Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Options DHCP et traitement sélectif du trafic

Présentation des options DHCP et du traitement sélectif du trafic

La gestion des abonnés vous permet de fournir un traitement sélectif du trafic en fonction des informations fournies dans la chaîne d’options DHCP et DHCPv6 incluse dans le trafic. À partir de la version 15.1 de Junos OS, la fonctionnalité de traitement sélectif du trafic vous permet de gérer les réseaux multifournisseurs avec l’agent de relais DHCP et DHCPv6 étendu. Vous pouvez activer l’agent de relais DHCP et DHCPv6 étendu pour comparer les chaînes spécifiques aux options reçues dans les paquets clients DHCP avec une liste de chaînes ASCII ou hexadécimales que vous configurez sur le routeur. La fonctionnalité de traitement sélectif du trafic vous permet d’identifier le trafic en fonction de l’option dans les paquets client DHCP, de filtrer le trafic et de spécifier l’action que le relais DHCP entreprend pour le trafic. Vous pouvez utiliser les options DHCP 60 et 77 et les options DHCPv6 15 et 16 pour identifier le trafic client. Vous configurez l’action que le routeur entreprend pour le trafic sélectionné, par exemple en transférant le trafic vers un serveur DHCP spécifique ou en abandonnant le trafic. Agent de relais DHCP Le traitement sélectif du trafic vous permet également de spécifier une action par défaut, que le routeur utilise lorsqu’aucune autre action ne satisfait la configuration.

Le traitement sélectif du trafic est utile dans les environnements réseau où les clients DHCP accèdent à des services fournis par plusieurs fournisseurs et plusieurs serveurs DHCP. Par exemple, un client DHCP peut obtenir un accès Internet à partir d’un serveur DHCP particulier fourni par un fournisseur et accéder à un service IPTV à partir d’un autre serveur DHCP appartenant à un deuxième fournisseur. L’utilisation des informations spécifiques à l’option dans les paquets clients DHCP permet à l’agent de relais DHCP de faire la différence entre les deux serveurs et de prendre les mesures appropriées pour l’abonné.

Vous pouvez également utiliser le traitement sélectif pour distinguer les services destinés à différents abonnés DHCP sur la même interface. Par exemple, un foyer peut inclure deux appareils IP qui obtiennent leurs adresses IP du serveur DHCP du fournisseur de services. Le fournisseur de services peut vouloir lier l’un des appareils à l’interface entrante, en partageant cette adresse avec d’autres foyers. Dans le même temps, le fournisseur de services peut souhaiter que le deuxième équipement dispose de ses propres capacités de filtrage et de CoS. Pour ce deuxième appareil, le fournisseur de services peut utiliser le traitement sélectif pour créer une interface de démultiplexage IP dynamique.

Vous pouvez configurer la prise en charge du traitement sélectif globalement ou pour un groupe nommé d’interfaces. Vous pouvez également configurer la prise en charge de l’agent de relais DHCP étendu par système logique et par instance de routage.

Pour configurer le traitement sélectif, vous spécifiez l’attribut d’option DHCP ou DHCPv6 qui identifie le trafic, les critères de correspondance utilisés pour filtrer le trafic et l’action à effectuer avec le trafic filtré.

Vous pouvez utiliser les options DHCP suivantes pour traiter sélectivement le trafic client :

  • DHCPv4 option 60 (identificateur de classe de fournisseur)

  • DHCPv4 option 77 (User Class Identifier)

  • DHCPv6 option 15 (option de classe utilisateur)

  • DHCPv6 option 16 (option de classe de fournisseur)

Vous pouvez configurer des critères de correspondance exacte ou partielle pour filtrer le trafic client et spécifier l’option ascii (pour définir une chaîne ASCII non vide de 1 à 255 caractères alphanumériques) ou l’option hexadecimal (pour définir une chaîne hexadécimale de 1 à 255 caractères hexadécimaux [0 à 9, a à f et A à F]).

Bonne pratique :

En raison du format de l’option DHCP 77 et de l’option DHCPv6 16, nous vous recommandons de configurer la correspondance hexadécimale uniquement avec ces deux options au lieu de la correspondance ASCII.

Vous pouvez configurer un nombre illimité de chaînes de correspondance. Si vous configurez une chaîne comme critère de correspondance exacte (equals) et de correspondance partielle (starts-with) ), la correspondance exacte est prioritaire. Les caractères génériques ne sont pas pris en charge dans les chaînes de correspondance exacte ou partielle.

Utilisez les critères de correspondance suivants pour filtrer le trafic client :

  • equals: la chaîne spécifiée correspond exactement à la chaîne d’options dans le trafic client.

  • starts-with: la chaîne que vous avez spécifiée est un sous-ensemble de la chaîne d’options dans le trafic client, en commençant par le caractère le plus à gauche. Par exemple, votre configuration de la chaîne « test » est un sous-ensemble de « test123 » dans la chaîne d’options du client et correspond aux starts-with critères.

  • default-action: la chaîne d’option dans le trafic client ne satisfait aucun critère de correspondance ou aucun critère de correspondance n’est configuré.

    Remarque :

    Le default-action est facultatif. Si les critères de correspondance ne sont pas satisfaits ou non configurés et qu’aucun configuré n’est default-action configuré, le relais DHCP traite le trafic de la manière normale.

Vous pouvez spécifier les actions suivantes pour le trafic client filtré :

  • drop: élimine le trafic.

  • forward-only: transfère le trafic, sans créer de nouvelle session d’abonné.

