DHCP 옵션 82 이해
DHCP 릴레이 에이전트 정보 옵션이라고도 하는 DHCP 옵션 82를 사용하여 IP 주소 및 MAC 주소의 스푸핑(위조), DHCP IP 주소 기아 등의 공격으로부터 지원되는 주니퍼 디바이스를 보호할 수 있습니다.
일반적인 시나리오에서 다양한 호스트가 스위치의 신뢰할 수 없는 액세스 인터페이스를 통해 네트워크에 연결되며, 이러한 호스트는 DHCP 서버에서 IP 주소를 요청하고 할당됩니다. 그러나 악의적인 행위자는 위조된 네트워크 주소를 사용하여 DHCP 요청을 스푸핑하여 네트워크에 대한 부적절한 연결을 얻을 수 있습니다.
이 취약점으로부터 보호하기 위해 RFC 3046, DHCP 릴레이 에이전트 정보 옵션 http://tools.ietf.org/html/rfc3046 에서는 클라이언트에 IP 주소 또는 기타 매개 변수를 할당할 때 DHCP 서버가 DHCP 클라이언트의 위치를 사용할 수 있는 방법을 정의하는 옵션 82라는 표준을 설명합니다.
DHCP 옵션 82 개요
DHCP 옵션 82가 VLAN 또는 브리지 도메인에서 활성화된 경우, 신뢰할 수 없는 인터페이스의 VLAN 또는 브리지 도메인에 연결된 네트워크 디바이스(DHCP 클라이언트)가 DHCP 요청을 전송하면 스위칭 디바이스는 클라이언트의 네트워크 위치에 대한 정보를 해당 요청의 패킷 헤더에 삽입합니다. 그런 다음 스위칭 디바이스는 DHCP 서버로 요청을 보냅니다. DHCP 서버는 패킷 헤더에서 옵션 82 정보를 읽고 이를 사용하여 클라이언트에 대한 IP 주소 또는 다른 매개 변수를 구현합니다. 옵션 82에 대한 자세한 정보는 옵션 82의 하위 옵션 구성요소 를 참조하십시오.
EX4300 스위치에서 DHCP 옵션 82 정보는 신뢰할 수 있는 인터페이스와 신뢰할 수 없는 인터페이스에서 수신되는 DHCP 패킷에 추가됩니다.
옵션 82가 VLAN 또는 브리지 도메인에서 활성화되면 DHCP 클라이언트가 DHCP 요청을 보낼 때 다음과 같은 이벤트 시퀀스가 발생합니다.
스위칭 디바이스는 요청을 수신하고 패킷 헤더에 옵션 82 정보를 삽입합니다.
스위칭 디바이스는 DHCP 서버에 요청을 전달(또는 릴레이)합니다.
서버는 DHCP 옵션 82 정보를 사용하여 응답을 공식화하고 스위칭 장치에 응답을 보냅니다. 옵션 82 정보는 변경되지 않습니다.
스위칭 디바이스는 응답 패킷에서 옵션 82 정보를 스트립합니다.
스위칭 디바이스는 응답 패킷을 클라이언트로 전달합니다.
DHCP 옵션 82 기능을 사용하려면 DHCP 서버가 옵션 82를 수락하도록 구성되어 있는지 확인해야 합니다. DHCP 서버가 옵션 82를 수락하도록 구성되지 않은 경우 옵션 82 정보가 포함된 요청을 받으면 매개 변수 설정에 대한 정보를 사용하지 않으며 응답 메시지의 정보를 에코하지 않습니다.
스위칭 디바이스가 EX 시리즈 스위치이고 ELS(Enhanced Layer 2 Software) 구성 스타일과 함께 Junos OS를 사용하는 경우 특정 VLAN에 대해서만 DHCP 옵션 82를 활성화할 수 있습니다. 릴레이가 없는 스위치(ELS)에서 DHCP 옵션 82 설정을 참조하십시오.
스위칭 디바이스가 EX 시리즈 스위치이고 ELS(Enhanced Layer 2 Software) 구성 스타일과 함께 Junos OS를 사용하지 않는 경우 특정 VLAN 또는 모든 VLAN에 대해 DHCP 옵션 82를 활성화할 수 있습니다. 릴레이가 없는 스위치(비 ELS)에서 DHCP 옵션 82 설정을 참조하십시오.
