SUR CETTE PAGE
Options DHCP et présentation du traitement sélectif du trafic
Échange de messages DHCP entre les clients DHCP et le serveur DHCP dans différents VRF
Modification du service initiée par DHCP en fonction de l’ID distant
Configuration des modifications de service initiées par DHCP en fonction de l’ID distant
Options DHCP et traitement sélectif du trafic
Options DHCP et présentation du traitement sélectif du trafic
La gestion des abonnés vous permet d’assurer un traitement sélectif du trafic en fonction des informations fournies dans la chaîne d’options DHCP et DHCPv6 incluse dans le trafic. À partir de la version 15.1 de Junos OS, la fonctionnalité de traitement sélectif du trafic vous permet de gérer des réseaux multifournisseurs avec l’agent de relais DHCP et DHCPv6 étendu. Vous pouvez activer l’agent de relais DHCP et DHCPv6 étendu pour comparer les chaînes spécifiques aux options reçues dans les paquets clients DHCP avec une liste de chaînes ASCII ou hexadécimales que vous configurez sur le routeur. La fonctionnalité de traitement sélectif du trafic vous permet d’identifier le trafic en fonction de l’option contenue dans les paquets du client DHCP, de filtrer le trafic et de spécifier l’action que le relais DHCP effectue pour le trafic. Vous pouvez utiliser les options DHCP 60 et 77 et les options DHCPv6 15 et 16 pour identifier le trafic client. Vous configurez l’action que le routeur effectue pour le trafic sélectionné, par exemple en transférant le trafic vers un serveur DHCP spécifique ou en supprimant le trafic. Le traitement sélectif du trafic de l’agent de relais DHCP vous permet également de spécifier une action par défaut, que le routeur utilise lorsqu’aucune autre action ne satisfait la configuration.
L’utilisation du traitement sélectif du trafic est utile dans les environnements réseau où les clients DHCP accèdent à des services fournis par plusieurs fournisseurs et par plusieurs serveurs DHCP. Par exemple, un client DHCP peut accéder à Internet à partir d’un serveur DHCP particulier fourni par un fournisseur et accéder à un service IPTV à partir d’un autre serveur DHCP appartenant à un deuxième fournisseur. L’utilisation des informations spécifiques aux options contenues dans les paquets clients DHCP permet à l’agent de relais DHCP de faire la différence entre les deux serveurs et d’effectuer l’action appropriée pour l’abonné.
Vous pouvez également utiliser le traitement sélectif pour distinguer les services destinés à différents abonnés DHCP sur la même interface. Par exemple, un foyer peut inclure deux appareils IP qui obtiennent leurs adresses IP du serveur DHCP du fournisseur de services. Le fournisseur de services peut souhaiter lier l’un des appareils à l’interface entrante et partager cette adresse avec d’autres foyers. Dans le même temps, le fournisseur de services peut souhaiter que le deuxième appareil dispose de ses propres capacités de filtre et de CoS. Pour ce second appareil, le fournisseur de services peut utiliser le traitement sélectif pour créer une interface IP demux dynamique.
Vous pouvez configurer la prise en charge du traitement sélectif globalement ou pour un groupe nommé d’interfaces. Vous pouvez également configurer la prise en charge de l’agent de relais DHCP étendu par système logique et par instance de routage.
Pour configurer le traitement sélectif, spécifiez l’attribut d’option DHCP ou DHCPv6 qui identifie le trafic, les critères de correspondance utilisés pour filtrer le trafic et l’action à effectuer avec le trafic filtré.
Vous pouvez utiliser les options DHCP suivantes pour traiter de manière sélective le trafic client :
DHCPv4 option 60 (identificateur de classe de fournisseur)
DHCPv4 option 77 (identificateur de classe d’utilisateur)
DHCPv6 option 15 (option de classe utilisateur)
DHCPv6 option 16 (option de catégorie fournisseur)
Vous pouvez configurer des critères de correspondance exacte ou partielle pour filtrer le trafic client et spécifier l’option ascii (pour définir une chaîne ASCII non vide de 1 à 255 caractères alphanumériques) ou l’option hexadecimal (pour définir une chaîne hexadécimale de 1 à 255 caractères hexadécimaux [0 à 9, a à f et A à F]).
En raison du format de l’option 77 de DHCP et de l’option 16 de DHCPv6, nous vous recommandons de configurer la correspondance hexadécimale uniquement avec ces deux options au lieu de la correspondance ASCII.
Vous pouvez configurer un nombre illimité de chaînes de correspondance. Si vous configurez une chaîne à la fois comme critère de correspondance exacte (equals) et de correspondance partielle (starts-with) , la correspondance exacte est prioritaire. Les caractères génériques ne sont pas pris en charge dans les chaînes de correspondance exacte ou partielle.
Utilisez les critères de correspondance suivants pour filtrer le trafic client :
equals: la chaîne que vous avez spécifiée correspond exactement à la chaîne d’option dans le trafic client.starts-with: la chaîne que vous avez spécifiée est un sous-ensemble de la chaîne d’option dans le trafic client, en commençant par le caractère le plus à gauche. Par exemple, votre configuration de la chaîne « test » est un sous-ensemble de « test123 » dans la chaîne d’options du client et correspond auxstarts-withcritères.default-action: la chaîne d’option dans le trafic client ne répond à aucun critère de correspondance ou aucun critère de correspondance n’est configuré.Note:L’est
default-actionfacultatif. Si les critères de correspondance ne sont pas satisfaits ou ne sont pas configurés et qu’il n’y a pasdefault-actionde configuration configurée, le relais DHCP traite le trafic de la manière normale.
