Beispiel: Einrichten der DHCP-Option 82
Sie können die DHCP-Option 82 verwenden, die auch als DHCP-Relay-Agent-Informationsoption bezeichnet wird, um den Switch vor Angriffen wie Spoofing (Fälschung) von IP- und MAC-Adressen und DHCP-IP-Adressmangel zu schützen. Option 82 stellt Informationen über den Netzwerkstandort eines DHCP-Clients bereit, und der DHCP-Server verwendet diese Informationen, um IP-Adressen oder andere Parameter für den Client zu implementieren.
Sie können die DHCP-Option 82-Funktion in verschiedenen Topologien konfigurieren:
Der Switch fungiert als Relay-Agent, wenn die DHCP-Clients oder der DHCP-Server über eine Layer-3-Schnittstelle mit dem Switch verbunden sind. Auf dem Switch sind diese Schnittstellen als geroutete VLAN-Schnittstellen (RVIs) konfiguriert. Der Switch leitet die Anfragen der Clients an den Server weiter und leitet dann die Antworten des Servers an die Clients weiter.
Bei Switches der EX-Serie ist die Konfiguration für diese Topologie sowohl für ELS (Enhanced Layer 2 Software) als auch für Nicht-ELS identisch.
Der Switch, die DHCP-Clients und der DHCP-Server befinden sich alle im selben VLAN. Der Switch leitet die Anforderungen der Clients an den Server weiter und leitet die Antworten des Servers an die Clients weiter.
Wenn es sich bei Ihrem Switch um einen Switch der EX-Serie handelt, finden Sie unter Einrichten der DHCP-Option 82 auf dem Switch ohne Relais (ELS) sowohl ELS- als auch Nicht-ELS-Anweisungen.
Das Switching-Gerät, die DHCP-Clients und der DHCP-Server befinden sich alle in derselben Bridge-Domäne. Das Switching-Gerät leitet die Anfragen der Clients an den Server weiter und leitet die Antworten des Servers an die Clients weiter. In diesem Thema wird diese Konfiguration beschrieben.
Bevor Sie die DHCP-Option 82 auf dem Switch konfigurieren, stellen Sie sicher, dass der DHCP-Server so konfiguriert ist, dass er die DHCP-Option 82 akzeptiert. Wenn der Server nicht für die DHCP-Option 82 konfiguriert ist, verwendet der Server die Informationen der DHCP-Option 82 nicht in den an ihn gesendeten Anforderungen, wenn er seine Antwortnachrichten formuliert.
Beispiel: Einrichten der DHCP-Option 82 in einem VLAN
Anforderungen
In diesem Beispiel wird beschrieben, wie die DHCP-Option 82 auf einem Switch konfiguriert wird, der als Relay-Agent fungiert und sich im selben VLAN wie die DHCP-Clients, aber in einem anderen VLAN als der DHCP-Server befindet. Das Beispiel umfasst die folgenden Hardware- und Softwarekomponenten:
Ein EX4200-24P-Switch oder ein QFX3500-Switch
Junos OS Version 9.3 oder höher für Switches der EX-Serie oder Junos OS Version 12.1 oder höher für die QFX-Serie
Einen DHCP-Server zum Bereitstellen von IP-Adressen für Netzwerkgeräte auf dem Switch
Übersicht und Topologie
In diesem Beispiel konfigurieren Sie Option 82 auf dem Switch. Der Switch ist als BOOTP-Relay-Agent konfiguriert (weitere Informationen finden Sie unter DHCP/BOOTP-Relay für Switches – Übersicht). Der Switch stellt über die geroutete VLAN-Schnittstelle (RVI) eine Verbindung zum DHCP-Server her, wie für QFX unter Konfigurieren von IRB-Schnittstellen auf Switches und für Switches der EX-Serie unter Konfigurieren von gerouteten VLAN-Schnittstellen auf Switches (CLI-Verfahren) beschrieben. Der Switch und die Clients sind Mitglieder des Mitarbeiter-VLANs (weitere Informationen finden Sie unter Konfigurieren von VLANs auf Switches für die EX- und QFX-Serie). Der DHCP-Server ist Mitglied des Unternehmens-VLAN.
Wenn die DHCP-Option 82 auf dem Switch aktiviert ist und ein Netzwerkgerät – ein DHCP-Client –, das über eine nicht vertrauenswürdige Schnittstelle mit dem Switch verbunden ist, eine DHCP-Anfrage sendet, fügt der Switch Informationen über den Netzwerkstandort des Clients in den Paketheader dieser Anforderung ein. Der Switch sendet dann die Anfrage (in dieser Einstellung leitet er die Anforderung weiter) an den DHCP-Server. Der DHCP-Server liest die Informationen zu Option 82 im Paket-Header und verwendet sie, um die IP-Adresse oder andere Parameter für den Client zu implementieren.
Wenn Option 82 auf dem Switch aktiviert ist, tritt diese Abfolge von Ereignissen auf, wenn ein DHCP-Client eine DHCP-Anfrage sendet:
Der Switch empfängt die Anforderung und fügt die Informationen zu Option 82 in den Paket-Header ein.
Der Switch leitet die Anfrage an den DHCP-Server weiter.
Der Server verwendet die DHCP-Option 82-Informationen, um seine Antwort zu formulieren, und sendet eine Antwort zurück an den Switch. Die Informationen zu Option 82 werden dadurch nicht geändert.