    Remarque :

    Lorsque vous utilisez l’action forward-only , la seule opération configurée overrides prise en charge est l’option trust-option-82 . L’agent de relais DHCP ignore toutes les autres overrides options configurées.

  • local-server-group: transfère le trafic vers le groupe spécifié de serveurs DHCP locaux qui fournit le service client demandé. Cette option n’est pas prise en charge pour l’agent de relais DHCPv6.

  • relay-server-group: transfère le trafic vers le groupe spécifié de serveurs DHCP qui fournit le service client demandé.

Utilisation des informations d’option DHCP pour traiter sélectivement le trafic client DHCP

À partir de la version 15.1 de Junos OS, vous pouvez configurer l’agent de relais DHCP pour qu’il traite sélectivement le trafic client. Le traitement sélectif utilise les informations de l’option DHCP ou DHCPv6 pour identifier, filtrer et traiter le trafic client. Pour configurer la prise en charge de DHCPv6, vous utilisez la procédure au niveau de la [edit forwarding-options dhcp-relay dhcpv6] hiérarchie.

Pour configurer l’agent de relais DHCP afin qu’il utilise les informations d’option pour traiter sélectivement le trafic client DHCP :

  1. Spécifiez que vous souhaitez configurer la prise en charge de l’agent de relais DHCP.
  2. Indiquez que vous souhaitez utiliser la fonctionnalité d’option DHCP pour traiter sélectivement le trafic DHCP entrant.
  3. Spécifiez le numéro d’option DHCP ou DHCPv6 utilisé par le relais DHCP pour identifier et traiter le trafic client. Vous pouvez spécifier les options 60 et 77 pour l’agent de relais DHCP, et les options 15 et 16 pour l’agent de relais DHCPv6.

    Par exemple, pour identifier le trafic qui contient des informations DHCP option 60 :

  4. (Facultatif) Configurez l’action par défaut que le relais DHCP utilise lorsque le trafic client entrant ne satisfait à aucun critère de correspondance configuré ou partielle.

    Par exemple, pour configurer le relais DHCP afin qu’il abandonne le trafic par défaut :

  5. (Facultatif) Configurez une condition de correspondance exacte qui filtre le trafic client et spécifie l’action associée à l’agent de relais DHCP.

    Par exemple, pour sélectionner le trafic qui a une chaîne ASCII d’option 60 de , puis transférer ce trafic vers un groupe de video25serveurs local nommé :

  6. (Facultatif) Configurez une condition de correspondance partielle qui filtre le trafic client et spécifie l’action associée.

    Par exemple, pour sélectionner le trafic qui a une chaîne hexadécimale de l’option 60 qui commence par 766964656F (de gauche à droite), puis transférer ce trafic sans créer de nouvelle session :

Affichage du nombre de paquets DHCP perdus ou transférés pendant le traitement sélectif basé sur les chaînes d’options DHCP

Pour afficher le nombre de paquets clients DHCP ou DHCPv6 qui sont abandonnés ou transférés pendant le traitement sélectif, utilisez les commandes opérationnelles suivantes :

Exemple : Configuration du traitement sélectif du trafic de l’agent de relais DHCP en fonction des chaînes d’options DHCP

Cet exemple montre comment configurer l’agent de relais DHCP pour utiliser des chaînes d’options DHCP afin d’identifier, de filtrer et de traiter sélectivement le trafic client.

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Plates-formes de routage universelles MX Series 5G ou commutateurs EX Series

Avant de configurer la prise en charge du traitement sélectif de l’agent de relais DHCP, assurez-vous de :

Vue d’ensemble

Dans cet exemple, vous configurez l’agent de relais DHCP pour utiliser des chaînes d’option DHCP dans les paquets client afin d’identifier, de filtrer et de traiter le trafic client de manière sélective. Pour configurer le traitement sélectif, vous effectuez les procédures suivantes :

  1. Identifier le trafic client : spécifiez l’option DHCP utilisée par l’agent de relais DHCP pour identifier le trafic client que vous souhaitez traiter. L’option que vous spécifiez correspond à l’option dans le trafic client.

  2. Configurer une action par défaut : spécifiez l’action de traitement par défaut, que le relais DHCP utilise pour le trafic client identifié qui ne satisfait à aucun critère de correspondance configuré.

  3. Créer des filtres de correspondance et associer une action à chaque filtre : spécifiez les critères de correspondance qui filtrent le trafic client. Les critères peuvent être une correspondance exacte ou partielle avec la chaîne d’option dans le trafic client. Associez une action de traitement à chaque critère de correspondance.

La configuration

Pour configurer le traitement sélectif de l’agent de relais DHCP en fonction des informations d’option DHCP, effectuez les tâches suivantes :

Configuration rapide de la CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez-collez la commande dans la CLI au niveau de la [edit] hiérarchie.

Configuration de l’agent de relais DHCP pour traiter sélectivement le trafic client en fonction des chaînes d’options DHCP

Procédure étape par étape

Pour configurer le traitement sélectif des relais DHCP :

  1. Spécifiez que vous souhaitez configurer la prise en charge de l’agent de relais DHCP.

  2. Spécifiez l’option DHCP utilisée par l’agent de relais DHCP pour identifier le trafic client entrant.

  3. Configurez une action par défaut, que l’agent de relais DHCP utilise lorsque le trafic client entrant ne satisfait à aucun critère de correspondance configuré.

  4. Configurez une condition de correspondance exacte et l’action associée que le relais DHCP utilise pour traiter le trafic client identifié.