Vous pouvez spécifier les actions suivantes pour le trafic client filtré :
drop: supprime le trafic.forward-only: transfère le trafic, sans créer de nouvelle session d’abonné.Note:Lorsque vous utilisez l’action
forward-only, la seule opération configuréeoverridesprise en charge est l’optiontrust-option-82. L’agent de relais DHCP ignore toutes les autresoverridesoptions configurées.local-server-group: transfère le trafic vers le groupe spécifié de serveurs locaux DHCP qui fournit le service client demandé. Cette option n’est pas prise en charge pour l’agent de relais DHCPv6.relay-server-group: transfère le trafic vers le groupe spécifié de serveurs DHCP qui fournit le service client demandé.
Utilisation des informations des options DHCP pour traiter le trafic client DHCP de manière sélective
À partir de la version 15.1 de Junos OS, vous pouvez configurer l’agent de relais DHCP pour qu’il traite le trafic client de manière sélective. Le traitement sélectif utilise les informations des options DHCP ou DHCPv6 pour identifier, filtrer et traiter le trafic client. Pour configurer la prise en charge de DHCPv6, utilisez la procédure au niveau de la [edit forwarding-options dhcp-relay dhcpv6] hiérarchie.
Pour configurer l’agent de relais DHCP afin qu’il utilise les informations d’option pour traiter le trafic client DHCP de manière sélective :
Affichage du nombre de paquets DHCP abandonnés ou transférés au cours d’un traitement sélectif basé sur des chaînes d’options DHCP
Pour afficher le nombre de paquets client DHCP ou DHCPv6 qui sont abandonnés ou transférés au cours du traitement sélectif, utilisez les commandes suivantes :
Exemple : configuration du traitement sélectif du trafic de l’agent de relais DHCP en fonction des chaînes d’options DHCP
Cet exemple montre comment configurer l’agent de relais DHCP pour qu’il utilise les chaînes d’options DHCP afin d’identifier, de filtrer et de traiter de manière sélective le trafic client.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Plates-formes de routage universelles 5G MX Series ou commutateurs EX Series
Avant de configurer la prise en charge du traitement sélectif de l’agent de relais DHCP, assurez-vous de :
Configurez l’agent de relais DHCP.
Reportez-vous à la section Présentation de l’agent de relais DHCP étendu.
(Facultatif) Configurez un groupe de serveurs local DHCP nommé si vous souhaitez transférer le trafic client vers un groupe de serveurs.
Reportez-vous à la section Groupement d’interfaces avec des configurations DHCP courantes.
Aperçu
Dans cet exemple, vous configurez l’agent de relais DHCP pour qu’il utilise des chaînes d’options DHCP dans les paquets client afin d’identifier, de filtrer et de traiter de manière sélective le trafic client. Pour configurer le traitement sélectif, vous devez effectuer les procédures suivantes :
Identify the client traffic (Identifier le trafic client) : spécifiez l’option DHCP utilisée par l’agent de relais DHCP pour identifier le trafic client que vous souhaitez traiter. L’option que vous spécifiez correspond à l’option dans le trafic client.
Configure a default action (Configurer une action par défaut) : spécifie l’action de traitement par défaut que le relais DHCP utilise pour le trafic client identifié qui ne répond à aucun critère de correspondance configuré.
Créer des filtres de correspondance et associer une action à chaque filtre : spécifiez des critères de correspondance qui filtrent le trafic client. Il peut s’agir d’une correspondance exacte ou partielle avec la chaîne d’option dans le trafic client. Associez une action de traitement à chaque critère de correspondance.
Configuration
Pour configurer le traitement sélectif de l’agent de relais DHCP en fonction des informations des options DHCP, effectuez les tâches suivantes :
- Configuration rapide de la CLI
- Configuration de l’agent de relais DHCP pour traiter de manière sélective le trafic client en fonction des chaînes d’options DHCP
- Résultats
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez la commande dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
set forwarding-options dhcp-relay relay-option option-number 60 set forwarding-options dhcp-relay relay-option equals ascii video-gold forward-only set forwarding-options dhcp-relay relay-option equals ascii video-bronze local-server-group servergroup-15 set forwarding-options dhcp-relay relay-option starts-with hexadecimal fffff local-server-group servergroup-east set forwarding-options dhcp-relay relay-option default-action drop
Configuration de l’agent de relais DHCP pour traiter de manière sélective le trafic client en fonction des chaînes d’options DHCP
Procédure étape par étape
Pour configurer le traitement sélectif des relais DHCP :
Spécifiez que vous souhaitez configurer la prise en charge de l’agent de relais DHCP.
[edit forwarding-options] user@host#
edit dhcp-relaySpécifiez l’option DHCP utilisée par l’agent de relais DHCP pour identifier le trafic client entrant.
[edit forwarding-options dhcp-relay] user@host#
set relay-option option-number 60Configurez une action par défaut, que l’agent de relais DHCP utilise lorsque le trafic client entrant ne répond à aucun critère de correspondance configuré.
[edit forwarding-options dhcp-relay] user@host#
set relay-option default-action dropConfigurez une condition de correspondance exacte et l’action associée que le relais DHCP utilise pour traiter le trafic client identifié.
