Grundlegendes zu DHCP-Option 82

Sie können die DHCP-Option 82 verwenden, die auch als DHCP-Relay-Agent-Informationsoption bezeichnet wird, um unterstützte Juniper-Geräte vor Angriffen wie Spoofing (Fälschung) von IP- und MAC-Adressen und DHCP-IP-Adressenmangel zu schützen.

In einem häufigen Szenario sind verschiedene Hosts über nicht vertrauenswürdige Zugriffsschnittstellen auf dem Switch mit dem Netzwerk verbunden, und diese Hosts fordern IP-Adressen vom DHCP-Server an und erhalten diese. Angreifer können jedoch DHCP-Anfragen mit gefälschten Netzwerkadressen fälschen, um eine nicht ordnungsgemäße Verbindung zum Netzwerk herzustellen.

Zum Schutz vor dieser Sicherheitsanfälligkeit beschreibt RFC 3046, DHCP Relay Agent Information Option, http://tools.ietf.org/html/rfc3046 einen Standard, der als Option 82 bekannt ist und definiert, wie der DHCP-Server den Standort eines DHCP-Clients verwenden kann, wenn er dem Client IP-Adressen oder andere Parameter zuweist.

DHCP Option 82 – Übersicht

Wenn die DHCP-Option 82 in einem VLAN oder einer Bridge-Domäne aktiviert ist und ein Netzwerkgerät – ein DHCP-Client –, das mit dem VLAN oder der Bridge-Domäne über eine nicht vertrauenswürdige Schnittstelle verbunden ist, eine DHCP-Anfrage sendet, fügt das Switching-Gerät Informationen über den Netzwerkstandort des Clients in den Paket-Header dieser Anforderung ein. Das Switching-Gerät sendet dann die Anfrage an den DHCP-Server. Der DHCP-Server liest die Informationen zu Option 82 im Paket-Header und verwendet sie, um die IP-Adresse oder einen anderen Parameter für den Client zu implementieren. Weitere Informationen zu Option 82 finden Sie unter Unteroptionskomponenten von Option 82 .

Anmerkung:

Auf EX4300-Switches werden DHCP-Option-82-Informationen, die sowohl auf vertrauenswürdigen als auch auf nicht vertrauenswürdigen Schnittstellen empfangen werden, hinzugefügt.

Wenn Option 82 in einem VLAN oder einer Bridge-Domäne aktiviert ist, tritt die folgende Abfolge von Ereignissen auf, wenn ein DHCP-Client eine DHCP-Anfrage sendet:

Die Vermittlungsvorrichtung empfängt die Anforderung und fügt die Option 82-Information in den Paketheader ein.
Das Switching-Gerät leitet die Anfrage an den DHCP-Server weiter (oder leitet sie weiter).
Der Server verwendet die DHCP-Option 82-Informationen, um seine Antwort zu formulieren, und sendet eine Antwort an das Switching-Gerät. Die Informationen zu Option 82 werden dadurch nicht geändert.
Die Vermittlungsvorrichtung entfernt die Option 82-Information aus dem Antwortpaket.
Das Switching-Gerät leitet das Antwortpaket an den Client weiter.

Um die DHCP-Option 82 verwenden zu können, müssen Sie sicherstellen, dass der DHCP-Server so konfiguriert ist, dass er Option 82 akzeptiert. Wenn der DHCP-Server nicht so konfiguriert ist, dass er Option 82 akzeptiert, verwendet er beim Empfang von Anforderungen, die Informationen zu Option 82 enthalten, die Informationen nicht zum Festlegen von Parametern, und er gibt die Informationen in seiner Antwortnachricht nicht wieder.

Anmerkung:

Wenn es sich bei Ihrem Switching-Gerät um einen Switch der EX-Serie handelt und Junos OS mit ELS-Konfiguration (Enhanced Layer 2 Software) verwendet, können Sie die DHCP-Option 82 nur für ein bestimmtes VLAN aktivieren. Weitere Informationen finden Sie unter Einrichten der DHCP-Option 82 auf dem Switch ohne Relais (ELS).

Wenn es sich bei Ihrem Switching-Gerät um einen Switch der EX-Serie handelt und kein Junos OS mit ELS-Konfigurationsstil (Enhanced Layer 2 Software) verwendet wird, können Sie die DHCP-Option 82 entweder für ein bestimmtes VLAN oder für alle VLANs aktivieren. Weitere Informationen finden Sie unter Einrichten der DHCP-Option 82 auf dem Switch ohne Relais (Nicht-ELS).