  5. Configurez une deuxième condition de correspondance exacte et l’action associée que le relais DHCP utilise pour traiter le trafic client.

  6. Configurez un critère de correspondance partielle et l’action associée que le relais DHCP utilise pour traiter le trafic client.

Résultats

À partir du mode configuration, confirmez les résultats de votre configuration en émettant l’instruction show au niveau de la [edit forwarding-options] hiérarchie. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.

Vérification

Pour vérifier l’état du traitement du trafic sélectif de l’agent de relais DHCP, effectuez la tâche suivante :

Vérification de l’état du traitement sélectif du trafic par l’agent de relais DHCP

Objet

Vérifiez l’état du traitement du trafic sélectif de l’agent de relais DHCP.

Mesures à prendre

Affiche les statistiques de l’agent de relais DHCP.

Signification

Le Packets forwarded champ de la sortie de la show dhcp relay statistics commande affiche le nombre de paquets clients qui ont été transférés à la suite de la configuration de traitement sélectif du trafic. Dans cet exemple, la sortie indique le nombre total de paquets transférés par l’agent de relais DHCP, ainsi qu’une répartition du nombre de BOOTREQUEST BOOTREPLY et de paquets transférés.

Exemple : Configuration du traitement sélectif du trafic au niveau du groupe de l’agent de relais DHCP et DHCPv6

Cet exemple montre comment configurer la prise en charge basée sur un groupe d’interfaces nommées pour le traitement sélectif de l’agent de relais DHCPv6, qui utilise des chaînes d’options DHCP pour identifier, filtrer et traiter le trafic client.

Cet exemple décrit la configuration de l’agent de relais DHCPv6 : vous pouvez configurer la procédure associée pour les groupes d’agents de relais DHCP au niveau de la [edit forwarding-options dhcp-relay] hiérarchie. Le traitement sélectif DHCPv6 prend en charge les options DHCPv6 15 et 16. Le traitement sélectif DHCP prend en charge l’option 60 (routeurs MX Series uniquement) et l’option 77.

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Plates-formes de routage universelles MX Series 5G ou routeurs de transport de paquets PTX Series

Avant de configurer la prise en charge du traitement sélectif de l’agent de relais DHCPv6, assurez-vous de :

Vue d’ensemble

Dans cet exemple, vous configurez la prise en charge de l’interface nommée de l’agent de relais DHCPv6 au niveau du groupe pour le traitement sélectif des paquets clients en fonction des chaînes d’options DHCPv6. Pour configurer le traitement sélectif, vous effectuez les procédures suivantes :

  1. Identifier le trafic client : spécifiez l’option DHCPv6 utilisée par l’agent de relais DHCPv6 pour identifier le trafic client que vous souhaitez traiter. L’option DHCPv6 que vous spécifiez correspond à l’option dans le trafic client.

  2. Configurer l’action par défaut : spécifiez l’action de traitement par défaut, que le relais DHCPv6 utilise pour le trafic client identifié qui ne satisfait à aucun critère de correspondance configuré.

  3. Créer des filtres de correspondance et associer une action à chaque filtre : spécifiez les critères de correspondance qui filtrent le trafic client. Il peut s’agir d’une correspondance exacte ou partielle avec la chaîne d’options DHCPv6 dans le trafic client. Associez une action de traitement à chaque critère de correspondance.

La configuration

Pour configurer le traitement sélectif de l’agent de relais DHCPv6 au niveau du groupe en fonction des informations d’option DHCPv6, effectuez les tâches suivantes :

Configuration rapide de la CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez-collez la commande dans la CLI au niveau de la [edit] hiérarchie. La configuration rapide suppose que le groupe d’interfaces nommé et les groupes de serveurs DHCP ont été préalablement configurés.

Configuration d’un groupe d’interfaces nommé agent de relais DHCPv6 pour traiter sélectivement le trafic client en fonction des chaînes d’options DHCPv6

Procédure étape par étape

Cette procédure suppose que vous avez préalablement créé le groupe d’interfaces nommé et les groupes de serveurs DHCPv6. Pour configurer le traitement sélectif au niveau du groupe de relais DHCPv6 :

  1. Spécifiez que vous souhaitez configurer la prise en charge de l’agent de relais DHCPv6.

  2. Spécifiez que vous souhaitez configurer la prise en charge de l’agent de relais DHCPv6 au niveau du groupe.

  3. Spécifiez le numéro d’option DHCPv6 que l’agent de relais DHCPv6 utilise pour identifier le trafic client entrant.

  4. Configurez l’action par défaut, que l’agent de relais DHCPv6 utilise lorsque le trafic client entrant ne satisfait à aucun critère de correspondance configuré.

  5. Configurez une condition de correspondance exacte et l’action associée que le relais DHCPv6 utilise pour traiter le trafic client identifié.

  6. Configurez une deuxième condition de correspondance exacte et l’action associée que le relais DHCPv6 utilise pour traiter le trafic client.

  7. Configurez un critère de correspondance partielle et l’action associée que le relais DHCPv6 utilise pour traiter le trafic client.

Résultats

À partir du mode configuration, confirmez les résultats de votre configuration en émettant l’instruction show au niveau de la [edit forwarding-options dhcp] hiérarchie. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.

Vérification

Pour vérifier l’état du traitement du trafic sélectif de l’agent de relais DHCPv6, effectuez la tâche suivante :

Vérification de l’état du traitement sélectif du trafic de l’agent de relais DHCPv6

Objet

Vérifiez l’état du traitement du trafic sélectif de l’agent de relais DHCPv6.