[edit forwarding-options dhcp-relay] user@host#
set relay-option equals ascii video-goldforward-onlyConfigurez une deuxième condition de correspondance exacte et l’action associée que le relais DHCP utilise pour traiter le trafic client.
[edit forwarding-options dhcp-relay] user@host#
set relay-option equals ascii video-bronzelocal-server-group servergroup-15Configurez un critère de correspondance partielle et l’action associée que le relais DHCP utilise pour traiter le trafic client.
[edit forwarding-options dhcp-relay] user@host#
set relay-option starts-with hexadecimal fffff local-server-group servergroup-east
Résultats
À partir du mode configuration, confirmez les résultats de votre configuration en émettant l’instruction show au niveau de la [edit forwarding-options] hiérarchie. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit forwarding-options]
user@host# show
dhcp-relay {
relay-option {
option-number 60;
equals {
ascii video-gold {
forward-only;
}
}
equals {
ascii video-bronze {
local-server-group servergroup-15;
}
}
default-action {
drop;
}
starts-with {
hexadecimal fffff {
local-server-group servergroup-east;
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour vérifier l’état du traitement sélectif du trafic de l’agent de relais DHCP, effectuez la tâche suivante :
Vérification de l’état du traitement sélectif du trafic de l’agent de relais DHCP
But
Vérifiez l’état du traitement sélectif du trafic de l’agent de relais DHCP.
Action
Affichez les statistiques de l’agent de relais DHCP.
user@host> show dhcp relay statistics
Packets dropped:
Total 30
Bad hardware address 1
Bad opcode 1
Bad options 3
Invalid server address 5
No available addresses 1
No interface match 2
No routing instance match 9
No valid local address 4
Packet too short 2
Read error 1
Send error 1
Option 60 1
Option 82 2
Messages received:
BOOTREQUEST 116
DHCPDECLINE 0
DHCPDISCOVER 11
DHCPINFORM 0
DHCPRELEASE 0
DHCPREQUEST 105
Messages sent:
BOOTREPLY 0
DHCPOFFER 2
DHCPACK 1
DHCPNAK 0
DHCPFORCERENEW 0
Packets forwarded:
Total 4
BOOTREQUEST 2
BOOTREPLY 2
Signification
Le Packets forwarded champ de la sortie de la show dhcp relay statistics commande affiche le nombre de paquets clients qui ont été transférés à la suite de la configuration du traitement sélectif du trafic. Dans cet exemple, la sortie indique le nombre total de paquets que l’agent de relais DHCP a transférés, ainsi qu’une ventilation du nombre de BOOTREQUEST BOOTREPLY paquets transférés.
Exemple : Configuration du traitement sélectif du trafic au niveau du groupe de l’agent de relais DHCP et DHCPv6
Cet exemple montre comment configurer la prise en charge basée sur les groupes d’interfaces nommées pour le traitement sélectif de l’agent de relais DHCPv6, qui utilise des chaînes d’option DHCP pour identifier, filtrer et traiter le trafic client.
Cet exemple décrit la configuration de l’agent de relais DHCPv6 : vous pouvez configurer la procédure associée pour les groupes d’agents de relais DHCP au niveau de la [edit forwarding-options dhcp-relay] hiérarchie. Le traitement sélectif DHCPv6 prend en charge les options 15 et 16 de DHCPv6. Le traitement sélectif DHCP prend en charge l’option 60 (routeurs MX Series uniquement) et l’option 77.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Plates-formes de routage universelles 5G MX Series ou routeurs de transport de paquets PTX Series
Avant de configurer la prise en charge du traitement sélectif de l’agent de relais DHCPv6, assurez-vous de :
Configurez l’agent de relais DHCPv6.
Reportez-vous aux sections Présentation de l’agent de relais DHCP étendu et Présentation de l’agent de relais DHCPv6.
Configurez les groupes d’interfaces nommés DHCPv6 utilisés pour la configuration.
Reportez-vous à la section Groupement d’interfaces avec des configurations DHCP courantes.
Configurez les groupes de serveurs DHCPv6 utilisés pour les actions de traitement.
Reportez-vous à la section Groupement d’interfaces avec des configurations DHCP courantes.
Aperçu
Dans cet exemple, vous configurez la prise en charge de l’interface nommée de l’agent de relais DHCPv6 au niveau du groupe pour le traitement sélectif des paquets clients en fonction des chaînes d’options DHCPv6. Pour configurer le traitement sélectif, vous devez effectuer les procédures suivantes :
Identify the client traffic (Identifier le trafic client) : spécifiez l’option DHCPv6 utilisée par l’agent de relais DHCPv6 pour identifier le trafic client que vous souhaitez traiter. L’option DHCPv6 que vous spécifiez correspond à l’option dans le trafic client.
Configurer l’action par défaut : spécifiez l’action de traitement par défaut, que le relais DHCPv6 utilise pour le trafic client identifié qui ne répond à aucun critère de correspondance configuré.
Créer des filtres de correspondance et associer une action à chaque filtre : spécifiez des critères de correspondance qui filtrent le trafic client. Il peut s’agir d’une correspondance exacte ou partielle avec la chaîne d’option DHCPv6 dans le trafic client. Associez une action de traitement à chaque critère de correspondance.