Unteroption Bestandteile der Option 82

Option 82, wie sie auf einem Switching-Gerät implementiert ist, umfasst die Unteroptionen Schaltkreis-ID, Remote-ID und Hersteller-ID. Bei diesen Unteroptionen handelt es sich um Felder im Paket-Header:

Circuit-ID - Identifiziert die Verbindung (Schnittstelle oder VLAN) auf dem Switching-Gerät, auf dem die Anfrage empfangen wurde. Die Verbindungs-ID enthält den Schnittstellennamen und den VLAN-Namen, wobei die beiden Elemente durch einen Doppelpunkt getrennt sind, z. B. ge-0/0/10:vlan1, wobei ge-0/0/10 der Schnittstellenname und vlan1 der VLAN-Name ist. Wenn das Anforderungspaket auf einer Layer-3-Schnittstelle empfangen wird, ist die Leitungs-ID nur der Schnittstellenname, z. B. ge-0/0/10.

Verwenden Sie die Präfixoption, um der Verbindungs-ID ein optionales Präfix hinzuzufügen. Wenn Sie die Präfixoption aktivieren, wird der Hostname für das Switching-Gerät als Präfix verwendet. Beispiel: device1:GE-0/0/10:VLAN1, wobei device1 der Hostname ist.

Sie können auch angeben, dass die Schnittstellenbeschreibung anstelle des Schnittstellennamens verwendet wird oder dass die VLAN-ID anstelle des VLAN-Namens verwendet wird.
remote ID - Identifiziert den Remote-Host. Weitere Informationen finden Sie unter remote-id .
vendor ID: Identifiziert den Anbieter des Hosts. Wenn Sie die vendor-id Option angeben, aber keinen Wert eingeben, wird der Standardwert Juniper verwendet. Um einen Wert anzugeben, geben Sie eine Zeichenfolge ein.

Switching-Gerätekonfigurationen, die Option 82 unterstützen

Folgende Switching-Gerätekonfigurationen unterstützen Option 82:

Das Switching-Gerät, die DHCP-Clients und der DHCP-Server befinden sich im selben VLAN oder derselben Bridge-Domäne
Das Switching-Gerät fungiert als Relais-Agent

Das Switching-Gerät, die DHCP-Clients und der DHCP-Server befinden sich im selben VLAN oder derselben Bridge-Domäne

Wenn sich das Switching-Gerät, die DHCP-Clients und der DHCP-Server alle im selben VLAN oder derselben Bridge-Domäne befinden, leitet das Switching-Gerät die Anforderungen von den Clients auf nicht vertrauenswürdigen Zugriffsschnittstellen an den Server auf einer vertrauenswürdigen Schnittstelle weiter. Siehe Abbildung 1.

Abbildung 1: DHCP-Clients, Switching-Gerät und DHCP-Server befinden sich alle im selben VLAN oder derselben Bridge-Domäne DHCP Clients, Switching Device, and the DHCP Server Are All on the Same VLAN or Bridge Domain

DHCP Clients, Switching Device, and the DHCP Server Are All on the Same VLAN or Bridge Domain

Das Switching-Gerät fungiert als Relais-Agent

Das Switching-Gerät fungiert als Relais-Agent (erweiterter Relais-Server), wenn die DHCP-Clients oder der DHCP-Server über eine Layer-3-Schnittstelle mit dem Switching-Gerät verbunden sind. Auf dem Switching-Gerät sind diese Schnittstellen als geroutete VLAN-Schnittstellen (RVIs) konfiguriert. Abbildung 2 veranschaulicht ein Szenario für das Switching-Gerät, das als erweiterter Relais-Server fungiert; In diesem Fall leitet das Switching-Gerät Anforderungen an den Server weiter. Diese Abbildung zeigt den Relay-Agent und den Server im selben Netzwerk, sie können sich aber auch in unterschiedlichen Netzwerken befinden, d. h., der Relay-Agent kann extern sein.

Abbildung 2: Switching-Gerät, das als erweiterter Relay-Server Switching Device Acting as an Extended Relay Server

fungiert

DHCPv6-Optionen

DHCPv6 bietet mehrere Optionen, die verwendet werden können, um Informationen in die DHCPv6-Anforderungspakete einzufügen, die von einem Client an einen Server weitergeleitet werden. Diese Optionen entsprechen den Unteroptionen der DHCP-Option 82.

Option 37 - Identifiziert den Remote-Host. Option 37 entspricht der remote-id Unteroption der DHCP-Option 82.
Option 18 - Identifiziert die Schnittstelle, auf der das DHCP-Anforderungspaket vom Client empfangen wurde. Option 18 entspricht der circuit-id Unteroption der DHCP-Option 82.
Option 16 – Identifiziert den Hersteller der Hardware, auf der der Client gehostet wird. Option 16 entspricht der vendor-id Unteroption der DHCP-Option 82.

DHCPv6-Optionen werden nicht automatisch aktiviert, wenn DHCPv6-Snooping in einem VLAN aktiviert ist. Sie müssen mit der dhcpv6-options Anweisung konfiguriert werden.

AUF DIESER SEITE