SUR CETTE PAGE
Configuration d’un agent de relais DHCP sur les commutateurs EX Series
Désactivation de la liaison automatique des requêtes DHCP parasites
Utilisation de la transmission unicast de couche 2 au lieu de la diffusion pour les paquets DHCP
Remplacement du champ Gateway IP Address (giaddr) par le giaddr de l’agent de relais DHCP
Remplacement des paramètres de configuration du relais DHCP par défaut
Désactivation de l’agent de relais DHCP pour les interfaces, pour les groupes ou globalement
Agent de relais DHCP
L’agent de relais DHCP sert d’interface entre les clients DHCP et le serveur. L’agent de relais DHCP relaie les messages DHCP entre les clients DHCP et les serveurs DHCP sur différents réseaux IP. Pour plus d’informations, consultez cette rubrique.
Comprendre le fonctionnement de l’agent de relais DHCP
Un équipement Juniper Networks fonctionnant comme agent de relais DHCP transfère les demandes entrantes des clients BOOTP et DHCP vers un serveur BOOTP ou DHCP spécifié. Les demandes des clients peuvent passer par des tunnels de réseau privé virtuel (VPN).
Vous ne pouvez pas configurer une interface de périphérique unique pour qu’elle fonctionne à la fois comme un client DHCP et un relais DHCP.
Les requêtes DHCP reçues sur une interface sont associées à un pool DHCP qui se trouve dans le même sous-réseau que l’adresse IP/le sous-réseau principal d’une interface. Si une interface est associée à plusieurs adresses IP/sous-réseaux, l’équipement utilise l’adresse IP la plus basse attribuée numériquement comme adresse IP/sous-réseau principal de l’interface. Pour modifier l’adresse IP/le sous-réseau répertorié comme adresse principale sur une interface, utilisez la set interfaces < interface name > unit 0 family inet xxx.xxx.xxx.xxx/yy primary
commande et validez la modification.
Tous les paquets DHCP transitant par une interface DHCP non configurée peuvent être abandonnés.
L’activation de la fonctionnalité de relais DHCP ou de serveur DHCP active également la fonction de surveillance DHCP, qui analyse tous les paquets DHCP reçus via n’importe quelle interface de l’équipement (interfaces configurées et non configurées DHCP).
Les interfaces qui ne sont pas répertoriées dans les paramètres DHCP sont considérées comme unconfigured
des interfaces. Selon la configuration, les paquets DHCP reçus sur les interfaces DHCP non configurées sont abandonnés.
Interaction entre l’agent de relais DHCP, le client DHCP et les serveurs DHCP
Le modèle d’interaction entre l’agent de relais DHCP, le client DHCP et les serveurs DHCP est le même, que l’installation du logiciel se fasse sur un routeur ou un commutateur. Cependant, il existe quelques différences dans les détails d’utilisation.
Sur les routeurs : dans une configuration de réseau de périphérie opérateur classique, le client DHCP se trouve sur l’ordinateur de l’abonné et l’agent de relais DHCP est configuré sur le routeur entre le client DHCP et un ou plusieurs serveurs DHCP.
Sur les commutateurs : dans une configuration réseau classique, le client DHCP se trouve sur un périphérique d’accès tel qu’un ordinateur personnel et l’agent de relais DHCP est configuré sur le commutateur entre le client DHCP et un ou plusieurs serveurs DHCP.
Les étapes suivantes décrivent, de manière générale, comment le client DHCP, l’agent de relais DHCP et le serveur DHCP interagissent dans une configuration qui inclut deux serveurs DHCP.
Le client DHCP envoie un paquet de découverte pour rechercher un serveur DHCP dans le réseau à partir duquel il doit obtenir les paramètres de configuration de l’abonné (ou du client DHCP), y compris une adresse IP.
L’agent de relais DHCP reçoit le paquet de découverte et en transmet des copies à chacun des deux serveurs DHCP. L’agent de relais DHCP crée ensuite une entrée dans sa table client interne pour effectuer le suivi de l’état du client.
En réponse à la réception du paquet discover, chaque serveur DHCP envoie un paquet d’offre au client. L’agent de relais DHCP reçoit les paquets d’offre et les transmet au client DHCP.
À la réception des paquets d’offre, le client DHCP sélectionne le serveur DHCP à partir duquel il souhaite obtenir les informations de configuration. En règle générale, le client sélectionne le serveur qui offre la durée de bail la plus longue sur l’adresse IP.
Le client DHCP envoie un paquet de requête qui spécifie le serveur DHCP à partir duquel obtenir les informations de configuration.
L’agent de relais DHCP reçoit le paquet de requête et en transmet des copies à chacun des deux serveurs DHCP.
Le serveur DHCP demandé par le client envoie un paquet d’accusé de réception (ACK) contenant les paramètres de configuration du client.
L’agent de relais DHCP reçoit le paquet ACK et le transmet au client.
Le client DHCP reçoit le paquet ACK et stocke les informations de configuration.
S’il est configuré pour cela, l’agent de relais DHCP installe une route d’hôte et une entrée ARP (Address Resolution Protocol) pour ce client.
Après avoir établi le bail initial sur l’adresse IP, le client DHCP et le serveur DHCP utilisent la transmission unicast pour négocier le renouvellement ou la libération du bail. L’agent de relais DHCP « espionne » tous les paquets unicast entre le client et le serveur qui passent par le routeur (ou le commutateur) pour déterminer quand le bail de ce client a expiré ou a été libéré. C’est ce qu’on appelle le « lease shadowing » ou « passive snooping ».