옵션 82의 하위 옵션 구성요소
스위칭 디바이스 상에서 구현되는 옵션 82는 서브옵션 서킷 ID, 원격 ID 및 벤더 ID로 구성된다. 이러한 하위 옵션은 패킷 헤더의 필드입니다.
circuit ID - 요청이 수신된 스위칭 디바이스에서 회로(인터페이스 또는 VLAN)를 식별합니다. 서킷 ID에는 인터페이스 이름과 VLAN 이름이 포함되며 두 요소는 콜론으로 구분됩니다(예: ge-0/0/10:vlan1, 여기서 ge-0/0/10은 인터페이스 이름, vlan1은 VLAN 이름). 요청 패킷이 레이어 3 인터페이스에서 수신되는 경우, 서킷 ID는 인터페이스 이름(예: ge-0/0/10)입니다.
접두사 옵션을 사용하여 회선 ID에 선택적 접두사를 추가합니다. 접두사 옵션을 활성화하면 스위칭 디바이스의 호스트 이름이 접두사로 사용됩니다. 예를 들어, device1:ge-0/0/10:vlan1이며, 여기서 device1은 호스트 이름입니다.
인터페이스 이름 대신 인터페이스 설명을 사용하거나 VLAN 이름 대신 VLAN ID를 사용하도록 지정할 수도 있습니다.
remote ID - 원격 호스트를 식별합니다. 자세한 내용은 remote-id 를 참조하십시오.
vendor ID - 호스트의 벤더를 식별합니다. 옵션을 지정
vendor-id
하지만 값을 입력하지 않으면 기본값인 주니퍼가 사용됩니다. 값을 지정하려면 문자열을 입력합니다.
옵션 82를 지원하는 디바이스 구성 스위칭
옵션 82를 지원하는 스위칭 디바이스 구성은 다음과 같습니다.
스위칭 디바이스, DHCP 클라이언트 및 DHCP 서버가 동일한 VLAN 또는 브리지 도메인에 있습니다.
스위칭 디바이스, DHCP 클라이언트 및 DHCP 서버가 모두 동일한 VLAN 또는 브리지 도메인에 있는 경우 스위칭 디바이스는 신뢰할 수 없는 액세스 인터페이스의 클라이언트 요청을 신뢰할 수 있는 인터페이스의 서버로 전달합니다. 그림 1을 참조하십시오.

릴레이 에이전트 역할을 하는 스위칭 디바이스
DHCP 클라이언트 또는 DHCP 서버가 레이어 3 인터페이스를 통해 스위칭 디바이스에 연결되면 스위칭 장치는 릴레이 에이전트(확장 릴레이 서버)의 역할을 합니다. 스위칭 디바이스에서 이러한 인터페이스는 라우팅된 VLAN 인터페이스(RVI)로 구성됩니다. 그림 2 는 확장 릴레이 서버 역할을 하는 스위칭 디바이스에 대한 시나리오를 보여줍니다. 이 경우 스위칭 디바이스는 서버에 요청을 릴레이합니다. 이 그림은 릴레이 에이전트와 서버가 동일한 네트워크에 있지만 서로 다른 네트워크에 있을 수도 있음을 보여줍니다. 즉, 릴레이 에이전트가 외부에 있을 수도 있습니다.

DHCPv6 옵션
DHCPv6는 클라이언트에서 서버로 릴레이되는 DHCPv6 요청 패킷에 정보를 삽입하는 데 사용할 수 있는 몇 가지 옵션을 제공합니다. 이러한 옵션은 DHCP 옵션 82의 하위 옵션과 동일합니다.
옵션 37 - 원격 호스트를 식별합니다. 옵션 37은 DHCP 옵션 82의
remote-id
하위 옵션과 동일합니다.옵션 18 - DHCP 요청 패킷이 클라이언트로부터 수신된 인터페이스를 식별합니다. 옵션 18은 DHCP 옵션 82의
circuit-id
하위 옵션과 동일합니다.옵션 16 - 클라이언트가 호스팅되는 하드웨어의 벤더를 식별합니다. 옵션 16은 DHCP 옵션 82의
vendor-id
하위 옵션과 동일합니다.
VLAN에서 DHCPv6 스누핑이 활성화되면 DHCPv6 옵션이 자동으로 활성화되지 않습니다. 문을 사용하여 dhcpv6-options
구성해야 합니다.