Exemple : Configuration de l’option 82 DHCP
Vous pouvez utiliser l’option DHCP 82, également connue sous le nom d’option Informations de l’agent de relais DHCP, pour protéger le commutateur contre des attaques telles que l’usurpation d’adresses IP et d’adresses MAC, ainsi que l’absence d’adresses IP DHCP. L’option 82 fournit des informations sur l’emplacement réseau d’un client DHCP, et le serveur DHCP utilise ces informations pour implémenter les adresses IP ou d’autres paramètres du client.
Vous pouvez configurer la fonctionnalité DHCP option 82 dans différentes topologies :
Le commutateur fonctionne comme un agent de relais lorsque les clients DHCP ou le serveur DHCP sont connectés au commutateur via une interface de couche 3. Sur le commutateur, ces interfaces sont configurées en tant qu’interfaces VLAN routées, ou RVI. Le commutateur relaie les demandes des clients au serveur, puis transmet les réponses du serveur aux clients.
Pour les commutateurs EX Series, la configuration de cette topologie est la même pour les logiciels de couche 2 améliorés (ELS) et les commutateurs non-ELS.
Le commutateur, les clients DHCP et le serveur DHCP se trouvent tous sur le même VLAN. Le commutateur transfère les demandes des clients au serveur et transfère les réponses du serveur aux clients.
Si votre commutateur est un EX Series, reportez-vous à la section Configuration de l’option DHCP 82 sur le commutateur sans relais (ELS) pour obtenir des instructions ELS et non-ELS.
Le périphérique de commutation, les clients DHCP et le serveur DHCP se trouvent tous sur le même domaine de pont. L'équipement de commutation transfère les demandes des clients au serveur et transmet les réponses du serveur aux clients. Cette rubrique décrit cette configuration.
Avant de configurer l’option DHCP 82 sur le commutateur, assurez-vous que le serveur DHCP est configuré pour accepter l’option DHCP 82. Si le serveur n’est pas configuré pour l’option DHCP 82, il n’utilise pas les informations de l’option DHCP 82 dans les requêtes qui lui sont envoyées lorsqu’il formule ses messages de réponse.
Exemple : Configuration de l’option DHCP 82 sur un VLAN
Exigences
Cet exemple décrit comment configurer l’option DHCP 82 sur un commutateur qui agit comme un agent de relais et qui se trouve sur le même VLAN que les clients DHCP, mais sur un VLAN différent du serveur DHCP. L’exemple comprend les composants matériels et logiciels suivants :
Un commutateur EX4200-24P ou un commutateur QFX3500
Junos OS version 9.3 ou ultérieure pour les commutateurs EX Series ou Junos OS version 12.1 ou ultérieure pour les commutateurs QFX Series
Un serveur DHCP pour fournir des adresses IP aux périphériques réseau sur le commutateur
Vue d’ensemble et topologie
Dans cet exemple, vous allez configurer l’option 82 sur le commutateur. Le commutateur est configuré en tant qu’agent de relais BOOTP (voir Présentation du relais DHCP/BOOTP pour les commutateurs pour plus d’informations). Le commutateur se connecte au serveur DHCP via l’interface VLAN routée (RVI), comme décrit pour QFX dans Configuration des interfaces IRB sur les commutateurs et pour les commutateurs EX Series dans Configuration des interfaces VLAN routées sur les commutateurs (procédure CLI). Le commutateur et les clients sont membres du VLAN employé (pour plus de détails, voir Configuration des VLAN sur les commutateurs EX et QFX Series). Le serveur DHCP est membre du VLAN d’entreprise .
Si l'option DHCP 82 est activée sur le commutateur, lorsqu'un périphérique réseau (un client DHCP) connecté au commutateur sur une interface non approuvée envoie une requête DHCP, le commutateur insère des informations sur l'emplacement réseau du client dans l'en-tête de paquet de cette demande. Le commutateur envoie ensuite la demande (dans ce paramètre, il relaie la demande) au serveur DHCP. Le serveur DHCP lit les informations de l’option 82 dans l’en-tête du paquet et l’utilise pour implémenter l’adresse IP ou un autre paramètre du client.
Lorsque l’option 82 est activée sur le commutateur, cette séquence d’événements se produit lorsqu’un client DHCP envoie une requête DHCP :
Le commutateur reçoit la demande et insère les informations de l’option 82 dans l’en-tête du paquet.
Le commutateur transmet la demande au serveur DHCP.
Le serveur utilise les informations de l’option DHCP 82 pour formuler sa réponse et renvoie une réponse au commutateur. Il ne modifie pas l’information de l’option 82.