Sur tous les équipements Junos OS, lorsque le relais DHCP est configuré avec forward-only
l’option et que le client DHCP est arrêté sur l’interface de tunnel logique si l’interface de tunnel logique
Comprend plusieurs interfaces logiques
Utiliser le même VLAN sur plusieurs interfaces logiques de la même
lt
interface
Dans ce cas, le relais DHCP peut ne pas envoyer les messages OFFER .
Ce problème s’applique aux versions 19.3R3, 19.4R2, 18.4R3, 19.4R1, 19.3R2, 18.4R3-S1, 17.4R3 de Junos OS.
Configuration minimale de l’agent de relais DHCP
Cet exemple montre la configuration minimale requise pour utiliser l’agent de relais DHCP étendu sur votre équipement Junos OS. Assurez-vous que l’équipement peut se connecter au serveur DHCP.
Dans cet exemple, vous dirigez une partie du trafic du client DHCP vers un serveur DHCP. Vous spécifiez un groupe de serveurs actif vers lequel le trafic de chaque groupe de clients est transféré. Ajouter des adresses IP de serveur au groupe de serveurs actif, Vous pouvez configurer un groupe d’interfaces et spécifier l’interface de relais DHCP pour le groupe. L’interface utilisée en tant qu’agent de relais DHCP peut transférer des messages à des serveurs spécifiques.
Configurez l’option DHCP 82 et la fonctionnalité de transfert uniquement .
Cet exemple crée un groupe de serveurs actif nommé my-dhcp-servers-group
avec l’adresse IP 203.0.113.21. La configuration de l’agent de relais DHCP est appliquée à un groupe d’interfaces nommé my-dhcp-interfaces
. Au sein de ce groupe, l’agent de relais DHCP est activé sur l’interface ge-0/0/1.0.
Configurez l’option de transfert du trafic, sans créer de nouvelle session d’abonné.
user@host# set forwarding-options dhcp-relay forward-only
Activez l’option Informations sur l’agent de relais DHCP (option 82) dans les paquets DHCP destinés à un serveur DHCP.
user@host# set forwarding-options dhcp-relay relay-option-82 circuit-id use-interface-description device
Utilisez la description textuelle de l’interface au lieu de l’identificateur d’interface dans l’option de base DHCP 82 ID de circuit de l’agent dans les paquets DHCP que l’agent de relais DHCP envoie à un serveur DHCP.
Configurez le groupe de serveurs DHCP et ajoutez les adresses IP du serveur DHCP appartenant au groupe.
user@host# set forwarding-options dhcp-relay server-group my-dhcp-servers-group 203.0.113.2
Définissez le groupe de serveurs DHCP comme groupe de serveurs actif.
user@host# set forwarding-options dhcp-relay active-server-group my-dhcp-servers-group
L’agent de relais DHCP relaie les demandes des clients DHCP aux serveurs DHCP définis dans le groupe de serveurs actif.
Configurez un groupe d’interfaces et spécifiez l’interface de relais DHCP pour le groupe.
user@host# set forwarding-options dhcp-relay group my-dhcp-interf-group interface ge-0/0/1.0
Le relais DHCP s’exécute sur les interfaces définies dans le groupe.
Pour configurer un commutateur avec le relais DHCP en forward-only
mode, vérifiez si votre serveur DHCP prend en charge l’option DHCP 82. Pour plus d’informations, reportez-vous à la section Vérifier la prise en charge de l’option 82 dans le serveur DHCP .
L’option forward-only
dans les configurations de relais DHCP ne nécessite pas l’installation de la licence S-SA-FP.
En mode configuration, confirmez votre configuration en entrant la show forwarding-options
commande et vérifiez votre configuration.
user@srx-01# show forwarding-options dhcp-relay { relay-option-82 { circuit-id { use-interface-description device; } } forward-only; server-group { my-dhcp-servers-group { 203.0.113.21; } } active-server-group my-dhcp-servers-group; group my-dhcp-interf-group { interface ge-0/0/1.0; } }
Configuration des adresses IPv4 et IPv6 sur l’interface de bouclage
Lorsque vous avez configuré un serveur DHCP dans un autre VRF de service, vous devez configurer les adresses IPv4 et IPv6 sur l’interface de bouclage dans la configuration VRF du serveur pour que la fonction DCHP-relay fonctionne dans tous les autres VRF.
Configurez l’option dhcp-relay forward-only-replies pour activer les paquets de réponse DHCP transférés aux clients DHCP dans l’autre VRF.
[edit routing-instances] Svr-1 { instance-type vrf; routing-options { auto-export; } protocols { evpn { ip-prefix-routes { advertise direct-nexthop; encapsulation vxlan; vni 11000; export type5-export; } } } forwarding-options { dhcp-relay { dhcpv6 { forward-only-replies; } forward-only-replies; } } interface lo0.2; route-distinguisher 103.0.0.1:5000; vrf-import import-tenant; vrf-target target:5000:1; vrf-table-label; } lo0 { unit 0 { family inet { address 103.0.0.1/32; } family inet6 { address 1003::1/128; } } unit 1 { family inet { address 103.0.0.1/32; } family inet6 { address 1003::1/128; } } unit 2 { family inet { address 103.0.0.2/32; } family inet6 { address 1003::2/128; } }
Configuration de l’agent de relais DHCP
L’agent de relais DHCP sert d’interface entre les clients DHCP et le serveur. L’agent de relais DHCP relaie les messages DHCP entre les clients DHCP et les serveurs DHCP sur différents réseaux IP.
Cet exemple décrit comment configurer l’agent de relais DHCP sur le pare-feu SRX Series. Le pare-feu SRX Series, agissant en tant qu’agent de relais DHCP, est responsable du transfert des demandes et des réponses entre les clients DHCP et le serveur qui font partie de différentes instances de routage.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Pare-feu SRX Series avec Junos OS 15.1X49-D10 ou version ultérieure.
