Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의
 

DHCP 이해 옵션 82

DHCP 릴레이 에이전트 정보 옵션으로도 알려진 DHCP 옵션 82를 사용하여 IP 주소 및 MAC 주소의 스푸핑(forging) 및 DHCP IP 주소 고충 등의 공격으로부터 지원되는 주니퍼 장비를 보호할 수 있습니다.

일반적인 시나리오에서는 스위치에서 언트러스트 액세스 인터페이스를 통해 다양한 호스트가 네트워크에 연결되어 있으며, 이러한 호스트는 요청하며 DHCP 서버에서 IP 주소를 할당합니다. 그러나 공격자는 위조된 네트워크 주소를 사용하여 DHCP 요청을 스푸핑하여 네트워크에 부적절한 연결을 얻을 수 있습니다.

이 취약점으로부터 보호하기 위해 RFC 3046, DHCP Relay Agent Information Option http://tools.ietf.org/html/rfc3046 DHCP 서버가 IP 주소 또는 기타 매개 변수를 클라이언트에 할당할 때 DHCP 클라이언트의 위치를 사용하는 방법을 정의하는 옵션 82라는 표준에 대해 설명합니다.

DHCP 옵션 82 개요

VLAN 또는 브리지 도메인에서 DHCP 옵션 82가 활성화되면 언트러스트 인터페이스의 VLAN 또는 브리지 도메인에 연결된 네트워크 디바이스인 DHCP 클라이언트가 DHCP 요청을 보낼 때 스위칭 장비는 해당 요청의 패킷 헤더에 클라이언트의 네트워크 위치에 대한 정보를 삽입합니다. 그런 다음 스위칭 장비는 DHCP 서버로 요청을 보냅니다. DHCP 서버는 패킷 헤더의 옵션 82 정보를 읽고 이를 사용하여 IP 주소 또는 클라이언트에 대한 또 다른 매개 변수를 구현합니다. 옵션 82에 대한 자세한 내용은 옵션 82의 하위 구성 요소를 참조하십시오.

참고:

EX4300 스위치에서 DHCP 옵션 82 정보가 신뢰할 수 있는 인터페이스와 신뢰할 수 없는 인터페이스에서 수신되는 DHCP 패킷에 추가됩니다.

VLAN 또는 브리지 도메인에서 옵션 82가 활성화되면 DHCP 클라이언트가 DHCP 요청을 보낼 때 다음 일련의 이벤트가 발생합니다.

  1. 스위칭 장비는 요청을 수신하고 패킷 헤더에 옵션 82 정보를 삽입합니다.

  2. 스위칭 장비는 해당 요청을 DHCP 서버로 전달(또는 릴레이)합니다.

  3. 서버는 DHCP 옵션 82 정보를 사용하여 회신을 공식화하고 스위칭 장비에 대한 응답을 보냅니다. 이 옵션은 옵션 82 정보를 변경하지 않습니다.

  4. 스위칭 장비는 응답 패킷의 옵션 82 정보를 제거합니다.

  5. 스위칭 장비는 응답 패킷을 클라이언트로 전달합니다.

DHCP 옵션 82 기능을 사용하려면 DHCP 서버가 허용 옵션 82로 구성되었는지 확인해야 합니다. DHCP 서버가 옵션 82를 수락하도록 구성되지 않은 경우 옵션 82 정보가 포함된 요청을 받으면 매개 변수를 설정하는 데 정보를 사용하지 않으며 응답 메시지에 정보가 반향되지 않습니다.

참고:

스위칭 디바이스가 EX 시리즈 스위치이고 ELS(Enhanced Layer 2 Software) 구성 스타일과 Junos OS를 사용하는 경우, 특정 VLAN에 대해서만 DHCP 옵션 82를 활성화할 수 있습니다. ELS(Switch with No Relay)에서 DHCP 옵션 82 설정을 참조하십시오.

스위칭 디바이스가 EX 시리즈 스위치이고 ELS(Enhanced Layer 2 Software) 구성 스타일과 Junos OS를 사용하지 않는 경우, 특정 VLAN 또는 모든 VLAN에 대해 DHCP 옵션 82를 사용할 수 있습니다. 릴레이가 없는 스위치(비 ELS)에서 DHCP 옵션 82 설정을 참조하십시오.

옵션의 하위 구성 요소 82

옵션 82는 서브옵션 회로 ID, 원격 ID 및 벤더 ID로 구성된 스위칭 장비에 구현됩니다. 이러한 서브옵션은 패킷 헤더의 필드입니다.