Le commutateur supprime les informations de l’option 82 du paquet de réponse.
Le commutateur transmet le paquet de réponse au client.
Configuration
Pour configurer l’option 82 du protocole DHCP :
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement l’option 82 de DHCP, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
set forwarding-options helpers bootp dhcp-option82 set forwarding-options helpers bootp dhcp-option82 circuit-id prefix hostname set forwarding-options helpers bootp dhcp-option82 circuit-id use-vlan-id set forwarding-options helpers bootp dhcp-option82 remote-id set forwarding-options helpers bootp dhcp-option82 remote-id prefix mac set forwarding-options helpers bootp dhcp-option82 remote-id use-string employee-switch1 set forwarding-options helpers bootp dhcp-option82 vendor-id
Procédure étape par étape
Pour configurer l’option DHCP 82 (remplacez les valeurs en italique par des valeurs de votre propre réseau) :
Spécifiez l’option DHCP 82 pour le VLAN employé sur le serveur BOOTP.
Sur toutes les interfaces qui se connectent au serveur :
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82
Sur une interface spécifique qui se connecte au serveur :
[edit forwarding-options helpers bootp] user@switch# set interface ge-0/0/10 dhcp-option82
Les étapes restantes sont facultatives. Ils affichent les configurations de toutes les interfaces ; Incluez la désignation d’interface spécifique pour configurer l’une des options suivantes sur une interface spécifique :
Configurez un préfixe pour la sous-option ID de circuit (le préfixe est toujours le nom d’hôte du commutateur) :
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 circuit-id prefix hostname
Pour spécifier que la valeur de la sous-option ID de circuit doit contenir la description de l’interface plutôt que le nom de l’interface (valeur par défaut) :
Note:Lorsque vous utilisez la description de l’interface plutôt que le nom de l’interface, la description de l’interface doit être spécifiée sous l’unité d’interface (« set interfaces ge-0/0/0 unit 0 description « client »). Si vous ne le faites pas, le nom de l’interface est utilisé.
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 circuit-id use-interface-description
Spécifiez que la valeur de la sous-option ID de circuit contient l’ID de VLAN plutôt que le nom du VLAN (valeur par défaut) :
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 circuit-id use-vlan-id
Spécifiez que la sous-option ID distant doit être incluse dans les informations de l’option DHCP 82 :
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id
Configurez un préfixe pour la sous-option ID distant (ici, le préfixe est l’adresse MAC du commutateur) :
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id prefix mac
Ou, pour spécifier que le préfixe de la sous-option ID distant soit le nom d’hôte du commutateur plutôt que l’adresse MAC du commutateur (valeur par défaut) :
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id prefix hostname
Pour spécifier que la valeur de la sous-option ID distant doit contenir la description de l’interface :
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id use-interface-description
Spécifiez que la valeur de la sous-option ID distant contient une chaîne de caractères (ici, la chaîne est employee-switch1) :
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id use-string employee-switch1
Configurez une valeur de sous-option ID fournisseur et utilisez la valeur par défaut. Pour utiliser la valeur par défaut ( Juniper), ne saisissez pas de chaîne de caractères après le mot-clé vendor-id . Sinon, spécifiez une valeur telle que show here :
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 vendor-id mystring
Résultats
Pour afficher les résultats des étapes de configuration avant de valider la configuration, tapez la show commande à l’invite de l’utilisateur.
Pour valider ces modifications dans la configuration active, tapez la commit commande à l’invite de l’utilisateur.
Vérifiez les résultats de la configuration :
[edit forwarding-options helpers bootp]
user@switch# show
dhcp-option82 {
circuit-id {
prefix hostname;
use-vlan-id;
}
remote-id {
prefix mac;
use-string employee-switch1;
}
vendor-id;
}
Configuration de l’option 82 de DHCP sur un routeur avec domaine de pont
Avant de configurer l’option DHCP 82 sur l’unité de commutation, effectuez les opérations suivantes :
Connectez et configurez le serveur DHCP.
Note:Votre serveur DHCP doit être configuré pour accepter l’option DHCP 82. Si le serveur n’est pas configuré pour l’option DHCP 82, il n’utilise pas les informations de l’option DHCP 82 dans les requêtes qui lui sont envoyées lorsqu’il formule ses messages de réponse.
Configurez un domaine de pont sur le périphérique de commutation et associez les interfaces sur lesquelles les clients et le serveur se connectent au commutateur avec ce domaine de pont.
Pour configurer l’option 82 du protocole DHCP :