Aperçu
Vous pouvez configurer l’agent de relais DHCP pour qu’il fournisse une sécurité supplémentaire lors de l’échange de messages DHCP entre un serveur DHCP et des clients DHCP résidant dans différentes instances de routage virtuel. Ce type de configuration est destiné à la connexion de relais DHCP entre un serveur DHCP et un client DHCP, lorsque le serveur DHCP réside dans un réseau isolé du réseau client.
Topologie
Pour échanger des messages DHCP entre différentes instances de routage, vous devez permettre à l’interface côté serveur et à l’interface côté client de l’agent de relais DHCP de reconnaître et de transférer les paquets DHCP.
La Figure 1 suivante illustre les performances DHCP en tant que serveur local DHCP, client DHCP et agent de relais DHCP

La liste suivante donne un aperçu des tâches requises pour créer l’échange de messages DHCP entre les différentes instances de routage :
Configurez le côté client de l’agent de relais DHCP.
Configurez le côté serveur de l’agent de relais DHCP.
Configurez la zone de sécurité pour autoriser le protocole DHCP.
Tableau 1 : Paramètres du relais DHCP :
Paramètres
Détails côté client
Détails côté serveur
Interface
GE-0/0/3.0
GE-0/0/4.0
interface de routage
confiance-vr
untrust-vr
Adresse IP
10.1.1.2/24
20.1.1.1/24
Note:Pour que cette configuration fonctionne, la route de connexion du serveur DHCP et la route de l’interface de l’agent de relais doivent se trouver dans les deux instances de routage. Par exemple, dans la topologie ci-dessus, la route serveur 30.1.1.0/24 doit être partagée avec le relais dhcp VR, et la route exacte 10.1.1.0/24 de l’interface relais dhcp doit être partagée avec l’instance de routage par défaut.
De plus, une configuration dhcp-relay factice doit être ajoutée dans l’instance de routage avec le serveur DHCP. Si cette option n’est pas configurée, dhcp-relay ne pourra pas recevoir de paquets du serveur DHCP.
Configuration
- Configuration rapide de l’interface de ligne de commande
- Procédure
- Procédure
- Procédure
- Procédure
- Résultats
Configuration rapide de l’interface de ligne de commande
Les procédures suivantes décrivent les tâches de configuration pour la création de l’échange de messages DHCP entre le serveur DHCP et les clients dans différentes instances de routage. Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
Configuration rapide pour l’assistance client :
set routing-instances trust-vr instance-type virtual-router set routing-instances trust-vr interface ge-0/0/3.0 set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/24
Configuration rapide pour l’assistance face au serveur :
set routing-instances untrust-vr instance-type virtual-router set routing-instances untrust-vr interface ge-0/0/4.0 set routing-instances untrust-vr forwarding-options dhcp-relay forward-only-replies set interfaces ge-0/0/4 unit 0 family inet address 20.1.1.1/24
Configuration rapide pour la prise en charge des relais DHCP :
set routing-instances untrust-vr forwarding-options dhcp-relay server-group dummy-config set routing-instances untrust-vr routing-options instance-import import_relay_route_to_server_vr set routing-instances untrust-vr routing-options static route 30.1.1.0/24 next-hop 20.1.1.2 set routing-instances trust-vr forwarding-options dhcp-relay server-group server-1 30.1.1.2 set routing-instances trust-vr forwarding-options dhcp-relay active-server-group server-1 set routing-instances trust-vr forwarding-options dhcp-relay group relay-in-vr interface ge-0/0/3.0 set routing-instances trust-vr routing-options instance-import export_dhcp_server_route set policy-options policy-statement export_dhcp_server_route term 1 from instance untrust-vr set policy-options policy-statement export_dhcp_server_route term 1 from route-filter 30.1.1.0/24 exact set policy-options policy-statement export_dhcp_server_route term 1 then accept set policy-options policy-statement export_dhcp_server_route term 2 then reject set policy-options policy-statement import_relay_route_to_server_vr term 1 from instance trust-vr set policy-options policy-statement import_relay_route_to_server_vr term 1 from route-filter 10.1.1.0/24 exact set policy-options policy-statement import_relay_route_to_server_vr term 1 then accept set policy-options policy-statement import_relay_route_to_server_vr term 2 then reject set routing-options static route 30.1.1.2/32 next-table untrust-vr.inet.0
Configuration rapide de la zone de sécurité pour autoriser le protocole DHCP :
set security policies default-policy permit-all set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3.0 host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/3.0 host-inbound-traffic protocols all
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer la prise en charge côté client de l’agent de relais DHCP :
Définissez un type d’instance de routage sur routeur virtuel.
[edit] user@host# set routing-instances trust-vr instance-type virtual-router
Définir une interface sur le routeur virtuel
[edit] user@host# set routing-instances trust-vr interface ge-0/0/3.0
Définissez l’adresse IP sur l’interface.
[edit] user@host# set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/24
Procédure
Procédure étape par étape
Pour configurer la prise en charge du côté serveur de l’agent de relais DHCP :
Définissez un routeur virtuel.
[edit] user@host# set routing-instances untrust-vr instance-type virtual-router
Définissez une interface sur le routeur virtuel.
[edit] user@host# set routing-instances untrust-vr interface ge-0/0/4.0
Définissez l’option de transfert uniquement des réponses.
[edit] user@host# set routing-instances untrust-vr forwarding-options dhcp-relay forward-only-replies
Définissez l’adresse IP sur l’interface.
