보안 DHCP 메시지 교환
Junos OS를 통해 DHCP 릴레이 에이전트를 사용하여 서로 다른 가상 라우팅 및 포워딩 인스턴스(VRF) 간에 안전한 메시지 교환을 제공할 수 있습니다. DHCP 메시지를 안전하게 교환하려면 DHCP 옵션 정보를 기반으로 허용 가능한 트래픽을 인식하고 전달하도록 DHCP 릴레이 에이전트의 서버 측과 클라이언트 측을 모두 구성해야 합니다. 자세한 내용은 이 주제를 읽어보십시오.
서로 다른 VRF에 있는 DHCP 클라이언트와 DHCP 서버 간의 DHCP 메시지 교환
일부 서비스 프로바이더 네트워크에서는 DHCP 서버가 상주하는 서비스 네트워크가 실제 가입자 네트워크와 격리되어 있습니다. 서비스와 가입자 네트워크의 분리로 인해 경로 유출과 같은 잠재적인 보안 문제가 발생할 수 있습니다.
Junos OS 릴리스 14.2부터 DHCP 릴레이 에이전트를 사용하여 서로 다른 가상 라우팅 및 포워딩 인스턴스(VRF) 간에 DHCP 메시지를 교환할 때 추가 보안을 제공할 수 있습니다. DHCP 릴레이 에이전트는 클라이언트 VRF와 DHCP 서버 VRF 간에 직접 라우팅이 없고 허용 가능한 DHCP 패킷만 두 VRF에서 릴레이되도록 할 수 있습니다. 가입자 관리는 DHCP와 DHCPv6 패킷 모두에 대해 VRF 간 메시지 교환을 지원합니다.
서로 다른 VRF 간에 DHCP 메시지를 교환하려면 DHCP 릴레이 에이전트의 서버측과 클라이언트측 모두 패킷의 DHCP 옵션 정보를 기반으로 허용 가능한 트래픽을 인식하고 전달할 수 있도록 해야 합니다. 메시지 교환은 다음 DHCP 옵션을 사용하여 릴레이할 트래픽을 식별합니다.
DHCPv4 패킷에 대한 에이전트 서킷 ID(DHCP 옵션 82 서브옵션 1)
DHCPv6 패킷용 릴레이 에이전트 인터페이스 ID(DHCPv6 옵션 18)
VRF 간 메시지 교환을 사용하는 DHCP 패킷에 대한 통계는 클라이언트 VRF에서 계산됩니다.
다음 목록은 DHCP 릴레이 에이전트가 서로 다른 VRF에 있는 DHCP 클라이언트와 DHCP 서버 간에 메시지를 교환하는 방법을 설명합니다.
DHCP 클라이언트에서 DHCP 서버로 패킷 - DHCP 릴레이 에이전트는 클라이언트 VRF의 클라이언트로부터 DHCP 패킷을 수신한 다음 적절한 DHCP 옵션 82 서브옵션 1 또는 DHCPv6 옵션 18 속성을 패킷에 삽입합니다. 그런 다음 릴레이 에이전트는 서버의 VRF에 있는 DHCP 서버로 패킷을 전달합니다.
DHCP 서버에서 DHCP 클라이언트로 보내는 패킷 - DHCP 릴레이 에이전트는 서버 VRF의 DHCP 서버로부터 DHCP 응답 메시지를 수신합니다. 릴레이 에이전트는 DHCP 서버 VRF의 패킷에 있는 DHCP 옵션 82 서브옵션 1 또는 DHCPv6 옵션 18 속성에서 VRF를 포함한 클라이언트의 인터페이스를 파생합니다. 그런 다음 릴레이 에이전트는 클라이언트의 VRF에 있는 DHCP 클라이언트에 응답 메시지를 전달합니다.
서로 다른 가상 라우팅 인스턴스에 있는 DHCP 서버와 클라이언트 간의 DHCP 메시지 교환 구성
Junos OS 릴리스 14.2부터 DHCP 서버와 서로 다른 VRF(Virtual Routing and Forwarding Instance)에 상주하는 DHCP 클라이언트 간에 DHCP 메시지를 교환할 때 추가적인 보안을 제공하도록 DHCP 릴레이 에이전트를 구성할 수 있습니다.
서로 다른 가상 라우팅 인스턴스에 상주하는 DHCP 서버와 DHCP 클라이언트 간에 DHCP 메시지를 교환할 때 추가적인 보안을 제공하도록 DHCP 릴레이 에이전트를 구성할 수 있습니다. 이러한 유형의 구성은 DHCP 서버가 클라이언트 네트워크와 격리되어야 하는 네트워크에 상주하는 경우 DHCP 서버와 DHCP 클라이언트 간의 상태 비저장 DHCP 릴레이 연결을 위한 것입니다.