Mesures à prendre

Affiche les statistiques de l’agent de relais DHCPv6.

Signification

Le Packets forwarded champ de la sortie de la show dhcpv6 relay statistics commande affiche le nombre de paquets clients qui ont été transférés à la suite de la configuration de traitement sélectif du trafic. Dans cet exemple, la sortie indique le nombre total de paquets transférés par l’agent de relais DHCPv6, ainsi qu’une répartition du nombre de FWD REQUEST paquets transférés FWD REPLY .

Échange de messages DHCP entre les clients DHCP et le serveur DHCP dans différents VRF

Dans certains réseaux de fournisseurs de services, le réseau de services dans lequel réside le serveur DHCP est isolé du réseau réel des abonnés. Cette séparation des réseaux de service et d’abonnés peut parfois entraîner des problèmes de sécurité potentiels, tels que des fuites de route.

À partir de la version 14.2 de Junos OS, vous pouvez utiliser l’agent de relais DHCP pour fournir une sécurité supplémentaire lors de l’échange de messages DHCP entre différentes instances de routage et de transfert virtuels (VRF). L’agent de relais DHCP peut s’assurer qu’il n’y a pas de routage direct entre le VRF client et le VRF du serveur DHCP, et que seuls les paquets DHCP acceptables sont relayés entre les deux VRF. La gestion des abonnés prend en charge l’échange de messages entre VRF pour les paquets DHCP et DHCPv6.

Pour échanger des messages DHCP entre différents VRF, vous devez permettre à la fois côté serveur et côté client de l’agent de relais DHCP de reconnaître et de transférer le trafic acceptable en fonction des informations d’option DHCP contenues dans les paquets. L’échange de messages utilise les options DHCP suivantes pour identifier le trafic à relayer.

  • ID de circuit de l’agent (DHCP, option 82, sous-option 1) pour les paquets DHCPv4

  • ID d’interface de l’agent de relais (DHCPv6 option 18) pour les paquets DHCPv6

Les statistiques des paquets DHCP utilisant l’échange de messages inter-VRF sont comptabilisées dans le VRF client.

La liste suivante décrit comment l’agent de relais DHCP échange des messages entre les clients DHCP et le serveur DHCP dans différents VRF :

  • Paquets du client DHCP au serveur DHCP : l’agent de relais DHCP reçoit le paquet DHCP du client dans le VRF client, puis insère l’attribut DHCP 82, sous-option 1 ou DHCPv6 option 18 approprié dans le paquet. L’agent de relais transmet ensuite le paquet au serveur DHCP dans le VRF du serveur.

  • Paquets du serveur DHCP au client DHCP : l’agent de relais DHCP reçoit le message de réponse DHCP du serveur DHCP dans le VRF du serveur. L’agent de relais dérive l’interface du client, y compris VRF, de l’attribut DHCP option 82 sous-option 1 ou DHCPv6 option 18 dans le paquet dans le VRF du serveur DHCP. L’agent de relais transmet ensuite le message de réponse au client DHCP dans le VRF du client.

Configuration de l’échange de messages DHCP entre le serveur DHCP et les clients de différentes instances de routage virtuel

À partir de la version 14.2 de Junos OS, vous pouvez configurer l’agent de relais DHCP pour fournir une sécurité supplémentaire lors de l’échange de messages DHCP entre un serveur DHCP et des clients DHCP résidant dans différentes instances de routage et de transfert virtuels (VRF).

Vous pouvez configurer l’agent de relais DHCP pour fournir une sécurité supplémentaire lors de l’échange de messages DHCP entre un serveur DHCP et des clients DHCP résidant dans différentes instances de routage virtuel. Ce type de configuration concerne une connexion de relais DHCP sans état entre un serveur DHCP et un client DHCP, lorsque le serveur DHCP réside dans un réseau qui doit être isolé du réseau client.

Un agent de relais DHCP sans état ne conserve pas d’informations dynamiques sur l’état des clients DHCP et ne maintient pas de route statique pour que le trafic circule entre les instances de routage client et serveur.

Pour permettre l’échange de messages DHCP entre les deux VRF, vous configurez chaque côté du relais DHCP pour qu’il reconnaisse et transfère le trafic acceptable en fonction des informations de l’option DHCP dans les paquets. Le trafic acceptable est identifié soit par l’ID de circuit de l’agent (DHCP option 82, sous-option 1) pour les paquets DHCPv4, soit par l’ID d’interface de l’agent de relais (DHCPv6, option 18) pour les paquets DHCPv6.

La liste suivante donne un aperçu des tâches requises pour créer l’échange de messages DHCP entre les différents VRF :

  • Prise en charge côté client : configurez l’instruction de l’agent forward-only de relais DHCP pour spécifier l’emplacement VRF du serveur DHCP, auquel l’agent de relais DHCP transfère les paquets client avec les informations d’option DHCP appropriées. L’instruction forward-only garantit que l’agent de relais DHCP ne crée pas de nouvelle session ni n’effectue d’autres opérations de gestion des abonnés (telles que la création d’interfaces dynamiques ou la gestion de baux).

    Vous pouvez éventuellement configurer un système logique et une instance de routage spécifiques pour le VRF du serveur. Si vous ne spécifiez pas de système logique ou d’instance de routage, DHCP utilise le système logique local et l’instance de routage à partir desquels la configuration est ajoutée.

