Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Présentation de l’option 82 DHCP

Vous pouvez utiliser l’option DHCP 82, également connue sous le nom d’option d’informations de l’agent de relais DHCP, pour protéger les équipements Juniper pris en charge contre des attaques telles que l’usurpation d’adresses IP et d’adresses MAC, ainsi que la privation d’adresses IP DHCP.

Dans un scénario courant, plusieurs hôtes sont connectés au réseau via des interfaces d’accès non approuvées sur le commutateur, et ces hôtes demandent et se voient attribuer des adresses IP auprès du serveur DHCP. Les pirates peuvent toutefois usurper des requêtes DHCP à l’aide d’adresses réseau falsifiées afin d’obtenir une connexion incorrecte au réseau.

Pour se prémunir contre cette vulnérabilité, la RFC 3046, DHCP Relay Agent Information Option, décrit http://tools.ietf.org/html/rfc3046 une norme connue sous le nom d’Option 82 qui définit comment le serveur DHCP peut utiliser l’emplacement d’un client DHCP lors de l’attribution d’adresses IP ou d’autres paramètres au client.

Présentation de DHCP Option 82

Si l'option DHCP 82 est activée sur un domaine VLAN ou de pont, lorsqu'un périphérique réseau (un client DHCP) connecté au VLAN ou au domaine de pont sur une interface non approuvée envoie une requête DHCP, le périphérique de commutation insère des informations sur l'emplacement réseau du client dans l'en-tête de paquet de cette demande. L’équipement de commutation envoie ensuite la demande au serveur DHCP. Le serveur DHCP lit les informations de l’option 82 dans l’en-tête du paquet et l’utilise pour implémenter l’adresse IP ou un autre paramètre du client. Voir Composants de sous-option de l’option 82 pour plus d’informations sur l’option 82.

Note:

Sur les commutateurs EX4300, les informations DHCP option 82 sont ajoutées aux paquets DHCP reçus sur les interfaces approuvées et sur les interfaces non approuvées.

Si l’option 82 est activée sur un domaine VLAN ou de pont, la séquence d’événements suivante se produit lorsqu’un client DHCP envoie une requête DHCP :

  1. L’équipement de commutation reçoit la demande et insère l’information de l’option 82 dans l’en-tête du paquet.

  2. L’équipement de commutation transfère (ou relise) la requête au serveur DHCP.

  3. Le serveur utilise les informations de l’option DHCP 82 pour formuler sa réponse et envoie une réponse à l’équipement de commutation. Il ne modifie pas l’information de l’option 82.

  4. Le commutateur supprime les informations de l’option 82 du paquet de réponse.

  5. L’équipement de commutation transmet le paquet de réponse au client.

Pour utiliser la fonctionnalité DHCP option 82, vous devez vous assurer que le serveur DHCP est configuré pour accepter l’option 82. Si le serveur DHCP n’est pas configuré pour accepter l’option 82, lorsqu’il reçoit des requêtes contenant des informations relatives à l’option 82, il n’utilise pas ces informations pour définir les paramètres et ne renvoie pas les informations contenues dans son message de réponse.

Note:

Si votre équipement de commutation est un commutateur EX Series et utilise Junos OS avec le style de configuration ELS (Enhanced L2 Software), vous pouvez activer l’option DHCP 82 uniquement pour un VLAN spécifique. Reportez-vous à la section Configuration de l’option DHCP 82 sur le commutateur sans relais (ELS).

Si votre équipement de commutation est un commutateur EX Series et n’utilise pas le style de configuration Junos OS avec logiciel de couche 2 amélioré, vous pouvez activer l’option DHCP 82 pour un VLAN spécifique ou pour tous les VLAN. Reportez-vous à la section Configuration de l’option DHCP 82 sur le commutateur sans relais (non-ELS)).

