Switch konfigurieren und den Router (oder Switch) aktivieren, damit er als DHCP-Relay-Agent fungiert. Ein DHCP-Relay-Agent leitet DHCP-Anforderungs- und Antwortpakete zwischen einem DHCP-Client und einem DHCP-Server weiter.
DHCP-Relay unterstützt das Anhängen dynamischer Profile und interagiert auch mit dem lokalen AAA Service Framework, um Back-End-Authentifizierungsserver wie RADIUS für die Abonnentenauthentifizierung oder DHCP-Clientauthentifizierung zu verwenden. Sie können dynamische Profile anhängen und die Authentifizierungsunterstützung global oder für eine bestimmte Gruppe von Schnittstellen konfigurieren.
Die Paketübertragungsrouter der PTX-Serie unterstützen keine Authentifizierung für DHCP-Relay-Agenten.
Auf den Routern können Sie DHCP-Relay in Carrier-Edge-Anwendungen wie Video/IPTV verwenden, um Konfigurationsparameter, einschließlich einer IP-Adresse, für Ihre Abonnenten abzurufen.
Auf den Switches können Sie DHCP-Relay verwenden, um Konfigurationsparameter einschließlich einer IP-Adresse für DHCP-Clients abzurufen.
Die mit der dhcp-relay Anweisung konfigurierten erweiterten DHCP-Relay-Agent-Optionen sind nicht kompatibel mit den DHCP/BOOTP-Relay-Agent-Optionen, die mit der bootp Anweisung konfiguriert wurden. Daher können Sie nicht gleichzeitig den erweiterten DHCP-Relay-Agenten und den DHCP/BOOTP-Relay-Agenten auf dem Router aktivieren.
Weitere Informationen zum DHCP/BOOTP-Relay-Agenten finden Sie unter Konfigurieren von Routern, Switches und Schnittstellen als DHCP- und BOOTP-Relay-Agenten.
Sie können den erweiterten DHCP-Relay-Agent auch für die Unterstützung von IPv6-Clients konfigurieren. Weitere Informationen zurDHCPv6-Relay-Agent-Funktion finden Sie unter DHCPv6-Relay-Agent-Übersicht .
Um den erweiterten DHCP-Relay-Agenten auf dem Router (oder Switch) zu konfigurieren, fügen Sie die dhcp-relay Anweisung auf Hierarchieebene [edit forwarding-options] ein.
Sie können die dhcp-relay Anweisung auch auf den folgenden Hierarchieebenen einbinden:
[edit logical-systems logical-system-name forwarding-options][edit logical-systems logical-system-name routing-instances routing-instance-name forwarding-options][edit routing-instances routing-instance-name forwarding-options]
Interaktion zwischen DHCP-Relay-Agent, DHCP-Client und DHCP-Servern
Das Interaktionsmuster zwischen dem DHCP-Relay-Agenten, dem DHCP-Client und den DHCP-Servern ist identisch, unabhängig davon, ob die Softwareinstallation auf einem Router oder einem Switch erfolgt. Es gibt jedoch einige Unterschiede in den Details der Nutzung.
Auf Routern: In einer typischen Carrier-Edge-Netzwerkkonfiguration befindet sich der DHCP-Client auf dem Computer des Teilnehmers, und der DHCP-Relay-Agent ist auf dem Router zwischen dem DHCP-Client und einem oder mehreren DHCP-Servern konfiguriert.
On Switches: In einer typischen Netzwerkkonfiguration befindet sich der DHCP-Client auf einem Zugriffsgerät, z. B. einem PC, und der DHCP-Relay-Agent ist auf dem Switch zwischen dem DHCP-Client und einem oder mehreren DHCP-Servern konfiguriert.
In den folgenden Schritten wird allgemein beschrieben, wie der DHCP-Client, der DHCP-Relay-Agent und der DHCP-Server in einer Konfiguration interagieren, die zwei DHCP-Server umfasst.
Der DHCP-Client sendet ein Ermittlungspaket, um einen DHCP-Server im Netzwerk zu finden, von dem Konfigurationsparameter für den Teilnehmer (oder DHCP-Client), einschließlich einer IP-Adresse, abgerufen werden können.
Der DHCP-Relay-Agent empfängt das Ermittlungspaket und leitet Kopien an jeden der beiden DHCP-Server weiter. Der DHCP-Relay-Agent erstellt dann einen Eintrag in seiner internen Client-Tabelle, um den Status des Clients nachzuverfolgen.
Als Antwort auf den Empfang des Ermittlungspakets sendet jeder DHCP-Server ein Angebotspaket an den Client. Der DHCP-Relay-Agent empfängt die Angebotspakete und leitet sie an den DHCP-Client weiter.
Nach Erhalt der Angebotspakete wählt der DHCP-Client den DHCP-Server aus, von dem Konfigurationsinformationen abgerufen werden sollen. In der Regel wählt der Client den Server aus, der die längste Leasezeit für die IP-Adresse bietet.
Der DHCP-Client sendet ein Anforderungspaket, das den DHCP-Server angibt, von dem Konfigurationsinformationen abgerufen werden sollen.
Der DHCP-Relay-Agent empfängt das Anforderungspaket und leitet Kopien an jeden der beiden DHCP-Server weiter.
Der vom Client angeforderte DHCP-Server sendet ein Bestätigungspaket (ACK), das die Konfigurationsparameter des Clients enthält.
Der DHCP-Relay-Agent empfängt das ACK-Paket und leitet es an den Client weiter.
Der DHCP-Client empfängt das ACK-Paket und speichert die Konfigurationsinformationen.
Wenn dies konfiguriert ist, installiert der DHCP-Relay-Agent eine Hostroute und einen ARP-Eintrag (Address Resolution Protocol) für diesen Client.
Nach dem Einrichten der anfänglichen Lease für die IP-Adresse verwenden der DHCP-Client und der DHCP-Server die Unicastübertragung, um die Verlängerung oder Freigabe der Lease auszuhandeln. Der DHCP-Relay-Agent "schnüffelt" in allen Unicast-Paketen zwischen dem Client und dem Server, die den Router (oder Switch) passieren, um festzustellen, wann die Lease für diesen Client abgelaufen oder freigegeben wurde. Dieser Vorgang wird als Lease Shadowing oder passives Snooping bezeichnet.
DHCP-Liveness-Erkennung
Die Liveerkennung für DHCP-Teilnehmer- oder DHCP-Client-IP-Sitzungen verwendet ein aktives Liveness-Erkennungsprotokoll, um Liveness-Erkennungsprüfungen für relevante Clients durchzuführen. Von Clients wird erwartet, dass sie innerhalb eines bestimmten Zeitraums auf Anfragen zur Erkennung von Lebenderkennung reagieren. Wenn die Antworten für eine bestimmte Anzahl aufeinanderfolgender Versuche nicht innerhalb dieser Zeit eingehen, schlägt die Überprüfung der Lebendigkeitserkennung fehl, und es wird eine Fehleraktion implementiert.
DHCP-Liveness-Erkennung, entweder global oder pro DHCP-Gruppe.