  • Prise en charge côté serveur : configurez l’instruction de l’agent forward-only-replies de relais DHCP afin que l’agent de relais DHCP transfère les paquets de réponse contenant les informations d’option DHCP appropriées. Cette instruction garantit également que l’agent de relais DHCP ne crée pas de nouvelle session ni n’effectue d’autres opérations de gestion des abonnés.

    Remarque :

    Vous n’avez pas besoin de configurer l’instruction forward-only-replies si le client DHCP et le serveur DHCP résident dans le même système logique/la même instance de routage.

  • Prise en charge du serveur local DHCP : configurez le serveur local DHCP pour prendre en charge les informations de l’option 82 dans les messages NAK DHCP et de renouvellement forcé. Par défaut, les deux types de message ne prennent pas en charge l’option 82.

  • Assistance supplémentaire : assurez-vous que les mesures d’assistance requises suivantes sont configurées :

    • La prise en charge de l’ARP de proxy doit être activée sur l’interface serveur du VRF du serveur DHCP afin que l’agent de relais DHCP puisse recevoir et répondre aux demandes ARP des clients et de l’interface client dans le VRF du serveur DHCP.

    • Des routes doivent être disponibles pour recevoir les paquets DHCP du serveur DHCP dans le VRF serveur pour les clients accessibles dans le VRF client.

Les procédures suivantes décrivent les tâches de configuration pour créer l’échange de messages DHCP entre le serveur DHCP et les clients dans différents VRF.

Assistance côté client

Pour configurer la prise en charge côté client de l’agent de relais DHCP :

  1. Activer la configuration de l’agent de relais DHCP.
  2. Spécifiez le VRF du serveur DHCP auquel l’agent de relais DHCP transfère les paquets à partir du client DHCP. L’agent de relais DHCP transfère les paquets acceptables pour lesquels les informations d’option DHCP sont appropriées, mais n’effectue aucune opération supplémentaire de gestion des abonnés. Vous pouvez configurer l’instruction forward-only globalement ou pour un groupe nommé d’interfaces, et pour DHCPv4 ou DHCPv6. Vous pouvez spécifier le système logique ou l’instance de routage actuel, par défaut ou spécifique pour le VRF du serveur.

    L’exemple suivant configure l’instruction forward-only globalement pour DHCPv4 et spécifie le système logique et l’instance de routage par défaut :

Remarque :

Pour les clients DHCPv4 locaux, l’agent de relais DHCP ajoute l’option ID de circuit d’agent. Toutefois, si l’option ID de circuit de l’agent est déjà présente dans le paquet, vous devez vous assurer que le serveur DHCP prend en charge l’option 82 Sous-option Informations spécifiques au fournisseur (sous-option 9).

Si l’instruction forward-only est configurée au niveau de la [edit forwarding-options dhcp-relay relay-option] hiérarchie, cette action d’option de relais est prioritaire sur la configuration de l’instruction forward-only pour l’échange de messages DHCP inter-VRF.

Assistance côté serveur

Pour configurer la prise en charge de l’échange de messages inter-VRF côté serveur du relais DHCP :

Remarque :

Vous n’avez pas besoin de configurer l’instruction forward-only-replies si le client DHCP et le serveur DHCP résident dans le même système logique/la même instance de routage.
  1. Activer la configuration de l’agent de relais DHCP.
  2. Configurez l’agent de relais DHCP pour transférer les paquets DHCP du VRF du serveur DHCP vers le client. L’agent de relais DHCP transfère uniquement les paquets et n’effectue aucune opération supplémentaire de gestion des abonnés. Vous pouvez configurer l’instruction forward-only-replies globalement pour DHCPv4 et DHCPv6.

    L’exemple suivant configure l’instruction forward-only-replies globalement pour DHCPv4.

Prise en charge des serveurs DHCP locaux

Pour configurer le serveur local DHCP afin qu’il prenne en charge les informations de l’option 82 dans les messages NAK et de renouvellement forcé ; la fonctionnalité d’échange de messages inter-VRF utilise les informations de l’option 82 ou de l’option 18 de DHCPv6 pour déterminer le VRF client :

  1. Activez la configuration DHCP du serveur local.
  2. Spécifiez que vous souhaitez configurer une option de remplacement.
  3. Configurez le serveur local DHCP pour remplacer le comportement par défaut et prendre en charge les informations de l’option 82 dans les messages NAK DHCP et de renouvellement. Vous pouvez configurer l’action de remplacement globalement, pour un groupe d’interfaces ou pour une interface spécifique.

Options de configuration pour éviter les fuites de route

Dans cette topologie, un seul équipement Junos OS héberge à la fois des clients DHCP et un serveur DHCP, chacun fonctionnant dans des instances de routage distinctes. Les instances de routage sont configurées en tant que routeurs virtuels pour maintenir l’isolation du routage.

Figure 1 : serveur et client DHCP dans différentes instances DHCP Server and Client in Different Virtual Routing Instances de routage virtuel
  • L’instance de routage client (client-ri) se connecte aux clients DHCP via l’interface et-0/0/2.0. Les appareils clients résident dans ce contexte de routage et lancent des requêtes DHCP.
  • L’instance de routage de serveur (server-ri) se connecte au serveur DHCP via l’interface et-0/0/1.0. Le serveur DHCP n’est accessible qu’à l’intérieur de cette instance de routage.
  • L’équipement Junos OS, configuré en tant que relais DHCP, permet de transférer sélectivement des messages DHCP à travers les limites des instances de routage.

