Descripción de la opción 82 de DHCP

Puede usar la opción 82 de DHCP, también conocida como opción de información del agente de retransmisión DHCP, para ayudar a proteger los dispositivos Juniper compatibles contra ataques, como suplantación (falsificación) de direcciones IP y direcciones MAC, y la inanición de direcciones IP DHCP.

En un caso común, varios hosts se conectan a la red a través de interfaces de acceso no confiables en el conmutador, y estos hosts solicitan y se asignan direcciones IP desde el servidor DHCP. Los actores defectuosos pueden suplantar solicitudes DHCP mediante direcciones de red falsificadas, sin embargo, para obtener una conexión inapropiada a la red.

Para protegerse de esta vulnerabilidad, RFC 3046, opción de información del agente de retransmisión DHCP, http://tools.ietf.org/html/rfc3046 describe un estándar conocido como opción 82 que define cómo el servidor DHCP puede usar la ubicación de un cliente DHCP cuando se asignan direcciones IP u otros parámetros al cliente.

Descripción general de la opción 82 de DHCP

Si la opción 82 de DHCP está habilitada en un dominio de VLAN o puente, entonces cuando un dispositivo de red (un cliente DHCP) que está conectado a la VLAN o al dominio de puente en una interfaz que no es de confianza envía una solicitud DHCP, el dispositivo de conmutación inserta información sobre la ubicación de red del cliente en el encabezado del paquete de esa solicitud. A continuación, el dispositivo de conmutación envía la solicitud al servidor DHCP. El servidor DHCP lee la información de la opción 82 en el encabezado del paquete y la utiliza para implementar la dirección IP u otro parámetro para el cliente. Consulte Componentes de subopción de la opción 82 para obtener más información acerca de la opción 82.

Nota:

En los conmutadores EX4300, la información de la opción 82 de DHCP se agrega a los paquetes DHCP recibidos en interfaces de confianza, así como en interfaces que no son de confianza.

Si la opción 82 está habilitada en un dominio de VLAN o puente, se produce la siguiente secuencia de eventos cuando un cliente DHCP envía una solicitud DHCP:

El dispositivo de conmutación recibe la solicitud e inserta la información de la opción 82 en el encabezado del paquete.
El dispositivo de conmutación reenvía (o retransmite) la solicitud al servidor DHCP.
El servidor utiliza la información de la opción 82 de DHCP para formular su respuesta y enviar una respuesta al dispositivo de conmutación. No modifica la información de la opción 82.
El dispositivo de conmutación elimina la información de la opción 82 del paquete de respuesta.
El dispositivo de conmutación reenvía el paquete de respuesta al cliente.

Para utilizar la función de la opción 82 de DHCP, debe asegurarse de que el servidor DHCP está configurado para aceptar la opción 82. Si el servidor DHCP no está configurado para aceptar la opción 82, cuando recibe solicitudes que contienen información de la opción 82, no utiliza la información para establecer parámetros y no hace eco de la información en su mensaje de respuesta.

Nota:

Si el dispositivo de conmutación es un conmutador de la serie EX y utiliza Junos OS con el estilo de configuración Enhanced Layer 2 Software (ELS), puede habilitar la opción 82 de DHCP solo para una VLAN específica. Consulte Configurar la opción 82 de DHCP en el conmutador sin relé (ELS).

Si el dispositivo de conmutación es un conmutador de la serie EX y no utiliza Junos OS con el estilo de configuración Enhanced Layer 2 Software (ELS), puede habilitar la opción 82 de DHCP para una VLAN específica o para todas las VLAN. Consulte Configurar la opción 82 de DHCP en el conmutador sin relé (sin ELS).

Componentes de subopción de la opción 82

La opción 82, tal como se implementa en un dispositivo de conmutación, comprende el ID de circuito de subopciones, el ID remoto y el ID de proveedor. Estas subopciones son campos en el encabezado del paquete:

ID de circuito: identifica el circuito (interfaz o VLAN) en el dispositivo de conmutación en el que se recibió la solicitud. El ID de circuito contiene el nombre de interfaz y el nombre de VLAN, con los dos elementos separados por dos puntos, por ejemplo, ge-0/0/10:vlan1, donde ge-0/0/10 es el nombre de interfaz y vlan1 es el nombre de VLAN. Si el paquete de solicitud se recibe en una interfaz de capa 3, el ID de circuito es solo el nombre de la interfaz, por ejemplo, ge-0/0/10.