Configuration
Pour configurer le traitement sélectif de l’agent de relais DHCPv6 au niveau du groupe en fonction des informations de l’option DHCPv6, effectuez les tâches suivantes :
- Configuration rapide de la CLI
- Configuration d’un agent de relais DHCPv6 nommé Groupe d’interfaces pour traiter de manière sélective le trafic client en fonction des chaînes d’options DHCPv6
- Résultats
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez la commande dans l’interface de ligne de commande au niveau de la [edit] hiérarchie. La configuration rapide suppose que le groupe d’interfaces nommé et les groupes de serveurs DHCP ont été préalablement configurés.
set forwarding-options dhcp-relay dhcpv6 group groupv6-east-27 set forwarding-options dhcp-relay dhcpv6 relay-option option-number 15 set forwarding-options dhcp-relay dhcpv6 relay-option equals ascii triple-gold relay-server-group relayserver-triple-8 set forwarding-options dhcp-relay dhcpv6 relay-option equals ascii triple-silver relay-server-group relayserver-triple-23 set forwarding-options dhcp-relay dhcpv6 relay-option starts-with ascii single relay-server-group relayserver-1-aa set forwarding-options dhcp-relay dhcpv6 relay-option default-action drop
Configuration d’un agent de relais DHCPv6 nommé Groupe d’interfaces pour traiter de manière sélective le trafic client en fonction des chaînes d’options DHCPv6
Procédure étape par étape
Cette procédure suppose que vous avez préalablement créé le groupe d’interfaces nommé et les groupes de serveurs DHCPv6. Pour configurer le traitement sélectif au niveau du groupe de relais DHCPv6 :
Spécifiez que vous souhaitez configurer la prise en charge de l’agent de relais DHCPv6.
[edit forwarding-options] user@host#
edit dhcp-relay dhcpv6Spécifiez que vous souhaitez configurer la prise en charge de l’agent de relais DHCPv6 au niveau du groupe.
[edit forwarding-options dhcp-relay dhcpv6] user@host#
edit group groupv6-east-27Spécifiez le numéro d’option DHCPv6 que l’agent de relais DHCPv6 utilise pour identifier le trafic client entrant.
[edit forwarding-options dhcp-relay dhcpv6 group groupv6-east-27] user@host#
set relay-option option-number 15Configurez l’action par défaut, que l’agent de relais DHCPv6 utilise lorsque le trafic client entrant ne répond à aucun critère de correspondance configuré.
[edit forwarding-options dhcp-relay dhcpv6 group groupv6-east-27] user@host#
set relay-option default-action relay-server-group relayserver-def-4Configurez une condition de correspondance exacte et l’action associée que le relais DHCPv6 utilise pour traiter le trafic client identifié.
[edit forwarding-options dhcp-relay dhcpv6 group groupv6-east-27] user@host#
set relay-option equals ascii triple-gold relay-server-group relayserver-triple-8Configurez une deuxième condition de correspondance exacte et l’action associée que le relais DHCPv6 utilise pour traiter le trafic client.
[edit forwarding-options dhcp-relay dhcpv6 group groupv6-east-27] user@host#
set relay-option equals ascii triple-silver relay-server-group relayserver-triple-23Configurez un critère de correspondance partielle et l’action associée que le relais DHCPv6 utilise pour traiter le trafic client.
[edit forwarding-options dhcp-relay dhcpv6 group groupv6-east-27] user@host#
set relay-option starts-with ascii single relay-server-group relayserver-1-aa
Résultats
À partir du mode configuration, confirmez les résultats de votre configuration en émettant l’instruction show au niveau de la [edit forwarding-options dhcp] hiérarchie. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
dhcpv6 {
group test-1 {
relay-option {
option-number 15;
equals {
ascii triple-gold {
relay-server-group relayserver-triple-8;
}
ascii triple-silver {
relay-server-group relayserver-triple-23;
}
}
default-action {
relay-server-group relayserver-def-4;
}
starts-with {
ascii single {
relay-server-group relayserver-1-aa;
}
}
}
interface ge-1/0/0.0 upto ge-1/1/0.0;
}
server-group {
relayserver-1-aa;
relayserver-triple-8;
relayserver-triple-23;
relayserver-def-4;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour vérifier l’état du traitement sélectif du trafic de l’agent de relais DHCPv6, effectuez la tâche suivante :
Vérification de l’état du traitement sélectif du trafic de l’agent de relais DHCPv6
But
Vérifiez l’état du traitement sélectif du trafic de l’agent de relais DHCPv6.
Action
Affichez les statistiques de l’agent de relais DHCPv6.
user@host> show dhcpv6 relay statistics
DHCPv6 Packets dropped:
Total 0
Messages received:
DHCPV6_DECLINE 0
DHCPV6_SOLICIT 10
DHCPV6_INFORMATION_REQUEST 0
DHCPV6_RELEASE 0
DHCPV6_REQUEST 10
DHCPV6_CONFIRM 0
DHCPV6_RENEW 0
DHCPV6_REBIND 0
DHCPV6_RELAY_REPL 0
Messages sent:
DHCPV6_ADVERTISE 0
DHCPV6_REPLY 0
DHCPV6_RECONFIGURE 0
DHCPV6_RELAY_FORW 0
Packets forwarded:
Total 4
FWD REQUEST 2
FWD REPLY 2
Signification
Le Packets forwarded champ de la sortie de la show dhcpv6 relay statistics commande affiche le nombre de paquets clients qui ont été transférés à la suite de la configuration du traitement sélectif du trafic. Dans cet exemple, la sortie indique le nombre total de paquets que l’agent de relais DHCPv6 a transférés, ainsi qu’une ventilation du nombre de FWD REQUEST FWD REPLY paquets transférés.