[edit] user@host# set interfaces ge-0/0/4 unit 0 family inet address 20.1.1.1/24
Procédure
Procédure étape par étape
Pour configurer le serveur local DHCP afin qu’il prenne en charge :
Définir la configuration dans dhcp-relay pour l’instance de routage untrust-vr
[edit ] user@host# set routing-instances untrust-vr forwarding-options dhcp-relay server-group dummy-config user@host# set routing-instances untrust-vr routing-options instance-import import_relay_route_to_server_vr user@host# set routing-instances untrust-vr routing-options static route 30.1.1.0/24 next-hop 20.1.1.2
Définir la configuration dans dhcp-relay pour l’instance de routage trust-vr
[edit ] user@host# set routing-instances trust-vr forwarding-options dhcp-relay server-group server-1 30.1.1.2 user@host# set routing-instances trust-vr forwarding-options dhcp-relay active-server-group server-1 user@host# set routing-instances trust-vr forwarding-options dhcp-relay group relay-in-vr interface ge-0/0/3.0 user@host# set routing-instances trust-vr routing-options instance-import export_dhcp_server_route
Définissez la configuration pour partager les routes entre les instances de routage.
[edit ] user@host# set policy-options policy-statement export_dhcp_server_route term 1 from instance untrust-vr user@host# set policy-options policy-statement export_dhcp_server_route term 1 from route-filter 30.1.1.0/24 exact user@host# set policy-options policy-statement export_dhcp_server_route term 1 then accept user@host# set policy-options policy-statement export_dhcp_server_route term 2 then reject user@host# set policy-options policy-statement import_relay_route_to_server_vr term 1 from instance trust-vr user@host# set policy-options policy-statement import_relay_route_to_server_vr term 1 from route-filter 10.1.1.0/24 exact user@host# set policy-options policy-statement import_relay_route_to_server_vr term 1 then accept user@host# set policy-options policy-statement import_relay_route_to_server_vr term 2 then reject user@host# set routing-options static route 30.1.1.2/32 next-table untrust-vr.inet.0
Note:Vous pouvez activer un pare-feu SRX Series pour qu’il fonctionne comme serveur local DHCP. Le serveur local DHCP fournit une adresse IP et d’autres informations de configuration en réponse à une demande du client.
Procédure
Procédure étape par étape
Pour configurer la zone de sécurité afin d’autoriser le protocole DHCP :
Définissez la stratégie de sécurité par défaut pour autoriser tout le trafic.
[edit ] user@host# set security policies default-policy permit-all
Définissez tous les services système et protocoles sur l’interface ge-0/0/4.0.
[edit ] user@host# set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic protocols all
Définissez tous les services et protocoles système sur l’interface ge-0/0/3.0.
[edit ] user@host# set security zones security-zone trust interfaces ge-0/0/3.0 host-inbound-traffic system-services all user@host# set security zones security-zone trust interfaces ge-0/0/3.0 host-inbound-traffic protocols all
Résultats
Résultat pour le support client :
À partir du mode configuration, confirmez votre configuration en entrant la show routing-instances
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show routing-instances trust-vr { instance-type virtual-router; interface ge-0/0/3.0; }
Résultat pour l’assistance face au serveur :
À partir du mode configuration, confirmez votre configuration en entrant la
show routing-instances
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show routing-instances untrust-vr { instance-type virtual-router; interface ge-0/0/4.0; forwarding-options { dhcp-relay { forward-only-replies; } } }
Résultat pour la prise en charge des serveurs locaux DHCP :
À partir du mode de configuration, confirmez votre configuration en saisissant les
show routing-instances
commandes ,show policy-options
etshow routing-options
. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show routing-instances trust-vr { routing-options { instance-import export_dhcp_server_route; } forwarding-options { dhcp-relay { server-group { server-1 { 30.1.1.2; } } active-server-group server-1; group relay-in-vr { interface ge-0/0/3.0; } } } } untrust-vr { routing-options { static { route 30.1.1.0/24 next-hop 20.1.1.2; } instance-import import_relay_route_to_server_vr; } forwarding-options { dhcp-relay { server-group { dummy-config; } } } } [edit] user@host# show policy-options policy-statement export_dhcp_server_route { term 1 { from { instance untrust-vr; route-filter 30.1.1.0/24 exact; } then accept; } term 2 { then reject; } } policy-statement import_relay_route_to_server_vr { term 1 { from { instance trust-vr; route-filter 10.1.1.0/24 exact; } then accept; } term 2 { then reject; } } [edit] user@host# show routing-options static { route 30.1.1.2/32 next-table untrust-vr.inet.0; }
Résultat pour que la zone de sécurité autorise le protocole DHCP :
À partir du mode de configuration, confirmez votre configuration en entrant les
show security policies
commandes etshow security zones
. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security zones security-zone HOST { interfaces { all; } } security-zone untrust { interfaces { ge-0/0/4.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } } } security-zone trust { interfaces { ge-0/0/3.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Vérification
- Vérification de la configuration des statistiques du relais DHCP :
- Vérification des liaisons client DHCP dans l’instance de routage.
Vérification de la configuration des statistiques du relais DHCP :
But
Vérifiez que les statistiques de relais DHCP ont été configurées.
Action
À partir du mode opérationnel, entrez la
show dhcp relay statistics routing-instance dhcp-relay
commande.Packets dropped: Total 0 Messages received: BOOTREQUEST 1 DHCPDECLINE 0 DHCPDISCOVER 0 DHCPINFORM 0 DHCPRELEASE 0 DHCPREQUEST 1 Messages sent: BOOTREPLY 1 DHCPOFFER 0 DHCPACK 1 DHCPNAK 0 DHCPFORCERENEW 0
Vérification des liaisons client DHCP dans l’instance de routage.
But
Vérifiez que les liaisons client DHCP dans les instances de routage ont été configurées.