상태 비저장 DHCP 릴레이 에이전트는 DHCP 클라이언트에 대한 동적 상태 정보를 유지하지 않으며 클라이언트와 서버 라우팅 인스턴스 간의 트래픽 흐름에 대한 정적 경로를 유지하지 않습니다.
두 VRF 간의 DHCP 메시지 교환을 활성화하려면 패킷의 DHCP 옵션 정보를 기반으로 허용 가능한 트래픽을 인식하고 전달하도록 DHCP 릴레이의 각 측면을 구성합니다. 허용 가능한 트래픽은 DHCPv4 패킷에 대한 에이전트 서킷 ID(DHCP 옵션 82 서브옵션 1) 또는 DHCPv6 패킷에 대한 릴레이 에이전트 인터페이스 ID(DHCPv6 옵션 18)로 식별됩니다.
다음 목록은 서로 다른 VRF 간에 DHCP 메시지 교환을 생성하는 데 필요한 작업에 대한 개요를 제공합니다.
클라이언트 측 지원 - DHCP 릴레이 에이전트
forward-only
문을 구성하여 DHCP 서버의 VRF 위치를 지정하고, DHCP 릴레이 에이전트는 적절한 DHCP 옵션 정보와 함께 클라이언트 패킷을 전달합니다. 명령문은forward-only
DHCP 릴레이 에이전트가 새로운 세션을 생성하거나 다른 가입자 관리 작업(예: 동적 인터페이스 생성 또는 임대 유지)을 수행하지 않도록 합니다.선택적으로 서버 VRF에 대한 특정 논리적 시스템 및 라우팅 인스턴스를 구성할 수 있습니다. 논리적 시스템 또는 라우팅 인스턴스를 지정하지 않으면 DHCP는 구성이 추가된 로컬 논리적 시스템 및 라우팅 인스턴스를 사용합니다.
서버 측 지원—DHCP 릴레이 에이전트가 적절한 DHCP 옵션 정보가 있는 응답 패킷을 전달하도록 DHCP 릴레이 에이전트
forward-only-replies
문을 구성합니다. 또한 이 명령문은 DHCP 릴레이 에이전트가 새 세션을 생성하거나 다른 가입자 관리 작업을 수행하지 않도록 합니다.참고:DHCP 클라이언트와 DHCP 서버가 동일한 논리적 시스템/라우팅 인스턴스에 상주하는 경우에는 명령문을 구성할
forward-only-replies
필요가 없습니다.DHCP 로컬 서버 지원 - DHCP NAK 및 forcerenew 메시지에서 옵션 82 정보를 지원하도록 DHCP 로컬 서버를 구성합니다. 기본적으로 두 메시지 유형은 옵션 82를 지원하지 않습니다.
추가 지원 - 다음과 같은 필수 지원이 구성되어 있는지 확인합니다.
DHCP 릴레이 에이전트가 클라이언트에 대한 ARP 요청과 DHCP 서버 VRF의 클라이언트 대면 인터페이스를 수신하고 응답할 수 있도록 DHCP 서버 VRF의 서버 대면 인터페이스에서 프록시 ARP 지원을 활성화해야 합니다.
클라이언트 VRF에서 연결할 수 있는 클라이언트에 대해 서버 VRF의 DHCP 서버에서 DHCP 패킷을 수신하려면 경로를 사용할 수 있어야 합니다.
다음 절차에서는 DHCP 서버와 서로 다른 VRF에 있는 클라이언트 간에 DHCP 메시지 교환을 만들기 위한 구성 작업에 대해 설명합니다.
클라이언트 측 지원
DHCP 릴레이 에이전트의 클라이언트 측에서 지원을 구성하려면 다음을 수행합니다.
로컬 DHCPv4 클라이언트의 경우 DHCP 릴레이 에이전트가 에이전트 서킷 ID 옵션을 추가합니다. 그러나 에이전트 서킷 ID 옵션이 패킷에 이미 있는 경우 DHCP 서버가 옵션 82 공급업체별 정보 하위 옵션(하위 옵션 9)을 지원하는지 확인해야 합니다.
forward-only
문이 계층 수준에서 구성된 [edit forwarding-options dhcp-relay relay-option]
경우 해당 relay-option 작업이 DHCP VRF 간 메시지 교환을 forward-only
위한 문의 구성보다 우선합니다.
서버 측 지원
DHCP 릴레이의 서버 측에서 VRF 간 메시지 교환 지원을 구성하려면 다음을 수행합니다.
DHCP 클라이언트와 DHCP 서버가 동일한 논리적 시스템/라우팅 인스턴스에 상주하는 경우에는 명령문을 구성할 forward-only-replies
필요가 없습니다.
DHCP 로컬 서버 지원
NAK 및 forcerenew 메시지에서 옵션 82 정보를 지원하도록 DHCP 로컬 서버를 구성하려면; VRF 간 메시지 교환 기능은 옵션 82 또는 DHCPv6 옵션 18 정보를 사용하여 클라이언트 VRF를 결정합니다.
변경 내역 테이블
기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.