  • 회선 ID—요청이 수신된 스위칭 디바이스의 서킷(인터페이스 또는 VLAN)을 식별합니다. 회로 ID에는 인터페이스 이름 및 VLAN 이름이 포함됩니다. 두 요소는 콜론으로 분리됩니다. 예를 들어 ge-0/0/10:vlan1은 ge-0/0/10이 인터페이스 이름이고 vlan1은 VLAN 이름입니다. 요청 패킷이 Layer 3 인터페이스에서 수신되는 경우, 회선 ID는 ge-0/0/10과 같은 인터페이스 이름에 불과합니다.

    접두사 옵션을 사용하여 회로 ID에 접두사 옵션을 추가합니다. Prefix 옵션을 사용하는 경우, 스위칭 디바이스의 호스트네임이 Prefix로 사용됩니다. 예를 들어 device1:ge-0/0/10:vlan1, 여기서 device1은 호스트 이름입니다.

    인터페이스 이름이 아닌 인터페이스 설명이 사용되거나 VLAN 이름이 아닌 VLAN ID를 사용할 것인지 지정할 수도 있습니다.

  • remote ID—원격 호스트를 식별합니다. 자세한 내용은 원격 ID 를 참조하십시오.

  • 벤더 ID—호스트의 벤더를 식별합니다. 옵션을 지정 vendor-id 하지만 값을 입력하지 않으면 주니퍼의 기본값이 사용됩니다. 값을 지정하려면 문자 문자열을 입력합니다.

옵션 82를 지원하는 스위칭 디바이스 구성

옵션 82를 지원하는 스위칭 디바이스 구성은 다음과 같습니다.

스위칭 디바이스, DHCP 클라이언트 및 DHCP 서버가 동일한 VLAN 또는 브리지 도메인에 있습니다.

스위칭 장비, DHCP 클라이언트 및 DHCP 서버가 모두 동일한 VLAN 또는 브리지 도메인에 있는 경우, 스위칭 장비는 신뢰할 수 있는 인터페이스에서 신뢰할 수 없는 액세스 인터페이스에 있는 클라이언트의 요청을 신뢰할 수 있는 인터페이스의 서버로 전달합니다. 그림 1을 참조하십시오.

그림 1: DHCP 클라이언트, 스위칭 디바이스 및 DHCP 서버가 모두 동일한 VLAN 또는 브리지 도메인 DHCP Clients, Switching Device, and the DHCP Server Are All on the Same VLAN or Bridge Domain 에 있습니다.

스위칭 장비는 릴레이 에이전트의 역할을 합니다.

DHCP 클라이언트 또는 DHCP 서버가 Layer 3 인터페이스를 통해 스위칭 장비에 연결되면 스위칭 장비는 릴레이 에이전트(확장 릴레이 서버)의 역할을 합니다. 스위칭 디바이스에서 이러한 인터페이스는 라우팅된 VLAN 인터페이스(RPI)로 구성됩니다. 그림 2 는 확장 릴레이 서버 역할을 하는 스위칭 장비에 대한 시나리오를 보여주고 있습니다. 이 경우 스위칭 장비는 서버로 요청을 릴레이합니다. 이 수치는 동일한 네트워크의 릴레이 에이전트와 서버를 보여 주지만, 서로 다른 네트워크상에 있을 수도 있습니다. 즉, 릴레이 에이전트는 외부에 있을 수 있습니다.

그림 2: 확장 릴레이 서버 Switching Device Acting as an Extended Relay Server 의 역할을 하는 스위칭 장비

DHCPv6 옵션

DHCPv6는 클라이언트에서 서버로 중계되는 DHCPv6 요청 패킷에 정보를 삽입하는 데 사용할 수 있는 여러 옵션을 제공합니다. 이러한 옵션은 DHCP 옵션 82의 하위 옵션과 같습니다.

  • 옵션 37—원격 호스트를 식별합니다. 옵션 37은 DHCP 옵션 82의 하위 옵션과 같습니다 remote-id .

  • 옵션 18—DHCP 요청 패킷이 클라이언트로부터 수신된 인터페이스를 식별합니다. 옵션 18은 DHCP 옵션 82의 하위 옵션과 같습니다 circuit-id .

  • 옵션 16—클라이언트가 호스팅되는 하드웨어 벤더를 식별합니다. 옵션 16은 DHCP 옵션 82의 하위 옵션과 같습니다 vendor-id .

DHCPv6 스누핑이 VLAN에서 활성화되면 DHCPv6 옵션이 자동으로 활성화되지 않습니다. 명령문을 사용하여 dhcpv6-options 구성해야 합니다.

관련 설명서