Utilice la opción prefijo para agregar un prefijo opcional al ID de circuito. Si habilita la opción prefijo, el nombre de host del dispositivo de conmutación se utilizará como prefijo; por ejemplo, device1:ge-0/0/10:vlan1, donde device1 es el nombre de host.

También puede especificar que se use la descripción de la interfaz en lugar del nombre de interfaz o que se utilice el ID de VLAN en lugar del nombre de VLAN.
ID remoto: identifica el host remoto. Consulte remote-id para obtener más información.
ID de proveedor: identifica al proveedor del host. Si especifica la vendor-id opción pero no especifica ningún valor, se utilizará el valor predeterminado Juniper. Para especificar un valor, escriba una cadena de caracteres.

Configuraciones de dispositivos de conmutación compatibles con la opción 82

Las configuraciones de dispositivos de conmutación que admiten la opción 82 son:

El dispositivo de conmutación, los clientes DHCP y el servidor DHCP se encuentran en el mismo dominio de VLAN o puente
El dispositivo de conmutación actúa como agente de retransmisión

El dispositivo de conmutación, los clientes DHCP y el servidor DHCP se encuentran en el mismo dominio de VLAN o puente

Si el dispositivo de conmutación, los clientes DHCP y el servidor DHCP están todos en el mismo dominio de VLAN o puente, el dispositivo de conmutación reenvía las solicitudes de los clientes en interfaces de acceso no confiables al servidor en una interfaz de confianza. Consulte la figura 1.

Figura 1: Los clientes DHCP, el dispositivo de conmutación y el servidor DHCP están todos en el mismo dominio DHCP Clients, Switching Device, and the DHCP Server Are All on the Same VLAN or Bridge Domain

DHCP Clients, Switching Device, and the DHCP Server Are All on the Same VLAN or Bridge Domain

de VLAN o puente

El dispositivo de conmutación actúa como agente de retransmisión

El dispositivo de conmutación funciona como un agente de relé (servidor de relé extendido) cuando los clientes DHCP o el servidor DHCP están conectados al dispositivo de conmutación mediante una interfaz de capa 3. En el dispositivo de conmutación, estas interfaces se configuran como interfaces VLAN enrutadas (RVI). La Figura 2 muestra un escenario para el dispositivo de conmutación que actúa como un servidor de relé extendido; en este caso, el dispositivo de conmutación retransmite las solicitudes al servidor. Esta figura muestra el agente de retransmisión y el servidor en la misma red, pero también pueden estar en redes diferentes, es decir, el agente de retransmisión puede ser externo.

Figura 2: Dispositivo de conmutación que actúa como un servidor Switching Device Acting as an Extended Relay Server

de relé extendido

Opciones de DHCPv6

DHCPv6 ofrece varias opciones que se pueden usar para insertar información en los paquetes de solicitud DHCPv6 que se retransmiten a un servidor desde un cliente. Estas opciones son equivalentes a las subopciones de la opción 82 de DHCP.

Opción 37: identifica el host remoto. La opción 37 es equivalente a la remote-id subopción de la opción 82 de DHCP.
Opción 18: identifica la interfaz en la que se recibió el paquete de solicitud DHCP del cliente. La opción 18 es equivalente a la circuit-id subopción de la opción 82 de DHCP.
Opción 16: identifica al proveedor del hardware en el que está alojado el cliente. La opción 16 es equivalente a la vendor-id subopción de la opción 82 de DHCP.

Las opciones de DHCPv6 no se habilitan automáticamente cuando la inspección DHCPv6 está habilitada en una VLAN. Deben configurarse mediante la dhcpv6-options instrucción.

EN ESTA PÁGINA