Échange de messages DHCP entre les clients DHCP et le serveur DHCP dans différents VRF
Dans certains réseaux de fournisseurs de services, le réseau de services dans lequel réside le serveur DHCP est isolé du réseau d’abonnés. Cette séparation des réseaux de service et d’abonnés peut parfois entraîner des problèmes de sécurité, tels que des fuites de route.
À partir de la version 14.2 de Junos OS, vous pouvez utiliser l’agent de relais DHCP pour renforcer la sécurité lors de l’échange de messages DHCP entre différentes instances de routage et de transfert virtuels (VRF). L’agent de relais DHCP peut s’assurer qu’il n’y a pas de routage direct entre le VRF client et le VRF du serveur DHCP, et que seuls les paquets DHCP acceptables sont relayés sur les deux VRF. La gestion des abonnés prend en charge l’échange de messages VRF pour les paquets DHCP et DHCPv6.
Pour échanger des messages DHCP entre différents VRF, vous devez permettre à l’agent de relais DHCP côté serveur et côté client de reconnaître et de transférer le trafic acceptable en fonction des informations d’option DHCP contenues dans les paquets. L’échange de messages utilise les options DHCP suivantes pour identifier le trafic à relayer.
ID de circuit de l’agent (DHCP option 82 sous-option 1) pour les paquets DHCPv4
ID d’interface de l’agent de relais (DHCPv6 option 18) pour les paquets DHCPv6
Les statistiques relatives aux paquets DHCP utilisant l’échange de messages inter-VRF sont comptabilisées dans le VRF client.
La liste suivante décrit comment l’agent de relais DHCP échange des messages entre les clients DHCP et le serveur DHCP dans différents VRF :
Paquets du client DHCP vers le serveur DHCP : l’agent de relais DHCP reçoit le paquet DHCP du client dans le VRF client, puis insère l’attribut DHCP option 82 sous-option 1 ou DHCPv6 option 18 approprié dans le paquet. L’agent de relais transmet ensuite le paquet au serveur DHCP dans le VRF du serveur.
Paquets du serveur DHCP au client DHCP : l’agent de relais DHCP reçoit le message de réponse DHCP du serveur DHCP dans le VRF du serveur. L’agent de relais dérive l’interface du client, y compris le VRF, à partir de l’attribut DHCP option 82 sous-option 1 ou DHCPv6 option 18 dans le paquet dans le VRF du serveur DHCP. L’agent de relais transfère ensuite le message de réponse au client DHCP dans le VRF du client.
Configuration de l’échange de messages DHCP entre le serveur DHCP et les clients dans différentes instances de routage virtuel
À partir de la version 14.2 de Junos OS, vous pouvez configurer l’agent de relais DHCP pour qu’il fournisse une sécurité supplémentaire lors de l’échange de messages DHCP entre un serveur DHCP et des clients DHCP résidant dans différentes instances de routage et de transfert virtuels (VRF).
Vous pouvez configurer l’agent de relais DHCP pour fournir une sécurité supplémentaire lors de l’échange de messages DHCP entre un serveur DHCP et des clients DHCP qui résident dans différentes instances de routage virtuel. Ce type de configuration correspond à une connexion relais DHCP sans état entre un serveur DHCP et un client DHCP, lorsque le serveur DHCP réside dans un réseau qui doit être isolé du réseau client.
Un agent de relais DHCP sans état ne conserve pas d’informations d’état dynamiques sur les clients DHCP et ne gère pas de route statique pour que le trafic circule entre les instances de routage client et serveur.
Pour permettre l’échange de messages DHCP entre les deux VRF, vous devez configurer chaque côté du relais DHCP pour qu’il reconnaisse et transfère le trafic acceptable en fonction des informations de l’option DHCP contenues dans les paquets. Le trafic acceptable est identifié soit par l’ID de circuit de l’agent (DHCP option 82 sous-option 1) pour les paquets DHCPv4, soit par l’ID d’interface de l’agent de relais (DHCPv6 option 18) pour les paquets DHCPv6.
La liste suivante donne un aperçu des tâches requises pour créer l’échange de messages DHCP entre les différents VRF :
Prise en charge côté client : configurez l’instruction de l’agent
forward-onlyde relais DHCP pour spécifier l’emplacement VRF du serveur DHCP, auquel l’agent de relais DHCP transfère les paquets clients avec les informations d’option DHCP appropriées. L’instructionforward-onlygarantit que l’agent de relais DHCP ne crée pas de nouvelle session ni n’effectue d’autres opérations de gestion des abonnés (telles que la création d’interfaces dynamiques ou la maintenance de baux).Si vous le souhaitez, vous pouvez configurer un système logique et une instance de routage spécifiques pour le VRF du serveur. Si vous ne spécifiez pas de système logique ou d’instance de routage, DHCP utilise le système logique local et l’instance de routage à partir desquels la configuration est ajoutée.
