Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Intercambio seguro de mensajes DHCP

Junos OS le permite usar el agente de retransmisión DHCP para proporcionar un intercambio seguro de mensajes entre diferentes instancias de enrutamiento y reenvío virtual (VRF). Para habilitar el intercambio seguro de mensajes DHCP, debe configurar tanto el lado del servidor como el lado de cliente del agente de retransmisión DHCP para reconocer y reenviar tráfico aceptable según la información de opciones de DHCP. Para obtener más información, lea este tema.

Intercambio de mensajes DHCP entre clientes DHCP y servidor DHCP en VRF diferentes

En algunas redes de proveedores de servicios, la red de servicios en la que reside el servidor DHCP se aísla de la red real de suscriptores. Esta separación del servicio y las redes de suscriptores a veces puede introducir posibles problemas de seguridad, como la fuga de rutas.

A partir de Junos OS versión 14.2, puede usar el agente de retransmisión DHCP para proporcionar seguridad adicional al intercambiar mensajes DHCP entre diferentes instancias de enrutamiento y reenvío virtual (VRF). El agente de retransmisión DHCP puede garantizar que no haya ningún enrutamiento directo entre el VRF cliente y el VRF del servidor DHCP, y que solo se retransmitan paquetes DHCP aceptables a través de los dos VRF. La administración de suscriptores admite el intercambio de mensajes entre VRF para paquetes DHCP y DHCPv6.

Para intercambiar mensajes DHCP entre diferentes VRF, debe habilitar tanto el lado del servidor como el lado de cliente del agente de retransmisión DHCP para reconocer y reenviar tráfico aceptable según la información de opciones de DHCP en los paquetes. El intercambio de mensajes usa las siguientes opciones dhcp para identificar el tráfico que se va a retransmitir.

  • ID de circuito de agente (opción 82 subopción 1 de DHCP) para paquetes DHCPv4

  • ID de interfaz de agente de retransmisión (opción 18 de DHCPv6) para paquetes DHCPv6

Las estadísticas de los paquetes DHCP que utilizan el intercambio de mensajes entre VRF se cuentan en el VRF cliente.

En la siguiente lista se describe cómo el agente de retransmisión DHCP intercambia mensajes entre los clientes DHCP y el servidor DHCP en diferentes VRF:

  • Paquetes del cliente DHCP al servidor DHCP: el agente de retransmisión DHCP recibe el paquete DHCP del cliente en el VRF del cliente y, a continuación, inserta el atributo 1 de la opción 1 o DHCPv6 de la opción 18 de DHCP adecuada en el paquete. A continuación, el agente de reenvío del paquete al servidor DHCP en el VRF del servidor.

  • Paquetes desde el servidor DHCP hasta el cliente DHCP: el agente de retransmisión DHCP recibe el mensaje de respuesta DHCP del servidor DHCP en el servidor VRF. El agente de retransmisión deriva la interfaz del cliente, incluido VRF, de la opción 82 subopción 1 de DHCP o el atributo de la opción 18 de DHCPv6 en el paquete del VRF del servidor DHCP. A continuación, el agente de reenvío el mensaje de respuesta al cliente DHCP en el VRF del cliente.

Configuración del intercambio de mensajes DHCP entre el servidor DHCP y los clientes en diferentes instancias de enrutamiento virtual

A partir de Junos OS versión 14.2, puede configurar el agente de retransmisión DHCP para proporcionar seguridad adicional al intercambiar mensajes DHCP entre un servidor DHCP y clientes DHCP que residen en diferentes instancias de enrutamiento y reenvío virtual (VRF).

Puede configurar el agente de retransmisión DHCP para proporcionar seguridad adicional al intercambiar mensajes DHCP entre un servidor DHCP y clientes DHCP que residen en diferentes instancias de enrutamiento virtual. Este tipo de configuración es para una conexión de retransmisión DHCP sin estado entre un servidor DHCP y un cliente DHCP, cuando el servidor DHCP reside en una red que debe aislarse de la red del cliente.

Un agente de retransmisión DHCP sin estado no mantiene información de estado dinámico de los clientes DHCP y no mantiene una ruta estática para que el tráfico fluya entre las instancias de enrutamiento del cliente y del servidor.

Para habilitar el intercambio de mensajes DHCP entre las dos VRF, configure cada lado del relé DHCP para reconocer y reenviar tráfico aceptable según la información de opciones DHCP en los paquetes. El tráfico aceptable se identifica mediante el ID de circuito del agente (opción 82 subopción 1 de DHCP) para paquetes DHCPv4 o el ID de interfaz del agente de retransmisión (opción 18 de DHCPv6) para paquetes DHCPv6.

La siguiente lista proporciona una descripción general de las tareas necesarias para crear el intercambio de mensajes DHCP entre las RVF diferentes:

  • Compatibilidad del lado del cliente: configure la instrucción del agente forward-only de retransmisión DHCP para especificar la ubicación VRF del servidor DHCP, al cual el agente de reenvío de DHCP los paquetes de cliente con la información de opción DHCP adecuada. La forward-only instrucción garantiza que el agente de retransmisión DHCP no crea una nueva sesión ni realiza ninguna otra operación de administración de suscriptores (como la creación de interfaces dinámicas o el mantenimiento de arrendamientos).