  • Configuration de l’instance de routage client

    Configurer client-ri en tant que routeur virtuel. Les requêtes DHCP sont reçues sur l’interface côté client et transmises en mode de transfert uniquement à l’instance server-ri de routage. Définissez l’adresse IP du serveur DHCP dans un groupe de serveurs et liez la configuration du relais à l’interface cliente.

  • Configuration de l’instance de routage de serveur

    Configurer server-ri en tant que routeur virtuel. Active les réponses de transfert uniquement dans server-ri, permettant uniquement le transfert des messages de réponse DHCP à l’agent de relais dans l’instance de routage client.

    Voir Transfert uniquement (Agent de relais DHCP) et Réponses directes uniquement (Agent de relais DHCP).

Modification du service initiée par DHCP en fonction de l’ID distant

La gestion des abonnés vous permet de mettre à jour le service actuel d’un client DHCP à l’aide de l’ID distant du client (ID distant de l’agent). L’ID distant peut se trouver dans l’option 82, la sous-option 2 pour les clients DHCPv4 ou l’option 37 pour les clients DHCPv6.

Lorsqu’un client DHCP est initialement établi, DHCP conserve l’ID distant entrant du client dans la base de données du client DHCP. Lors de la réception d’un message de reliaison ou de renouvellement pour ce client, DHCP compare l’ID distant initial du client à l’ID distant du message de renouvellement ou de reliaison DHCP. Si les deux ID distants ne correspondent pas, le serveur local DHCP déchire la liaison existante et envoie un message NAK (ou NAK logique pour DHCPv6), ce qui oblige le client à lancer une séquence de reconnexion. Lorsque le client se reconnecte, le serveur local DHCP active le nouveau service, qui est encodé dans la nouvelle chaîne d’ID distant de l’agent.

Vous pouvez configurer le routeur pour prendre en charge la fonctionnalité de changement de service d’identification à distance globalement ou pour un groupe spécifique, et vous pouvez configurer la prise en charge sur le serveur local DHCP et l’agent de relais DHCP.

Dans un environnement à double pile, la fonctionnalité de modification de service initiée par DHCP nécessite que les sessions DHCPv4 et DHCPv6 d’un client résident sur le même VLAN (mappage 1:1) et que les chaînes d’ID à distance de l’agent pour les deux sessions soient identiques. La prise en charge de la double pile nécessite également que le même profil client dynamique soit appliqué aux réseaux DHCPv4 et DHCPv6, afin de garantir la cohérence de l’identification à distance entre les deux réseaux. Lorsque DHCP détecte une incompatibilité d’identification distante dans une session de la pile double, DHCP met fin à cette session. L’ID distant entrant est ensuite comparé à l’autre session de la pile double, et en cas d’incompatibilité, cette autre session est supprimée automatiquement.

Pendant le processus de démontage normal, si l’autre session est actuellement à l’état lié, elle passe alors à l’état de suppression différée. L’état de suppression différée permet de rétablir immédiatement la session qui a détecté la modification avec le nouveau plan de service, tout en permettant au routeur de supprimer facilement l’autre session en envoyant des messages NAK en réponse aux messages de renouvellement et de liaison ultérieurs.

Dans le cadre de la fonctionnalité de modification de service initiée par DHCP, AAA peut définir le profil client d’une session. AAA obtient le profil client à partir de l’ID distant et écrit le profil dans la base de données de session. Un profil client que AAA écrit dans la base de données a toujours la priorité sur toute configuration DHCP locale.

Une modification de l’ID distant de l’agent peut également initier une modification de service lors de la réauthentification. Vous ne pouvez pas configurer à la fois l’instruction remote-id-mismatch et l’instruction reauthenticate au niveau global, [edit system services dhcp-local-server]. Toutefois, les règles de priorité DHCP vous permettent de configurer les deux instructions lorsqu’elles se trouvent à des niveaux différents. Par exemple, vous pouvez configurer reauthenticate au niveau global et remote-id-mismatch pour DHCPv6 au niveau de la [edit system services dhcp-local-server dhcpv6] hiérarchie ou pour un groupe spécifique au niveau de la [edit system services dhcp-local-server group name] hiérarchie, et ainsi de suite.

Avantages d’une modification de service initiée par DHCP et basée sur l’ID à distance

  • Permet au serveur DHCP ou à l’agent de relais de mettre à jour le service du client lorsqu’il est basé sur l’ID distant lorsque l’ID distant du client change et ne correspond pas à l’ID distant de l’agent précédemment stocké. Dans un environnement à double pile, permet au serveur DHCP ou à l’agent relais d’assurer la cohérence de l’ID à distance entre les sessions de la double pile.

Configuration de la modification de service initiée par DHCP en fonction de l’ID distant

Cette rubrique décrit comment configurer la prise en charge de la modification de service initiée par DHCP sur le serveur local DHCP et l’agent de relais DHCP.

Configuration du serveur local DHCP

Vous pouvez configurer la prise en charge de la modification de service initiée par DHCP pour le serveur local DHCP et le serveur local DHCPv6 globalement, ou pour un groupe d’interfaces nommé.