Prise en charge côté serveur : configurez l’instruction de l’agent
forward-only-repliesde relais DHCP afin que l’agent de relais DHCP transfère les paquets de réponse contenant les informations d’option DHCP appropriées. Cette instruction garantit également que l’agent de relais DHCP ne crée pas de nouvelle session et n’effectue aucune autre opération de gestion des abonnés.Note:Vous n’avez pas besoin de configurer l’instruction
forward-only-repliessi le client DHCP et le serveur DHCP résident dans le même système logique/instance de routage.Prise en charge du serveur local DHCP : configurez le serveur local DHCP pour qu’il prenne en charge les informations de l’option 82 dans les messages DHCP NAK et forcerenew. Par défaut, les deux types de messages ne prennent pas en charge l’option 82.
Assistance supplémentaire : assurez-vous que la prise en charge requise suivante est configurée :
La prise en charge ARP du proxy doit être activée sur l’interface côté serveur dans le VRF du serveur DHCP afin que l’agent de relais DHCP puisse recevoir et répondre aux demandes ARP pour les clients et à l’interface côté client dans le VRF du serveur DHCP.
Des routes doivent être disponibles pour recevoir les paquets DHCP du serveur DHCP dans le VRF du serveur pour les clients accessibles dans le VRF client.
Les procédures suivantes décrivent les tâches de configuration pour la création de l’échange de messages DHCP entre le serveur DHCP et les clients dans différents VRF.
Assistance côté client
Pour configurer la prise en charge côté client de l’agent de relais DHCP :
Pour les clients DHCPv4 locaux, l’agent de relais DHCP ajoute l’option ID de circuit de l’agent. Toutefois, si l’option ID de circuit de l’agent est déjà présente dans le paquet, vous devez vous assurer que le serveur DHCP prend en charge la sous-option 82 Informations spécifiques au fournisseur (sous-option 9).
Si l’instruction forward-only est configurée au niveau de la [edit forwarding-options dhcp-relay relay-option] hiérarchie, cette action relay-option est prioritaire sur la configuration de l’instruction forward-only pour l’échange de messages DHCP entre VRF.
Assistance côté serveur
Pour configurer la prise en charge de l’échange de messages entre VRF côté serveur du relais DHCP :
Vous n’avez pas besoin de configurer l’instruction forward-only-replies si le client DHCP et le serveur DHCP résident dans le même système logique/instance de routage.
Prise en charge des serveurs locaux DHCP
Pour configurer le serveur local DHCP afin qu’il prenne en charge les informations de l’option 82 dans les messages NAK et forcerenew ; la fonctionnalité d’échange de messages entre VRF utilise les informations de l’option 82 ou de l’option 18 DHCPv6 pour déterminer le VRF client :
Modification du service initiée par DHCP en fonction de l’ID distant
La gestion des abonnés vous permet de mettre à jour le service actuel d’un client DHCP à l’aide de l’ID distant du client (ID distant de l’agent). L’ID distant peut se trouver dans l’option 82, la sous-option 2 pour les clients DHCPv4 ou l’option 37 pour les clients DHCPv6.
Lorsqu’un client DHCP est établi pour la première fois, DHCP conserve l’ID distant entrant du client dans la base de données du client DHCP. Lors de la réception d’un message de reliaison ou de renouvellement pour ce client, DHCP compare l’ID distant initial du client à l’ID distant indiqué dans le message de renouvellement ou de reliaison DHCP. Si les deux ID distants ne correspondent pas, le serveur local DHCP supprime la liaison existante et envoie un message NAK (ou NAK logique pour DHCPv6), ce qui entraîne le client à lancer une séquence de reconnexion. Lorsque le client se reconnecte, le serveur local DHCP active le nouveau service, qui est encodé dans la nouvelle chaîne d’ID distant de l’agent.
Vous pouvez configurer le routeur pour prendre en charge la fonctionnalité de modification du service d’identification à distance globalement ou pour un groupe spécifique, et vous pouvez configurer la prise en charge sur le serveur local DHCP et l’agent de relais DHCP.
Dans un environnement à double pile, la fonctionnalité de modification de service initiée par DHCP nécessite que les sessions DHCPv4 et DHCPv6 d’un client résident sur le même VLAN (mappage 1:1) et que les chaînes d’ID distant de l’agent pour les deux sessions soient identiques. La prise en charge de la double pile nécessite également que le même profil client dynamique soit appliqué aux réseaux DHCPv4 et DHCPv6, afin de garantir la cohérence de l’ID à distance entre les deux réseaux. Lorsque DHCP détecte une incompatibilité d’ID distant dans une session de la pile double, DHCP supprime cette session. L’ID distant entrant est ensuite comparé à l’autre session de la pile double et, en cas d’incompatibilité, cette autre session est supprimée sans problème.
Au cours du processus de démontage normal, si l’autre session est actuellement à l’état lié, elle passe alors à l’état de suppression différée. L’état de suppression différée permet de rétablir immédiatement la session qui a détecté la modification avec le nouveau plan de service, tout en permettant au routeur de supprimer facilement l’autre session en envoyant des messages NAK en réponse aux messages de renouvellement et de reliaison suivants.
Dans le cadre de la fonctionnalité de modification de service initiée par DHCP, AAA peut définir le profil client d’une session. AAA obtient le profil client à partir de l’ID distant et écrit le profil dans la base de données de session. Un profil client écrit par AAA dans la base de données est toujours prioritaire sur toute configuration DHCP locale.
