Échange de messages DHCP sécurisé

Junos OS vous permet d’utiliser l’agent de relais DHCP pour assurer l’échange de messages sécurisé entre différentes instances VRF (Virtual Routing and Forwarding Instances). Pour permettre l’échange sécurisé de messages DHCP, vous devez configurer les côtés serveur et côté client de l’agent de relais DHCP pour qu’ils reconnaissent et transfèrent le trafic acceptable en fonction des informations relatives aux options DHCP. Pour plus d’informations, consultez cette rubrique.

Échange de messages DHCP entre les clients DHCP et le serveur DHCP dans différents VRF

Dans certains réseaux de fournisseurs de services, le réseau de services dans lequel réside le serveur DHCP est isolé du réseau d’abonné réel. Cette séparation des réseaux de service et d’abonnés peut parfois entraîner des problèmes de sécurité, tels que des fuites de route.

À partir de Junos OS version 14.2, vous pouvez utiliser l’agent de relais DHCP pour renforcer la sécurité lors de l’échange de messages DHCP entre différentes instances VRF (Virtual Routing and Forwarding Instances). L’agent de relais DHCP peut s’assurer qu’il n’y a pas de routage direct entre le VRF client et le VRF du serveur DHCP, et que seuls les paquets DHCP acceptables sont relayés sur les deux VRF. La gestion des abonnés prend en charge l’échange de messages VRF pour les paquets DHCP et DHCPv6.

Pour échanger des messages DHCP entre différents VRF, vous devez permettre à l’agent de relais DHCP côté serveur et côté client de reconnaître et de transférer le trafic acceptable en fonction des informations d’option DHCP dans les paquets. L’échange de messages utilise les options DHCP suivantes pour identifier le trafic à relayer.

ID de circuit de l’agent (DHCP option 82 sous-option 1) pour les paquets DHCPv4
ID d’interface de l’agent de relais (DHCPv6 option 18) pour les paquets DHCPv6

Les statistiques des paquets DHCP utilisant l’échange de messages entre VRF sont comptabilisées dans le VRF client.

La liste suivante décrit la façon dont l’agent de relais DHCP échange des messages entre les clients DHCP et le serveur DHCP dans différents VRF :

Paquets du client DHCP au serveur DHCP : l’agent de relais DHCP reçoit le paquet DHCP du client dans le VRF client, puis insère l’attribut DHCP option 82 sous-option 1 ou DHCPv6 option 18 approprié dans le paquet. L’agent de relais transmet ensuite le paquet au serveur DHCP dans le VRF du serveur.
Paquets du serveur DHCP vers le client DHCP : l’agent de relais DHCP reçoit le message de réponse DHCP du serveur DHCP dans le VRF du serveur. L’agent de relais dérive l’interface du client, y compris VRF, à partir de l’attribut DHCP option 82 sous-option 1 ou DHCPv6 option 18 dans le paquet dans le VRF du serveur DHCP. L’agent de relais transfère ensuite le message de réponse au client DHCP dans le VRF du client.

Configuration de l’échange de messages DHCP entre le serveur DHCP et les clients dans différentes instances de routage virtuel

À partir de Junos OS version 14.2, vous pouvez configurer l’agent de relais DHCP pour qu’il fournisse une sécurité supplémentaire lors de l’échange de messages DHCP entre un serveur DHCP et des clients DHCP résidant dans différentes instances VRF (Virtual Routing and Forwarding Instances).

Vous pouvez configurer l’agent de relais DHCP pour qu’il fournisse une sécurité supplémentaire lors de l’échange de messages DHCP entre un serveur DHCP et des clients DHCP résidant dans différentes instances de routage virtuel. Ce type de configuration concerne une connexion relais DHCP sans état entre un serveur DHCP et un client DHCP, lorsque le serveur DHCP réside dans un réseau qui doit être isolé du réseau client.

Un agent de relais DHCP sans état ne gère pas les informations d’état dynamiques sur les clients DHCP et ne gère pas de route statique pour que le trafic circule entre les instances de routage client et serveur.

Pour permettre l’échange de messages DHCP entre les deux VRF, vous devez configurer chaque côté du relais DHCP pour qu’il reconnaisse et transfère le trafic acceptable en fonction des informations de l’option DHCP contenues dans les paquets. Le trafic acceptable est identifié soit par l’ID de circuit de l’agent (DHCP option 82 sous-option 1) pour les paquets DHCPv4, soit par l’ID d’interface de l’agent de relais (DHCPv6 option 18) pour les paquets DHCPv6.

La liste suivante fournit une vue d’ensemble des tâches requises pour créer l’échange de messages DHCP entre les différents VRF :

Prise en charge côté client : configurez l’instruction de l’agent forward-only de relais DHCP pour spécifier l’emplacement VRF du serveur DHCP, auquel l’agent de relais DHCP transfère les paquets clients avec les informations d’option DHCP appropriées. L’instruction forward-only garantit que l’agent de relais DHCP ne crée pas de session ou n’effectue pas d’autres opérations de gestion des abonnés (telles que la création d’interfaces dynamiques ou la gestion des baux).