Pour configurer le serveur local DHCP afin qu’il prenne en charge la modification de service initiée par DHCP pour un groupe nommé :

  1. Avant de commencer la configuration de la fonctionnalité de modification de service initiée par DHCP, assurez-vous que l’agent de relais DHCP ou DHCPv6 est configuré pour remplacer le comportement par défaut et envoyer un message de libération au serveur DHCP lorsqu’une incompatibilité d’ID distant se produit. Cette configuration est nécessaire car l’agent de relais ne peut pas supprimer directement les liaisons client ; le paquet de libération signale au serveur DHCP de supprimer la liaison d’origine.
  2. Spécifiez que vous souhaitez configurer le serveur local DHCP.
  3. Spécifiez le groupe nommé que vous souhaitez configurer.
  4. Spécifiez que, pour le groupe nommé, le serveur local DHCP correspond aux ID distants client initial et nouveau, puis exécute l’action disconnect lorsqu’une incompatibilité se produit.

    Lorsqu’une incompatibilité se produit, le serveur local DHCP déchire la liaison existante et envoie un message NAK au client, qui lance la séquence de reconnexion du client. Le nouveau service, qui est encodé dans la chaîne d’ID à distance de l’agent, est ensuite activé lorsque le client se reconnecte.

Configuration de l’agent de relais DHCP

Vous pouvez configurer la prise en charge de la modification de service initiée par DHCP pour l’agent de relais DHCP et l’agent de relais DHCPv6 globalement, ou pour un groupe nommé d’interfaces.

L’exemple suivant illustre les étapes de configuration de l’agent de relais DHCPv6 pour prendre en charge les modifications de service initiées par DHCP à l’échelle mondiale.

  1. Avant de commencer la configuration de la fonctionnalité de modification de service lancée par DHCP, assurez-vous que l’agent de relais DHCPv6 est configuré pour remplacer le comportement par défaut et envoyer un message de libération au serveur DHCP lorsqu’une incompatibilité d’ID distant se produit. Cette configuration est nécessaire car l’agent de relais ne peut pas supprimer directement les liaisons client ; le paquet de libération signale au serveur DHCP de supprimer la liaison d’origine.

  2. Spécifiez que vous souhaitez configurer l’agent de relais DHCP.

  3. Spécifiez que vous souhaitez configurer l’agent de relais DHCPv6.

  4. Spécifiez que l’agent de relais DHCPv6 correspond aux ID distants client initial et nouveau, puis exécute l’action disconnect lorsqu’une incompatibilité se produit.

    Lorsqu’une incompatibilité se produit, l’agent de relais DHCPv6 envoie le message de libération au serveur local DHCPv6 et un message NAK logique (un paquet de réponse avec une durée de vie de 0) au client. Le serveur déchire ensuite la liaison existante et le client lance la séquence de reconnexion. Le nouveau service, qui est encodé dans la chaîne d’ID à distance de l’agent, est activé lorsque le client se reconnecte.

Action de transfert DHCPv4 et DHCPv6 pour le trafic de relais avec une adresse de serveur DHCP inconnue

L’entrée de l’agent de relais DHCP, qui peut être créée sur un serveur DHCPv4 ou DHCPv6, est utile pour l’authentification, l’autorisation, la comptabilisation, l’application du filtrage, la garantie de la qualité de service (QoS) sur le client et le traitement des options spécifiées dans le paquet. La création de l’agent de relais ou de l’entrée client implique la participation du processus jdhcpd, des ressources mémoire, des ressources de base de données de session, de la procédure d’authentification, de la comptabilité, de l’instanciation dynamique du profil, de la création d’interface dynamique, du pare-feu, de l’association de classe de service (CoS), etc. Les réseaux client peuvent contenir des liaisons non contrôlées par le client pour lesquelles il ne voudrait peut-être pas de ces fonctionnalités d’entrée d’agent de relais. Lorsqu'un réseau client est confronté à un tel trafic, la création d'entrées d'agent de relais, qui est liée à la création d'entrées client, utilise inutilement les ressources et peut également entraîner une association incorrecte des profils, car dans le scénario réseau actuel, tout le trafic reçu d'une interface spécifique est transféré, sans traitement d'adresse de destination.

À partir de la version 17.4R1 de Junos OS, il est possible d’activer une configuration sur la passerelle de passerelle réseau haut débit (BNG) pour le trafic non-client avec une forward-only adresse de serveur DHCP inconnue. La configuration de l’instruction forward-only , ainsi que les nouvelles options DHCP (option-54 pour DHCPv4 et option-2 pour DHCPv6), empêchent la création de l’entrée d’agent de relais DHCP sur le BNG et garantissent que le trafic est transféré à l’adresse de destination spécifiée.

Avec ces configurations, les administrateurs sont en mesure de déterminer à quels serveurs les clients sont liés ; quels clients doivent avoir une entrée client de relais créée, un profil dynamique et des stratégies appliquées, etc. et pour qui (non-client) la forward-only configuration est activée.

Les deux nouvelles instructions de configuration (options-54 et options-2) sont ajoutées pour le traitement des adresses de destination.

Traitement des adresses de destination DHCPv4 et DHCPv6

Les administrateurs peuvent configurer l’instruction forward-only pour éviter la création d’entrées de clients non-clients. Le processus jdhcpd compare l’identifiant du serveur (option-54 pour DHCPv4 et option-2 pour DHCPv6) avec ou sans adresse de destination dans le paquet entrant avec l’adresse du serveur configuré. Si l’identifiant du serveur et l’adresse du serveur configurée correspondent, l’action consiste à transférer uniquement sans créer l’entrée client.