Une modification de l’ID distant de l’agent peut également initier une modification du service lors de la réauthentification. Vous ne pouvez pas configurer à la fois l’instruction remote-id-mismatch et l’instruction reauthenticate au niveau global, [edit system services dhcp-local-server]. Toutefois, les règles de priorité DHCP vous permettent de configurer les deux instructions lorsqu’elles se trouvent à des niveaux différents. Par exemple, vous pouvez configurer reauthenticate au niveau global et remote-id-mismatch pour DHCPv6 au niveau de la [edit system services dhcp-local-server dhcpv6] hiérarchie ou pour un groupe spécifique au niveau de la [edit system services dhcp-local-server group name] hiérarchie, et ainsi de suite.
Avantages de la modification du service initiée par DHCP en fonction de l’identification à distance
Permet au serveur DHCP ou à l’agent de relais de mettre à jour le service du client lorsqu’il est basé sur l’ID distant lorsque l’ID distant du client change et ne correspond pas à l’ID distant de l’agent précédemment stocké. Dans un environnement à double pile, permet au serveur DHCP ou à l’agent de relais d’assurer la cohérence de l’ID à distance entre les sessions de la pile double.
Configuration des modifications de service initiées par DHCP en fonction de l’ID distant
Cette rubrique décrit comment configurer la prise en charge des modifications de service initiées par DHCP sur le serveur local DHCP et l’agent de relais DHCP.
Configuration du serveur local DHCP
Vous pouvez configurer la prise en charge des modifications de service initiées par DHCP pour le serveur local DHCP et le serveur local DHCPv6 globalement, ou pour un groupe nommé d’interfaces.
Pour configurer le serveur local DHCP afin qu’il prenne en charge les modifications de service initiées par DHCP pour un groupe nommé :
Configuration de l’agent de relais DHCP
Vous pouvez configurer la prise en charge des modifications de service initiées par DHCP pour l’agent de relais DHCP et l’agent de relais DHCPv6 globalement, ou pour un groupe nommé d’interfaces.
L’exemple suivant montre les étapes à suivre pour configurer l’agent de relais DHCPv6 afin qu’il prenne en charge les modifications de service initiées par DHCP au niveau mondial.
Avant de commencer la configuration de la fonctionnalité de modification de service initiée par DHCP, assurez-vous que l’agent de relais DHCPv6 est configuré pour remplacer le comportement par défaut et envoyer un message de libération au serveur DHCP lorsqu’une incompatibilité d’ID distant se produit. Cette configuration est nécessaire car l’agent de relais ne peut pas supprimer directement les liaisons client. le paquet de mise en production signale au serveur DHCP de supprimer la liaison d’origine.
[edit forwarding-options dhcp-relay dhcpv6] user@host# set dhcp-relay overrides send-release-on-delete
Spécifiez que vous souhaitez configurer l’agent de relais DHCP.
[edit forwarding-options] user@host# edit dhcp-relay
Spécifiez que vous souhaitez configurer l’agent de relais DHCPv6.
[edit forwarding-options dhcp-relay] user@host# edit dhcpv6
Spécifiez que l’agent de relais DHCPv6 fait correspondre les ID distants du client initial et du nouveau, puis exécute l’action
disconnectlorsqu’une incompatibilité se produit.[edit system services dhcp-local-server group northwest-321] user@host# set remote-id-mismatch disconnect
Lorsqu’une incompatibilité se produit, l’agent de relais DHCPv6 envoie le message de mise en production au serveur local DHCPv6 et un message NAK logique (un paquet de réponse avec une durée de vie 0) au client. Le serveur supprime alors la liaison existante et le client lance la séquence de reconnexion. Le nouveau service, qui est encodé dans la chaîne d’ID distant de l’agent, est activé lorsque le client se reconnecte.
Action de transfert DHCPv4 et DHCPv6 uniquement pour le trafic relais dont l’adresse de serveur DHCP est inconnue
L’entrée de l’agent de relais DHCP, qui peut être créée sur un serveur DHCPv4 ou DHCPv6, est utile pour l’authentification, l’autorisation, la comptabilité, l’application du filtrage, la garantie de la qualité de service (QoS) sur le client et le traitement des options spécifiées dans le paquet. La création de l’agent de relais ou de l’entrée client implique la participation des ressources mémoire du processus jdhcpd, des ressources de la base de données de session, de la procédure d’authentification, de la comptabilité, de l’instanciation de profil dynamique, de la création d’interface dynamique, du pare-feu, de l’association de classe de service (CoS), etc. Les réseaux clients peuvent contenir des liaisons non contrôlées par le client pour lesquelles ils peuvent ne pas vouloir ces fonctionnalités d’entrée d’agent de relais. Lorsque le réseau d'un client a un tel trafic, la création d'entrées d'agent de relais, qui est liée à la création d'entrées client, utilise inutilement les ressources et peut également entraîner une mauvaise association de profils, car dans le scénario de réseau actuel, tout le trafic reçu d'une interface spécifique est transféré, sans traiter aucune adresse de destination.
À partir de Junos OS version 17.4R1, il est possible d’activer une configuration sur le périphérique BNG (Broadband passerelle réseau) pour le trafic non-client avec une forward-only adresse de serveur DHCP inconnue. La configuration de l’instruction forward-only , ainsi que les nouvelles options DHCP (option-54 pour DHCPv4 et option-2 pour DHCPv6), évitent la création de l’entrée de l’agent de relais DHCP sur le BNG et garantissent que le trafic est transféré à l’adresse de destination spécifiée.