Action
À partir du mode opérationnel, entrez la
show dhcp relay binding routing-instance dhcp-relay
commande.IP address Session Id Hardware address Expires State Interface 10.10.10.2 14 00:0c:29:e9:6d:00 86381 BOUND ge-0/0/1.0
Configuration d’un agent de relais DHCP sur les commutateurs EX Series
Vous pouvez configurer un commutateur EX Series pour qu’il agisse comme agent de relais DHCP étendu. Cela signifie qu’un hôte attaché localement peut émettre une requête DHCP sous forme de message de diffusion et que le commutateur configuré pour le relais DHCP relaie le message à un serveur DHCP spécifié. Configurez un commutateur pour qu’il devienne un agent de relais DHCP si vous disposez d’hôtes attachés localement et d’un serveur DHCP distant.
Avant de commencer :
Assurez-vous que le commutateur peut se connecter au serveur DHCP.
Pour configurer un commutateur afin qu’il agisse en tant que serveur d’agent de relais DHCP étendu :
Configuration de DHCP Smart Relay (relais DHCP hérité)
Vous pouvez utiliser le relais intelligent DHCP pour assurer la redondance et la résilience de votre configuration de relais DHCP. Le relais intelligent fournit des fonctionnalités de relais supplémentaires et nécessite tous les paramètres de configuration requis par le relais DHCP. Pour utiliser le relais intelligent DHCP, vous avez également besoin d’une interface à laquelle plusieurs adresses IP sont attribuées. Vous pouvez y parvenir en effectuant l’une des tâches suivantes :
Créez une interface VLAN routée et attribuez-lui au moins deux adresses IP. Pour plus d’informations sur cette approche, reportez-vous aux sections Configuration des interfaces IRB sur les commutateurs et Exemple : configuration du routage entre VLAN sur un commutateur à l’aide d’une interface IRB .
Créez une interface logique de couche 3 (à l’aide du balisage VLAN) et attribuez-lui au moins deux adresses IP. Pour plus d’informations sur cette approche, reportez-vous aux sections Comprendre les interfaces logiques de couche 3 et Configuration d’une interface logique de couche 3 .
Une fois que vous avez créé une interface avec plusieurs adresses IP, terminez la configuration du relais intelligent en entrant l’une des instructions suivantes :
set forwarding-options helpers bootp smart-relay-global
: Utilisez cette instruction pour activer le relais intelligent sur toutes les interfaces configurées en tant qu’agents de relais.set forwarding-options helpers bootp interface interface-name smart-relay-agent
: Utilisez cette instruction pour activer le relais intelligent sur une interface spécifique.
Lorsque Smart Relay est configuré pour une interface, le commutateur envoie initialement des messages de requête DHCP (découverte) à partir de cette interface en utilisant l’adresse principale de l’interface comme adresse IP de passerelle (dans le champ giaddr) pour le message DHCP. Si aucun message d’offre DHCP n’est reçu d’un serveur en réponse, le commutateur permet au client d’envoyer jusqu’à trois autres messages de découverte en utilisant la même adresse IP de passerelle. Si aucun message d’offre DHCP n’est reçu après trois tentatives, le commutateur renvoie le message de découverte en utilisant l’adresse IP alternative comme adresse IP de passerelle. Si vous configurez plus de deux adresses IP sur l’interface de l’agent de relais, le commutateur répète ce processus jusqu’à ce qu’un message d’offre DHCP soit reçu ou que toutes les adresses IP aient été utilisées sans succès.
Voir aussi
Désactivation de la liaison automatique des requêtes DHCP parasites
Les requêtes DHCP reçues mais n’ayant pas d’entrée dans la base de données sont appelées requêtes errantes. Par défaut, le relais DHCP, le proxy de relais DHCP et l’agent de relais DHCPv6 tentent de lier le client demandeur en créant une entrée de base de données et en transférant la demande au serveur DHCP. Si le serveur répond avec un accusé de réception, le client est lié et l’accusé de réception est transféré au client. Si le serveur répond par un NAK, l’entrée de base de données est supprimée et le NAK est transmis au client. Ce comportement se produit indépendamment de la configuration de l’authentification.
Vous pouvez remplacer la configuration par défaut au niveau global, pour un groupe d’interfaces nommé ou pour une interface spécifique au sein d’un groupe nommé. Le remplacement de la valeur par défaut entraîne l’abandon de toutes les requêtes parasites par le relais DHCP, le proxy de relais DHCP et l’agent de relais DHCPv6 au lieu d’essayer de lier les clients.
La liaison automatique des requêtes errantes est activée par défaut.
Pour désactiver le comportement de liaison automatique, incluez l’instruction
no-bind-on-request
lorsque vous configurez les remplacements DHCP au niveau global, de groupe ou d’interface.[edit forwarding-options dhcp-relay overrides] user@host# set no-bind-on-request
Pour remplacer le comportement par défaut de l’agent de relais DHCPv6, configurez le remplacement au niveau de la
[edit forwarding-options dhcp-relay dhcpv6]
hiérarchie.[edit forwarding-options dhcp-relay dhcpv6 overrides] user@host# set no-bind-on-request
Les deux exemples suivants montrent une configuration qui désactive la liaison automatique des requêtes errantes pour un groupe d’interfaces et une configuration qui désactive la liaison automatique sur une interface spécifique.
Pour désactiver la liaison automatique des requêtes errantes sur un groupe d’interfaces :
Pour désactiver la liaison automatique des requêtes errantes sur une interface spécifique :
Spécifiez le groupe nommé dont l’interface est membre.
[edit forwarding-options dhcp-relay] user@host# edit group boston
Spécifiez l’interface sur laquelle vous souhaitez désactiver la liaison automatique.