    Opcionalmente, puede configurar un sistema lógico y una instancia de enrutamiento específicos para el servidor VRF. Si no especifica un sistema lógico o una instancia de enrutamiento, DHCP usa el sistema lógico local y la instancia de enrutamiento desde la que se agrega la configuración.

  • Compatibilidad con el servidor: configure la instrucción del agente forward-only-replies de retransmisión DHCP para que el agente de reenvío dhcp los paquetes de respuesta que tengan la información de opción DHCP adecuada. Esta instrucción también garantiza que el agente de retransmisión DHCP no cree una nueva sesión ni realice ninguna otra operación de administración de suscriptores.

    Nota:

    No es necesario configurar la instrucción si el forward-only-replies cliente DHCP y el servidor DHCP residen en la misma instancia lógica de sistema o enrutamiento.

  • Compatibilidad con el servidor local DHCP: configure el servidor local DHCP para que admita la información de la opción 82 en el NAK de DHCP y los mensajes de fuerza. De forma predeterminada, los dos tipos de mensaje no admiten la opción 82.

  • Soporte adicional: asegúrese de que está configurado el siguiente soporte necesario:

    • La compatibilidad con ARP de proxy debe habilitarse en la interfaz orientada al servidor del VRF del servidor DHCP para que el agente de retransmisión DHCP pueda recibir y responder a las solicitudes ARP para los clientes y la interfaz orientada al cliente en el VRF del servidor DHCP.

    • Las rutas deben estar disponibles para recibir los paquetes DHCP desde el servidor DHCP en el VRF servidor para los clientes accesibles en el VRF del cliente.

Los procedimientos siguientes describen las tareas de configuración para crear el intercambio de mensajes DHCP entre el servidor DHCP y los clientes en diferentes VRF.

Soporte del lado del cliente

Para configurar la compatibilidad en el lado del cliente del agente de retransmisión DHCP:

  1. Habilite la configuración del agente de retransmisión DHCP.
  2. Especifique el VRF del servidor DHCP al que el agente de reenvío DHCP los paquetes desde el cliente DHCP. El agente de reenvío DHCP reenvía los paquetes aceptables que tienen la información de opciones dhcp adecuada, pero no realiza ninguna operación de administración de suscriptores adicionales. Puede configurar la forward-only instrucción globalmente o para un grupo de interfaces con nombre y para DHCPv4 o DHCPv6. Puede especificar la instancia de enrutamiento o sistema lógico actual, predeterminado o específico para el servidor VRF.

    En el siguiente ejemplo, se configura la forward-only instrucción globalmente para DHCPv4 y se especifica el sistema lógico y la instancia de enrutamiento predeterminados:

Nota:

Para los clientes DHCPv4 locales, el agente de retransmisión DHCP agrega la opción ID de circuito de agente. Sin embargo, si la opción ID de circuito de agente ya está presente en el paquete, debe asegurarse de que el servidor DHCP admite la subopción de información específica del proveedor (subopción 9) de la opción 82.

Si la forward-only instrucción se configura en el [edit forwarding-options dhcp-relay relay-option] nivel de jerarquía, esa acción de opción de relé tiene prioridad sobre la configuración de la forward-only instrucción para el intercambio de mensajes DE VRF cruzado DHCP.

Soporte del lado del servidor

Para configurar la compatibilidad con el intercambio de mensajes entre VRF en el lado del servidor del relé DHCP:

Nota:

No es necesario configurar la instrucción si el forward-only-replies cliente DHCP y el servidor DHCP residen en la misma instancia lógica de sistema o enrutamiento.

  1. Habilite la configuración del agente de retransmisión DHCP.
  2. Configure el agente de retransmisión DHCP para reenviar los paquetes DHCP desde el VRF del servidor DHCP al cliente. El agente de reenvío DHCP solo reenvía los paquetes y no realiza ninguna operación de administración de suscriptores adicional. Puede configurar la forward-only-replies instrucción globalmente para DHCPv4 y DHCPv6.

    En el siguiente ejemplo, se configura la forward-only-replies instrucción globalmente para DHCPv4.

Compatibilidad con servidor local DHCP

Para configurar el servidor local DHCP para que admita la información de la opción 82 en mensajes de NAK y de fuerza; la función de intercambio de mensajes entre VRF usa la información de la opción 82 o DHCPv6 opción 18 para determinar el VRF de cliente:

  1. Habilite la configuración del servidor local DHCP.
  2. Especifique que desea configurar una opción de anulación.
  3. Configure el servidor local DHCP para invalidar el comportamiento predeterminado y admitir la información de la opción 82 en el NAK de DHCP y los mensajes de fuerza. Puede configurar la acción de anulación globalmente, para un grupo de interfaces o para una interfaz específica.
Tabla de historial de versiones
Lanzamiento
Descripción
14.2
A partir de Junos OS versión 14.2, puede usar el agente de retransmisión DHCP para proporcionar seguridad adicional al intercambiar mensajes DHCP entre diferentes instancias de enrutamiento y reenvío virtual (VRF).
14.2
A partir de Junos OS versión 14.2, puede configurar el agente de retransmisión DHCP para proporcionar seguridad adicional al intercambiar mensajes DHCP entre un servidor DHCP y clientes DHCP que residen en diferentes instancias de enrutamiento y reenvío virtual (VRF).