Grâce à ces configurations, les administrateurs sont en mesure de déterminer à quels serveurs les clients sont liés. lesquels des clients doivent avoir une entrée de client relais créée et un profil dynamique et des stratégies appliqués, et ainsi de suite ; et pour qui (non-client) la forward-only configuration est activée.
Les deux nouvelles instructions de configuration —options-54 et options-2—sont introduites pour le traitement des adresses de destination.
- Traitement des adresses de destination DHCPv4 et DHCPv6
- Ordre de traitement et actions
- Avantages du relais DHCP : action vers l’avant uniquement
Traitement des adresses de destination DHCPv4 et DHCPv6
Les administrateurs peuvent configurer l’instruction forward-only afin d’éviter la création d’entrées de clients non clients. Le processus jdhcpd compare l’identifiant de serveur (option-54 pour DHCPv4 et option-2 pour DHCPv6) avec ou sans adresse de destination dans le paquet entrant avec l’adresse de serveur configurée. Si l’identificateur de serveur et l’adresse de serveur configurée correspondent, l’action consiste uniquement à transférer sans créer l’entrée client.
Sur le relais non passif, la configuration de l’instruction server-match signifie l’activation implicite de l’instruction delay-authentication pour les clients pour lesquels l’instruction server-match est traitée. Vous pouvez également configurer les options 60 et 77 (pour DHCPv4) ou les options 15 et 16 (pour DHCPv6) avec le traitement associé. La configuration de ces options inclut également la spécification de l’ordre dans lequel elles sont traitées. Si ces options ne sont pas configurées, l’ordre par défaut est 60, 77 pour DHCPv4 et 15, 16 pour DHCPv6.
Les données DHCPv6 option-16 , telles que définies dans le document RFC 3315, Dynamic Host Configuration Protocol for IPv6 (DHCPv6), sont constituées d’un numéro d’entreprise de 4 octets et de données de type fournisseur, de longueur variable. Le numéro d’entreprise est un numéro enregistré par le fournisseur auprès de l’IANA. Par conséquent, il est prévu que la configuration d’une correspondance ASCII en conjonction avec option-16 une correspondance relay-option puisse ne pas fonctionner, car le numéro d’entreprise doit coïncider avec la valeur d’un caractère ASCII imprimable.
Une restriction similaire existe pour l’instruction DHCPv4 option-77 , car les option-77 données peuvent être subdivisées pour inclure des sous-options et des sous-longueurs. Pour cette raison, la configuration d’une correspondance ASCII avec option-77 une correspondance relay-option peut ne pas fonctionner.
Sur le relais non passif, si un paquet de requête est reçu dans la phase de reliaison et que l’entrée de relais correspondante n’est pas présente, vous devez d’abord configurer l’instruction bind-on-request , après quoi l’entrée de relais est créée et le paquet est transféré. Après réception d’un accusé de réception, le processus jdhcpd vérifie l’adresse source (avec ou sans l’option 54 pour DHCPv4 et l’option 2 pour DHCPv6) dans la server-match configuration. Si la vérification aboutit à une entrée sans état, l’entrée de relais est supprimée.
L’administrateur peut spécifier l’identifiant unique DHCP (DUID) avec ou sans l’adresse d’un serveur. Le processus jdhcpd traite d’abord les instructions d’adresse, puis les instructions DUID. Si la même adresse de serveur est spécifiée dans les instructions address et l’instruction DUID, il est de la responsabilité de l’administrateur de spécifier la même action pour les instructions address et DUID.
Sur les relais passifs et non passifs, si le paquet reçu contient un en-tête de transfert de relais et que l’adresse de destination est multicast ou une adresse lien-local, le paquet est transféré sans autre traitement.
Pour les abonnés DHCPv4 et DHCPv6, les relay-option instructions et server-match appartiennent à la même hiérarchie et ont la même priorité.
Ordre de traitement et actions
Les options de relais et le traitement des correspondances avec les serveurs s’excluent mutuellement. Bien qu’elles soient dans la même hiérarchie et aient la même priorité, à des fins d’implémentation, vous traitez les options de relais suivies de la correspondance de serveur.
Voici les actions de traitement de l’option de relais DHCPv4 :
drop: Ignorer lorsqu’il y a une correspondance.forward-only—Transfert sans service client, lorsqu’il y a correspondance.local-server-group: nom du groupe de serveurs locaux DHCP lorsqu’il existe une correspondance.relay-server-group: nom du groupe de serveurs relais DHCP lorsqu’il existe une correspondance.
Voici les actions de traitement de l’option de relais DHCPv6 :
drop: Ignorer lorsqu’il y a une correspondance.forward-only—Transfert sans service client, lorsqu’il y a correspondance.relay-server-group: nom du groupe de serveurs relais DHCP lorsqu’il existe une correspondance.
La correspondance du serveur DHCPv6 pour l’adresse IPv6 n’est disponible que dans le relais passif.
Les commandes d’options par défaut et configurables sont traitées comme illustré à la Figure 1. Si vous avez besoin d’inverser l’ordre des options (DHCPv4 ou DHCPv6), configurez option-order 77,66 l’instruction pour DHCPv4 ou option-order 16,15 l’instruction pour DHCPv6 au niveau de la hiérarchie [edit forwarding-options dhcp-relay relay-option].
Avantages du relais DHCP : action vers l’avant uniquement
Réduit la consommation inutile de ressources pour les liaisons non contrôlées par le client qui ne nécessitent pas les entrées de l’agent de relais effectuées lors de la création des entrées client.
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.