[edit forwarding-options dhcp-relay group boston] user@host# edit interface fe-1/0/1.2
Indiquez que vous souhaitez configurer les remplacements.
[edit forwarding-options dhcp-relay group boston interface fe-1/0/1.2] user@host# edit overrides
Désactivez la liaison automatique sur l’interface.
[edit forwarding-options dhcp-relay group boston interface fe-1/0/1.2 overrides] user@host# set no-bind-on-request
Utilisation de la transmission unicast de couche 2 au lieu de la diffusion pour les paquets DHCP
Vous pouvez configurer l’agent de relais DHCP pour remplacer le paramètre du bit de diffusion dans les paquets de demande DHCP. L’agent de relais DHCP utilise ensuite la méthode de transmission unicast de couche 2 pour envoyer des paquets de réponse DHCP Offer et DHCP ACK du serveur DHCP aux clients DHCP pendant le processus de découverte.
Pour remplacer le paramètre par défaut du bit de diffusion dans les paquets de requête DHCP :
Remplacement du champ Gateway IP Address (giaddr) par le giaddr de l’agent de relais DHCP
Vous pouvez configurer l’agent de relais DHCP pour qu’il modifie le champ Adresse IP de la passerelle (giaddr) dans les paquets qu’il transfère entre un client DHCP et un serveur DHCP.
Pour remplacer le giaddr de chaque paquet DHCP par le giaddr de l’agent de relais DHCP avant de transférer le paquet au serveur DHCP :
Configurer l’agent de relais DHCP pour remplacer les paquets de demande et de libération par l’adresse IP de la passerelle
Vous pouvez configurer l’agent de relais DHCP pour qu’il remplace les paquets de demande et de libération par l’adresse IP de la passerelle (giaddr) avant de transférer le paquet au serveur DHCP.
Pour remplacer l’adresse source par giaddr :
Remplacement des paramètres de configuration du relais DHCP par défaut
Vous pouvez remplacer les paramètres de configuration du relais DHCP par défaut au niveau global, pour un groupe d’interfaces nommé ou pour une interface spécifique au sein d’un groupe nommé.
Pour remplacer les options globales de configuration de l’agent de relais DHCP par défaut, incluez l’instruction
overrides
et ses instructions subordonnées au niveau de la[edit forwarding-options dhcp-relay]
hiérarchie.Pour remplacer les options de configuration du relais DHCP pour un groupe nommé d’interfaces, incluez les instructions au niveau de la
[edit forwarding-options dhcp-relay group group-name]
hiérarchie.Pour remplacer les options de configuration du relais DHCP pour une interface spécifique au sein d’un groupe nommé d’interfaces, incluez les instructions au niveau de la
[edit forwarding-options dhcp-relay group group-name interface interface-name]
hiérarchie.Pour configurer les remplacements pour le relais DHCPv6 au niveau global, au niveau du groupe ou par interface, utilisez les instructions correspondantes au niveau de la
[edit forwarding-options dhcp-relay dhcpv6]
hiérarchie.
Pour remplacer les paramètres de configuration par défaut de l’agent de relais DHCP :
Désactivation de l’agent de relais DHCP pour les interfaces, pour les groupes ou globalement
Vous pouvez désactiver le relais DHCP sur toutes les interfaces ou sur un groupe d’interfaces.
Pour désactiver l’agent de relais DHCP :
Exemple : Configuration du traitement sélectif du trafic de l’agent de relais DHCP en fonction des chaînes d’option DHCP
Cet exemple montre comment configurer l’agent de relais DHCP pour qu’il utilise les chaînes d’option DHCP afin d’identifier, de filtrer et de traiter le trafic client de manière sélective.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
MX Series Commutateurs 5G Plates-formes de routage universelles ou EX Series
Avant de configurer la prise en charge du traitement sélectif de l’agent de relais DHCP, assurez-vous de :
Configurez l’agent de relais DHCP.
Reportez-vous à la section Présentation de l’agent de relais DHCP étendu.
(Facultatif) Configurez un groupe de serveurs local DHCP nommé si vous souhaitez transférer le trafic client vers un groupe de serveurs.
Reportez-vous à la section Groupement d’interfaces avec des configurations DHCP courantes.
Aperçu
Dans cet exemple, vous configurez l’agent de relais DHCP pour qu’il utilise des chaînes d’option DHCP dans les paquets clients afin d’identifier, de filtrer et de traiter le trafic client de manière sélective. Pour configurer le traitement sélectif, vous devez effectuer les procédures suivantes :
Identify the client traffic (Identifier le trafic client) : spécifiez l’option DHCP utilisée par l’agent de relais DHCP pour identifier le trafic client que vous souhaitez traiter. L’option que vous spécifiez correspond à l’option dans le trafic client.
Configure a default action (Configurer une action par défaut) : spécifiez l’action de traitement par défaut, que le relais DHCP utilise pour le trafic client identifié qui ne répond à aucun critère de correspondance configuré.
Créer des filtres de correspondance et associer une action à chaque filtre : spécifiez des critères de correspondance qui filtrent le trafic client. Il peut s’agir d’une correspondance exacte ou partielle avec la chaîne d’option dans le trafic client. Associez une action de traitement à chaque critère de correspondance.