Si vous le souhaitez, vous pouvez configurer un système logique et une instance de routage spécifiques pour le VRF du serveur. Si vous ne spécifiez pas de système logique ou d’instance de routage, DHCP utilise le système logique local et l’instance de routage à partir desquels la configuration est ajoutée.
Prise en charge côté serveur : configurez l’instruction de l’agent forward-only-replies de relais DHCP afin que l’agent de relais DHCP transfère les paquets de réponse contenant les informations d’option DHCP appropriées. Cette instruction garantit également que l’agent de relais DHCP ne crée pas de nouvelle session et n’effectue pas d’autres opérations de gestion des abonnés.

Note:
Vous n’avez pas besoin de configurer l’instruction forward-only-replies si le client DHCP et le serveur DHCP résident dans le même système logique/instance de routage.
Prise en charge du serveur local DHCP : configurez le serveur local DHCP pour qu’il prenne en charge les informations de l’option 82 dans les messages DHCP NAK et forcerenew. Par défaut, les deux types de messages ne prennent pas en charge l’option 82.
Prise en charge supplémentaire : assurez-vous que la prise en charge requise suivante est configurée :
- La prise en charge de l’ARP du proxy doit être activée sur l’interface orientée serveur dans le VRF du serveur DHCP afin que l’agent de relais DHCP puisse recevoir et répondre aux demandes ARP pour les clients et l’interface côté client dans le VRF du serveur DHCP.
- Des routes doivent être disponibles pour recevoir les paquets DHCP du serveur DHCP dans le VRF du serveur pour les clients accessibles dans le VRF client.

Les procédures suivantes décrivent les tâches de configuration pour la création de l’échange de messages DHCP entre le serveur DHCP et les clients dans différents VRF.

Assistance côté client
Assistance côté serveur
Prise en charge des serveurs locaux DHCP

Assistance côté client

Pour configurer la prise en charge côté client de l’agent de relais DHCP :

Activez la configuration de l’agent de relais DHCP.

Spécifiez le VRF du serveur DHCP vers lequel l’agent de relais DHCP transfère les paquets à partir du client DHCP. L’agent de relais DHCP transfère les paquets acceptables pour lesquels les informations d’option DHCP sont appropriées, mais n’effectue pas d’opérations supplémentaires de gestion des abonnés. Vous pouvez configurer l’instruction forward-only globalement ou pour un groupe nommé d’interfaces, ainsi que pour DHCPv4 ou DHCPv6. Vous pouvez spécifier le système logique ou l’instance de routage actuel, par défaut ou spécifique pour le VRF du serveur.
L’exemple suivant configure l’instruction forward-only globalement pour DHCPv4 et spécifie le système logique et l’instance de routage par défaut :

Note:

Pour les clients DHCPv4 locaux, l’agent de relais DHCP ajoute l’option ID de circuit de l’agent. Toutefois, si l’option ID de circuit de l’agent est déjà présente dans le paquet, vous devez vous assurer que le serveur DHCP prend en charge la sous-option 82 Informations spécifiques au fournisseur (sous-option 9).

Si l’instruction forward-only est configurée au niveau de la [edit forwarding-options dhcp-relay relay-option] hiérarchie, cette action relay-option est prioritaire sur la configuration de l’instruction forward-only pour l’échange de messages DHCP entre VRF.

Assistance côté serveur

Pour configurer la prise en charge de l’échange de messages VRF croisé côté serveur du relais DHCP :

Note:

Vous n’avez pas besoin de configurer l’instruction forward-only-replies si le client DHCP et le serveur DHCP résident dans le même système logique/instance de routage.

Activez la configuration de l’agent de relais DHCP.

Configurez l’agent de relais DHCP pour qu’il transfère les paquets DHCP du VRF du serveur DHCP au client. L’agent de relais DHCP transfère uniquement les paquets et n’effectue aucune opération de gestion des abonnés supplémentaire. Vous pouvez configurer l’instruction forward-only-replies globalement pour DHCPv4 et DHCPv6.
L’exemple suivant configure l’instruction forward-only-replies globalement pour DHCPv4.

Prise en charge des serveurs locaux DHCP

Pour configurer le serveur local DHCP afin de prendre en charge les informations de l’option 82 dans les messages NAK et forcerenew ; la fonctionnalité d’échange de messages entre VRF utilise les informations de l’option 82 ou de l’option 18 de DHCPv6 pour déterminer le VRF client :

Activez la configuration du serveur local DHCP.

Indiquez que vous souhaitez configurer une option de remplacement.

Configurez le serveur local DHCP pour remplacer le comportement par défaut et prendre en charge les informations de l’option 82 dans les messages DHCP NAK et forcerenew. Vous pouvez configurer l’action de remplacement globalement, pour un groupe d’interfaces ou pour une interface spécifique.

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plate-forme et la version que vous utilisez. Utilisez l’Explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libération

Description

14.2

SUR CETTE PAGE