Descripción de la opción 82 de DHCP
Puede utilizar la opción 82 de DHCP, también conocida como opción de información del agente de retransmisión DHCP, para proteger los dispositivos Juniper compatibles frente a ataques como suplantación (falsificación) de direcciones IP y direcciones MAC, y privación de direcciones IP DHCP.
En una situación común, varios hosts se conectan a la red a través de interfaces de acceso que no son de confianza en el conmutador, y estos hosts solicitan y reciben direcciones IP del servidor DHCP. Sin embargo, los actores malintencionados pueden suplantar solicitudes DHCP utilizando direcciones de red falsificadas para obtener una conexión incorrecta a la red.
Para protegerse contra esta vulnerabilidad, RFC 3046, Opción de información del agente de retransmisión DHCP, http://tools.ietf.org/html/rfc3046 describe un estándar conocido como opción 82 que define cómo el servidor DHCP puede usar la ubicación de un cliente DHCP al asignar direcciones IP u otros parámetros al cliente.
Descripción general de la opción 82 de DHCP
Si la opción 82 de DHCP está habilitada en un dominio de VLAN o puente, cuando un dispositivo de red (un cliente DHCP) conectado a la VLAN o al dominio de puente en una interfaz que no es de confianza envía una solicitud DHCP, el dispositivo de conmutación inserta información sobre la ubicación de red del cliente en el encabezado del paquete de esa solicitud. A continuación, el dispositivo de conmutación envía la solicitud al servidor DHCP. El servidor DHCP lee la información de la opción 82 en el encabezado del paquete y la utiliza para implementar la dirección IP u otro parámetro para el cliente. Consulte Componentes de la subopción de la opción 82 para obtener más información sobre la opción 82.
En los conmutadores EX4300, la información de la opción 82 de DHCP se agrega a los paquetes DHCP recibidos en interfaces de confianza, así como en interfaces que no son de confianza.
Si la opción 82 está habilitada en un dominio de VLAN o de puente, se produce la siguiente secuencia de sucesos cuando un cliente DHCP envía una solicitud DHCP:
El dispositivo de conmutación recibe la solicitud e inserta la información de la opción 82 en el encabezado del paquete.
El dispositivo de conmutación reenvía (o retransmite) la solicitud al servidor DHCP.
El servidor utiliza la información de la opción 82 de DHCP para formular su respuesta y envía una respuesta al dispositivo de conmutación. No modifica la información de la opción 82.
El dispositivo de conmutación elimina la información de la opción 82 del paquete de respuesta.
El dispositivo de conmutación reenvía el paquete de respuesta al cliente.
Para utilizar la función de la opción 82 de DHCP, debe asegurarse de que el servidor DHCP está configurado para aceptar la opción 82. Si el servidor DHCP no está configurado para aceptar la opción 82, cuando recibe solicitudes que contienen información de la opción 82, no utiliza la información para establecer parámetros y no hace eco de la información en su mensaje de respuesta.
Si el dispositivo de conmutación es un conmutador de la serie EX y utiliza Junos OS con el estilo de configuración Enhanced Layer 2 Software (ELS), puede activar la opción 82 de DHCP solo para una VLAN específica. Consulte Configuración de la opción 82 de DHCP en el conmutador sin relé (ELS).
Si el dispositivo de conmutación es un conmutador de la serie EX y no utiliza Junos OS con el estilo de configuración Enhanced Layer 2 Software (ELS), puede activar la opción 82 de DHCP para una VLAN específica o para todas las VLAN. Consulte Configuración de la opción 82 de DHCP en el conmutador sin relé (no ELS).
Componentes de la subopción de la opción 82
La opción 82, tal como se implementa en un dispositivo de conmutación, comprende las subopciones ID de circuito, ID remoto e ID de proveedor. Estas subopciones son campos en el encabezado del paquete:
ID de circuito: identifica el circuito (interfaz o VLAN) del dispositivo de conmutación en el que se recibió la solicitud. El ID de circuito contiene el nombre de interfaz y el nombre de VLAN, con los dos elementos separados por dos puntos, por ejemplo, ge-0/0/10:vlan1, donde ge-0/0/10 es el nombre de interfaz y vlan1 es el nombre de VLAN. Si el paquete de solicitud se recibe en una interfaz de capa 3, el ID del circuito es solo el nombre de la interfaz, por ejemplo, ge-0/0/10.
Utilice la opción de prefijo para agregar un prefijo opcional al ID de circuito. Si habilita la opción de prefijo, el nombre de host del dispositivo de conmutación se utilizará como prefijo; Por ejemplo, Dispositivo1:GE-0/0/10:VLAN1, donde Dispositivo1 es el nombre de host.
También puede especificar que se utilice la descripción de la interfaz en lugar del nombre de la interfaz, o que se utilice el ID de VLAN en lugar del nombre de VLAN.
ID remoto: identifica el host remoto. Consulte remote-id para obtener más información.
ID de proveedor: identifica al proveedor del host. Si especifica la
vendor-id
opción pero no introduce ningún valor, se utilizará el valor predeterminado Juniper. Para especificar un valor, escriba una cadena de caracteres.
Configuraciones de dispositivos de conmutación compatibles con la opción 82
Las configuraciones de dispositivos de conmutación que admiten la opción 82 son:
- El dispositivo de conmutación, los clientes DHCP y el servidor DHCP se encuentran en el mismo dominio de VLAN o puente
- El dispositivo de conmutación actúa como un agente de retransmisión
El dispositivo de conmutación, los clientes DHCP y el servidor DHCP se encuentran en el mismo dominio de VLAN o puente
Si el dispositivo de conmutación, los clientes DHCP y el servidor DHCP se encuentran en el mismo dominio de VLAN o puente, el dispositivo de conmutación reenvía las solicitudes de los clientes en interfaces de acceso que no son de confianza al servidor de una interfaz de confianza. Consulte la figura 1.
El dispositivo de conmutación actúa como un agente de retransmisión
El dispositivo de conmutación funciona como un agente de retransmisión (servidor de relé extendido) cuando los clientes DHCP o el servidor DHCP están conectados al dispositivo de conmutación a través de una interfaz de capa 3. En el dispositivo de conmutación, estas interfaces se configuran como interfaces VLAN enrutadas (RVI). La figura 2 ilustra un escenario para el dispositivo de conmutación que actúa como servidor de relé extendido; En este caso, el dispositivo de conmutación transmite las solicitudes al servidor. Esta figura muestra el agente de retransmisión y el servidor en la misma red, pero también pueden estar en redes diferentes, es decir, el agente de retransmisión puede ser externo.
Opciones de DHCPv6
DHCPv6 proporciona varias opciones que se pueden usar para insertar información en los paquetes de solicitud DHCPv6 que se retransmiten a un servidor desde un cliente. Estas opciones son equivalentes a las subopciones de la opción 82 de DHCP.
Opción 37: Identifica el host remoto. La opción 37 es equivalente a la subopción de la
remote-id
opción 82 de DHCP.Opción 18: Identifica la interfaz en la que se recibió el paquete de solicitud DHCP del cliente. La opción 18 es equivalente a la subopción de la
circuit-id
opción 82 de DHCP.Opción 16: Identifica al proveedor del hardware en el que está alojado el cliente. La opción 16 es equivalente a la subopción de la
vendor-id
opción 82 de DHCP.
Las opciones de DHCPv6 no se habilitan automáticamente cuando la supervisión de DHCPv6 está habilitada en una VLAN. Deben configurarse mediante la dhcpv6-options
instrucción.