Configuration
Pour configurer le traitement sélectif de l’agent de relais DHCP en fonction des informations des options DHCP, effectuez les opérations suivantes :
- Configuration rapide de l’interface de ligne de commande
- Configuration de l’agent de relais DHCP pour traiter de manière sélective le trafic client en fonction des chaînes d’option DHCP
- Résultats
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez la commande dans la CLI au niveau de la [edit]
hiérarchie.
set forwarding-options dhcp-relay relay-option option-number 60 set forwarding-options dhcp-relay relay-option equals ascii video-gold forward-only set forwarding-options dhcp-relay relay-option equals ascii video-bronze local-server-group servergroup-15 set forwarding-options dhcp-relay relay-option starts-with hexadecimal fffff local-server-group servergroup-east set forwarding-options dhcp-relay relay-option default-action drop
Configuration de l’agent de relais DHCP pour traiter de manière sélective le trafic client en fonction des chaînes d’option DHCP
Procédure étape par étape
Pour configurer le traitement sélectif des relais DHCP :
Spécifiez que vous souhaitez configurer la prise en charge de l’agent de relais DHCP.
[edit forwarding-options] user@host#
edit dhcp-relay
Spécifiez l’option DHCP que l’agent de relais DHCP utilise pour identifier le trafic client entrant.
[edit forwarding-options dhcp-relay] user@host#
set relay-option option-number 60
Configurez une action par défaut, que l’agent de relais DHCP utilise lorsque le trafic client entrant ne répond à aucun critère de correspondance configuré.
[edit forwarding-options dhcp-relay] user@host#
set relay-option default-action drop
Configurez une condition de correspondance exacte et l’action associée que le relais DHCP utilise pour traiter le trafic client identifié.
[edit forwarding-options dhcp-relay] user@host#
set relay-option equals ascii video-gold
forward-onlyConfigurez une deuxième condition de correspondance exacte et l’action associée que le relais DHCP utilise pour traiter le trafic client.
[edit forwarding-options dhcp-relay] user@host#
set relay-option equals ascii video-bronze
local-server-group servergroup-15Configurez un critère de correspondance partielle et l’action associée que le relais DHCP utilise pour traiter le trafic client.
[edit forwarding-options dhcp-relay] user@host#
set relay-option starts-with hexadecimal fffff local-server-group servergroup-east
Résultats
À partir du mode configuration, confirmez les résultats de votre configuration en émettant l’instruction show
au niveau de la [edit forwarding-options]
hiérarchie. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit forwarding-options] user@host# show dhcp-relay { relay-option { option-number 60; equals { ascii video-gold { forward-only; } } equals { ascii video-bronze { local-server-group servergroup-15; } } default-action { drop; } starts-with { hexadecimal fffff { local-server-group servergroup-east; } } } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Vérification
Pour vérifier l’état du traitement sélectif du trafic de l’agent de relais DHCP, effectuez la tâche suivante :
Vérification de l’état du traitement sélectif du trafic de l’agent de relais DHCP
But
Vérifiez l’état du traitement sélectif du trafic de l’agent de relais DHCP.
Action
Affichez les statistiques de l’agent de relais DHCP.
user@host> show dhcp relay statistics Packets dropped: Total 30 Bad hardware address 1 Bad opcode 1 Bad options 3 Invalid server address 5 No available addresses 1 No interface match 2 No routing instance match 9 No valid local address 4 Packet too short 2 Read error 1 Send error 1 Option 60 1 Option 82 2 Messages received: BOOTREQUEST 116 DHCPDECLINE 0 DHCPDISCOVER 11 DHCPINFORM 0 DHCPRELEASE 0 DHCPREQUEST 105 Messages sent: BOOTREPLY 0 DHCPOFFER 2 DHCPACK 1 DHCPNAK 0 DHCPFORCERENEW 0 Packets forwarded: Total 4 BOOTREQUEST 2 BOOTREPLY 2
Sens
Le Packets forwarded
champ de la sortie de la show dhcp relay statistics
commande affiche le nombre de paquets clients qui ont été transférés à la suite de la configuration de traitement sélectif du trafic. Dans cet exemple, la sortie indique le nombre total de paquets que l’agent de relais DHCP a transférés, ainsi qu’une ventilation du nombre de BOOTREQUEST
BOOTREPLY
paquets transférés.
Vérification et gestion de la configuration des relais DHCP
But
Affichez ou effacez les liaisons d’adresses ou les statistiques pour les clients de l’agent de relais DHCP.
Action
Pour afficher les liaisons d’adresses pour les clients de l’agent de relais DHCP :
user@host>
show dhcp relay binding
Pour afficher les statistiques de l’agent de relais DHCP :
user@host>
show dhcp relay statistics
Pour effacer l’état de liaison des clients de l’agent de relais DHCP :
user@host>
clear dhcp relay binding
Pour effacer toutes les statistiques de l’agent de relais DHCP :
user@host>
clear dhcp relay statistics
Pour effacer ou afficher des informations sur les liaisons client et les statistiques dans une instance de routage, exécutez les commandes suivantes :
show dhcp relay binding routing instance <routing-instance name>
show dhcp relay statistics routing instance <routing-instance name>
clear dhcp relay binding routing instance <routing-instance name>
clear dhcp relay statistics routing instance <routing-instance name>
Sur tous les pare-feu SRX Series, le relais DHCP n’est pas en mesure de mettre à jour l’état de liaison en fonction des messages DHCP_RENEW et DHCP_RELEASE.
Voir aussi
Présentation de l’agent de relais DHCP étendu
Vous pouvez configurer des options de relais DHCP étendues sur le routeur ou sur le commutateur et permettre au routeur (ou au commutateur) de fonctionner en tant qu’agent de relais DHCP. Un agent de relais DHCP transfère les paquets de demande et de réponse DHCP entre un client DHCP et un serveur DHCP.
Le relais DHCP prend en charge l’attachement de profils dynamiques et interagit également avec l’infrastructure de services AAA locale pour utiliser des serveurs d’authentification back-end, tels que RADIUS, afin de fournir l’authentification de l’abonné ou l’authentification du client DHCP. Vous pouvez joindre des profils dynamiques et configurer la prise en charge de l’authentification à l’échelle mondiale ou pour un groupe spécifique d’interfaces.