Sur un relais non passif, la configuration de l’instruction server-match implique l’activation implicite de l’instruction delay-authentication pour les clients pour lesquels l’instruction server-match est traitée. Vous pouvez également configurer les options 60 et 77 (pour DHCPv4) ou les options 15 et 16 (pour DHCPv6) en option, ainsi que le traitement associé. La configuration de ces options inclut également la spécification de l’ordre dans lequel elles sont traitées. Si ces options ne sont pas configurées, l’ordre par défaut est 60, 77 pour DHCPv4 et 15, 16 pour DHCPv6.

Remarque :

Les données DHCPv6 option-16 , telles que définies dans la RFC 3315, Dynamic Host Configuration Protocol for IPv6 (DHCPv6), comprennent un numéro d’entreprise de 4 octets et des données de classe fournisseur de longueur variable. Le numéro d’entreprise est un numéro enregistré par le fournisseur auprès de l’IANA. Par conséquent, il est prévu que la configuration d’une correspondance ASCII en conjonction avec option-16 la correspondance relais-option pourrait ne pas fonctionner car le numéro d’entreprise doit coïncider avec la valeur d’un caractère ASCII imprimable.

Une restriction similaire existe pour l’instruction DHCPv4 option-77 car les données peuvent être subdivisées pour inclure des option-77 sous-options et des sous-longueurs. Pour cette raison, la configuration d’une correspondance ASCII avec option-77 une correspondance d’option de relais peut ne pas fonctionner.

Sur un relais non passif, si un paquet de demande est reçu dans la phase de reliaison et que l’entrée de relais correspondante n’est pas présente, vous devez d’abord configurer l’instruction bind-on-request , après quoi l’entrée de relais est créée et le paquet est transféré. Une fois l’accusé de réception reçu, le processus jdhcpd vérifie l’adresse source (avec ou sans l’option 54 pour DHCPv4 et l’option 2 pour DHCPv6) dans la server-match configuration. Si la vérification aboutit à une entrée sans état, l’entrée de relais est supprimée.

L’administrateur peut spécifier l’identifiant unique DHCP (DUID) avec ou sans l’adresse d’un serveur. Le processus jdhcpd traite d’abord les déclarations d’adresse, puis les déclarations DUID. Si la même adresse de serveur est spécifiée dans les instructions d’adresse et l’instruction DUID, il est de la responsabilité de l’administrateur de spécifier la même action pour les instructions d’adresse et de DUID.

Sur les relais passifs et non passifs, si le paquet reçu contient un en-tête de transfert de relais et que l’adresse de destination est multicast ou une adresse link-local, le paquet est transféré sans autre traitement.

Remarque :

Pour les abonnés DHCPv4 et DHCPv6, les relay-option instructions et server-match sont dans la même hiérarchie et ont la même priorité.

Ordre de traitement et actions

Les options de relais et le traitement des matchs au serveur s’excluent mutuellement. Bien qu’ils soient dans la même hiérarchie et aient la même priorité, à des fins d’implémentation, vous traitez les options de relais suivies de la correspondance du serveur.

Voici les actions de traitement de l’option de relais DHCPv4 :

  • drop: Ignorer lorsqu’il y a une correspondance.

  • forward-only- Transférer sans service client, lorsqu’il y a une correspondance.

  • local-server-group: nom du groupe de serveurs DHCP local lorsqu’il existe une correspondance.

  • relay-server-group: nom du groupe de serveurs relais DHCP lorsqu’il existe une correspondance.

Voici les actions de traitement de l’option de relais DHCPv6 :

  • drop: Ignorer lorsqu’il y a une correspondance.

  • forward-only- Transférer sans service client, lorsqu’il y a une correspondance.

  • relay-server-group: nom du groupe de serveurs relais DHCP lorsqu’il existe une correspondance.

Remarque :

La correspondance du serveur DHCPv6 pour l’adresse IPv6 est disponible en relais passif uniquement.

Les commandes d’options par défaut et configurables sont traitées comme indiqué dans la figure 2. Si vous avez besoin que l’ordre des options soit inversé (DHCPv4 ou DHCPv6), configurez option-order 77,66 l’instruction pour DHCPv4 ou option-order 16,15 l’instruction pour DHCPv6 au niveau de la hiérarchie [edit forwarding-options dhcp-relay relay-option].

Figure 2 : Ordre des options DHCPv4 et DHCPv6 DHCP configuration options showing the default and custom order for DHCPv4 and DHCPv6 options.

Avantages de l’action de transfert de relais DHCP uniquement

  • Réduit la consommation inutile de ressources pour les liaisons non contrôlées par le client qui n’ont pas besoin des entrées d’agent de relais effectuées lors de la création des entrées client.

Documentation connexe

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libération
Descriptif
15.1
À partir de la version 15.1 de Junos OS, la fonctionnalité de traitement sélectif du trafic vous permet de gérer les réseaux multifournisseurs avec l’agent de relais DHCP et DHCPv6 étendu.
15.1
À partir de la version 15.1 de Junos OS, vous pouvez configurer l’agent de relais DHCP pour qu’il traite sélectivement le trafic client.
14.2
À partir de la version 14.2 de Junos OS, vous pouvez utiliser l’agent de relais DHCP pour fournir une sécurité supplémentaire lors de l’échange de messages DHCP entre différentes instances de routage et de transfert virtuels (VRF).
14.2
À partir de la version 14.2 de Junos OS, vous pouvez configurer l’agent de relais DHCP pour fournir une sécurité supplémentaire lors de l’échange de messages DHCP entre un serveur DHCP et des clients DHCP résidant dans différentes instances de routage et de transfert virtuels (VRF).