Composants de la sous-option de l’option 82

L’option 82, telle qu’elle est mise en œuvre sur un équipement de commutation, comprend les sous-options ID de circuit, ID distant et ID fournisseur. Ces sous-options sont des champs de l’en-tête du paquet :

  • circuit ID : identifie le circuit (interface ou VLAN) sur le périphérique de commutation sur lequel la demande a été reçue. L’ID de circuit contient le nom de l’interface et le nom du VLAN, les deux éléments étant séparés par deux points, par exemple, ge-0/0/10 :vlan1, où ge-0/0/10 est le nom de l’interface et vlan1 est le nom du VLAN. Si le paquet de requête est reçu sur une interface de couche 3, l’ID du circuit est simplement le nom de l’interface, par exemple, ge-0/0/10.

    Utilisez l’option préfixe pour ajouter un préfixe facultatif à l’ID de circuit. Si vous activez l’option préfixe, le nom d’hôte de l’équipement de commutation est utilisé comme préfixe ; Par exemple, device1 :GE-0/0/10 :VLAN1, où device1 est le nom d’hôte.

    Vous pouvez également spécifier que la description de l’interface doit être utilisée plutôt que le nom de l’interface ou que l’ID de VLAN doit être utilisé plutôt que le nom du VLAN.

  • remote ID : identifie l’hôte distant. Voir remote-id pour plus de détails.

  • vendor ID : identifie le fournisseur de l’hôte. Si vous spécifiez l’option vendor-id , mais que vous n’entrez pas de valeur, la valeur par défaut Juniper est utilisée. Pour spécifier une valeur, vous devez saisir une chaîne de caractères.

Configurations d’équipement de commutation prenant en charge l’option 82

Les configurations de commutateurs qui prennent en charge l’option 82 sont les suivantes :

L’équipement de commutation, les clients DHCP et le serveur DHCP se trouvent sur le même domaine VLAN ou de pont

Si le périphérique de commutation, les clients DHCP et le serveur DHCP se trouvent tous sur le même domaine VLAN ou de pont, le périphérique de commutation transfère les demandes des clients sur des interfaces d’accès non approuvées au serveur sur une interface sécurisée. Reportez-vous à la figure 1.

Figure 1 : les clients DHCP, le périphérique de commutation et le serveur DHCP se trouvent tous sur le même VLAN ou le même domaine DHCP Clients, Switching Device, and the DHCP Server Are All on the Same VLAN or Bridge Domain de pont

L’appareil de commutation agit comme un agent de relais

L’équipement de commutation fonctionne comme un agent de relais (serveur relais étendu) lorsque les clients DHCP ou le serveur DHCP sont connectés à l’équipement de commutation via une interface de couche 3. Sur l’équipement de commutation, ces interfaces sont configurées en tant qu’interfaces VLAN routées (RVI). La figure 2 illustre un scénario dans lequel le dispositif de commutation agit en tant que serveur de relais étendu ; Dans ce cas, l’appareil de commutation relaie les requêtes au serveur. Cette figure montre l’agent de relais et le serveur sur le même réseau, mais ils peuvent également se trouver sur des réseaux différents, c’est-à-dire que l’agent de relais peut être externe.

Figure 2 : dispositif de commutation faisant office de serveur Switching Device Acting as an Extended Relay Server relais étendu

DHCPv6 Options

DHCPv6 fournit plusieurs options qui peuvent être utilisées pour insérer des informations dans les paquets de requête DHCPv6 qui sont relayés à un serveur à partir d’un client. Ces options sont équivalentes aux sous-options de l’option DHCP 82.

  • Option 37 : identifie l’hôte distant. L’option 37 est équivalente à la sous-option de l’option remote-id 82 de DHCP.

  • Option 18 : identifie l’interface sur laquelle le paquet de requête DHCP a été reçu du client. L’option 18 est équivalente à la sous-option de l’option circuit-id 82 de DHCP.

  • Option 16 : identifie le fournisseur du matériel sur lequel le client est hébergé. L’option 16 est équivalente à la sous-option de l’option vendor-id 82 de DHCP.

Les options DHCPv6 ne sont pas activées automatiquement lorsque la surveillance DHCPv6 est activée sur un VLAN. Ils doivent être configurés à l’aide de l’instruction dhcpv6-options .

Documentation connexe