Les PTX Series Routeurs de transport de paquets ne prennent pas en charge l’authentification pour les agents de relais DHCP.
Sur les routeurs, vous pouvez utiliser le relais DHCP dans les applications de périphérie opérateur telles que la vidéo/IPTV pour obtenir des paramètres de configuration, y compris une adresse IP, pour vos abonnés.
Sur les commutateurs, vous pouvez utiliser le relais DHCP pour obtenir des paramètres de configuration, y compris une adresse IP pour les clients DHCP.
Les options étendues de l’agent de relais DHCP configurées avec l’instruction dhcp-relay
sont incompatibles avec les options de l’agent de relais DHCP/BOOTP configurées avec l’instruction bootp
. Par conséquent, vous ne pouvez pas activer simultanément l’agent de relais DHCP étendu et l’agent de relais DHCP/BOOTP sur le routeur.
Pour plus d’informations sur l’agent de relais DHCP/BOOTP, reportez-vous à la section Configuration des routeurs, des commutateurs et des interfaces en tant qu’agents de relais DHCP et BOOTP.
Vous pouvez également configurer l’agent de relais DHCP étendu pour qu’il prenne en charge les clients IPv6. Reportez-vous àla section Présentation de l’agent de relais DHCPv6 pour plus d’informations sur la fonctionnalité de l’agent de relais DHCPv6.
Pour configurer l’agent de relais DHCP étendu sur le routeur (ou le commutateur), incluez l’instruction dhcp-relay
au niveau de la [edit forwarding-options]
hiérarchie.
Vous pouvez également inclure l’instruction dhcp-relay
aux niveaux hiérarchiques suivants :
[edit logical-systems logical-system-name forwarding-options]
[edit logical-systems logical-system-name routing-instances routing-instance-name forwarding-options]
[edit routing-instances routing-instance-name forwarding-options]
- Interaction entre l’agent de relais DHCP, le client DHCP et les serveurs DHCP
- Détection de la vivacité DHCP
Interaction entre l’agent de relais DHCP, le client DHCP et les serveurs DHCP
Le modèle d’interaction entre l’agent de relais DHCP, le client DHCP et les serveurs DHCP est le même, que l’installation du logiciel se fasse sur un routeur ou un commutateur. Cependant, il existe quelques différences dans les détails d’utilisation.
Sur les routeurs : dans une configuration de réseau de périphérie opérateur classique, le client DHCP se trouve sur l’ordinateur de l’abonné et l’agent de relais DHCP est configuré sur le routeur entre le client DHCP et un ou plusieurs serveurs DHCP.
Sur les commutateurs : dans une configuration réseau classique, le client DHCP se trouve sur un périphérique d’accès tel qu’un ordinateur personnel et l’agent de relais DHCP est configuré sur le commutateur entre le client DHCP et un ou plusieurs serveurs DHCP.
Les étapes suivantes décrivent, de manière générale, comment le client DHCP, l’agent de relais DHCP et le serveur DHCP interagissent dans une configuration qui inclut deux serveurs DHCP.
Le client DHCP envoie un paquet de découverte pour rechercher un serveur DHCP dans le réseau à partir duquel il doit obtenir les paramètres de configuration de l’abonné (ou du client DHCP), y compris une adresse IP.
L’agent de relais DHCP reçoit le paquet de découverte et en transmet des copies à chacun des deux serveurs DHCP. L’agent de relais DHCP crée ensuite une entrée dans sa table client interne pour effectuer le suivi de l’état du client.
En réponse à la réception du paquet discover, chaque serveur DHCP envoie un paquet d’offre au client. L’agent de relais DHCP reçoit les paquets d’offre et les transmet au client DHCP.
À la réception des paquets d’offre, le client DHCP sélectionne le serveur DHCP à partir duquel il souhaite obtenir les informations de configuration. En règle générale, le client sélectionne le serveur qui offre la durée de bail la plus longue sur l’adresse IP.
Le client DHCP envoie un paquet de requête qui spécifie le serveur DHCP à partir duquel obtenir les informations de configuration.
L’agent de relais DHCP reçoit le paquet de requête et en transmet des copies à chacun des deux serveurs DHCP.
Le serveur DHCP demandé par le client envoie un paquet d’accusé de réception (ACK) contenant les paramètres de configuration du client.
L’agent de relais DHCP reçoit le paquet ACK et le transmet au client.
Le client DHCP reçoit le paquet ACK et stocke les informations de configuration.
S’il est configuré pour cela, l’agent de relais DHCP installe une route d’hôte et une entrée ARP (Address Resolution Protocol) pour ce client.
Après avoir établi le bail initial sur l’adresse IP, le client DHCP et le serveur DHCP utilisent la transmission unicast pour négocier le renouvellement ou la libération du bail. L’agent de relais DHCP « espionne » tous les paquets unicast entre le client et le serveur qui passent par le routeur (ou le commutateur) pour déterminer quand le bail de ce client a expiré ou a été libéré. C’est ce qu’on appelle le « lease shadowing » ou « passive snooping ».
Détection de la vivacité DHCP
La détection de l’activité des sessions IP d’abonné DHCP ou clientes DHCP utilise un protocole de détection d’activité actif pour instituer des vérifications de détection de l’activité pour les clients concernés. Les clients sont censés répondre aux demandes de détection d’activité dans un délai spécifié. Si les réponses ne sont pas reçues dans ce délai pour un nombre donné de tentatives consécutives, la vérification de la détection de vivacité échoue et une action d’échec est implémentée.
Détection de la vivacité DHCP globalement ou par groupe DHCP.