Der Switch entfernt die Option 82-Informationen aus dem Antwortpaket.
Der Switch leitet das Antwortpaket an den Client weiter.
Konfiguration
So konfigurieren Sie die DHCP-Option 82:
Verfahren
CLI-Schnellkonfiguration
Um DHCP-Option 82 schnell zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Switch-Terminalfenster ein:
set forwarding-options helpers bootp dhcp-option82 set forwarding-options helpers bootp dhcp-option82 circuit-id prefix hostname set forwarding-options helpers bootp dhcp-option82 circuit-id use-vlan-id set forwarding-options helpers bootp dhcp-option82 remote-id set forwarding-options helpers bootp dhcp-option82 remote-id prefix mac set forwarding-options helpers bootp dhcp-option82 remote-id use-string employee-switch1 set forwarding-options helpers bootp dhcp-option82 vendor-id
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die DHCP-Option 82 (kursiv dargestellte Werte durch Werte für Ihr eigenes Netzwerk ersetzen):
Geben Sie die DHCP-Option 82 für das Mitarbeiter-VLAN auf dem BOOTP-Server an.
Auf allen Schnittstellen, die eine Verbindung zum Server herstellen:
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82
Auf einer bestimmten Schnittstelle, die eine Verbindung zum Server herstellt:
[edit forwarding-options helpers bootp] user@switch# set interface ge-0/0/10 dhcp-option82
Die restlichen Schritte sind optional. Sie zeigen Konfigurationen für alle Schnittstellen; Geben Sie die spezifische Schnittstellenbezeichnung an, um eine der folgenden Optionen für eine bestimmte Schnittstelle zu konfigurieren:
Konfigurieren Sie ein Präfix für die Unteroption Circuit-ID (das Präfix ist immer der Hostname des Switches):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 circuit-id prefix hostname
So geben Sie an, dass der Unteroptionswert für die Schaltkreis-ID die Schnittstellenbeschreibung und nicht den Schnittstellennamen (Standard) enthalten soll:
Anmerkung:Wenn Sie die Schnittstellenbeschreibung anstelle des Schnittstellennamens verwenden, muss die Schnittstellenbeschreibung unter Schnittstelleneinheit angegeben werden ("set interfaces ge-0/0/0 unit 0 description "client"). Wenn Sie dies nicht tun, wird der Schnittstellenname verwendet.
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 circuit-id use-interface-description
Geben Sie an, dass der Wert der Unteroption "Circuit-ID" die VLAN-ID und nicht den VLAN-Namen (Standard) enthält:
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 circuit-id use-vlan-id
Geben Sie an, dass die Unteroption "Remote-ID" in den Informationen zu DHCP-Option 82 enthalten sein soll:
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id
Konfigurieren Sie ein Präfix für die Remote-ID-Unteroption (hier ist das Präfix die MAC-Adresse des Switches):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id prefix mac
Oder geben Sie an, dass das Präfix für die Remote-ID-Unteroption der Hostname des Switches und nicht die MAC-Adresse des Switches ist (Standardeinstellung):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id prefix hostname
So geben Sie an, dass der Wert der Remote-ID-Unteroption die Schnittstellenbeschreibung enthalten soll:
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id use-interface-description
Geben Sie an, dass der Wert der Remote-ID-Unteroption eine Zeichenfolge enthält (hier lautet die Zeichenfolge employee-switch1):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id use-string employee-switch1
Konfigurieren Sie einen Suboptionswert für die Anbieter-ID, und verwenden Sie den Standardwert. Um den Standardwert ( Juniper) zu verwenden, geben Sie keine Zeichenfolge nach dem Optionsschlüsselwort vendor-id ein. Geben Sie andernfalls einen Wert wie show here an:
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 vendor-id mystring
Befund
Um die Ergebnisse der Konfigurationsschritte anzuzeigen, bevor Sie die Konfiguration bestätigen, geben Sie den show Befehl an der Benutzeraufforderung ein.
Um diese Änderungen in die aktive Konfiguration zu übernehmen, geben Sie den commit Befehl an der Benutzeraufforderung ein.
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit forwarding-options helpers bootp]
user@switch# show
dhcp-option82 {
circuit-id {
prefix hostname;
use-vlan-id;
}
remote-id {
prefix mac;
use-string employee-switch1;
}
vendor-id;
}
Konfigurieren der DHCP-Option 82 auf einem Router mit Bridge-Domäne
Bevor Sie die DHCP-Option 82 auf dem Switching-Gerät konfigurieren, führen Sie die folgenden Aufgaben aus:
Stellen Sie eine Verbindung her und konfigurieren Sie den DHCP-Server.
Anmerkung:Der DHCP-Server muss so konfiguriert sein, dass er die DHCP-Option 82 akzeptiert. Wenn der Server nicht für die DHCP-Option 82 konfiguriert ist, verwendet der Server die Informationen der DHCP-Option 82 nicht in den an ihn gesendeten Anforderungen, wenn er seine Antwortnachrichten formuliert.
Konfigurieren Sie eine Bridge-Domäne auf dem Switching-Gerät, und ordnen Sie die Schnittstellen, über die die Clients und der Server eine Verbindung herstellen, dem Switch dieser Bridge-Domäne zu.
So konfigurieren Sie die DHCP-Option 82: