Ejemplo: Configurar la opción 82 de DHCP
Puede usar la opción 82 de DHCP, también conocida como opción de información del agente de retransmisión DHCP, para ayudar a proteger el conmutador contra ataques, como suplantación (falsificación) de direcciones IP y direcciones MAC, y escasez de direcciones IP DHCP. La opción 82 proporciona información sobre la ubicación de red de un cliente DHCP, y el servidor DHCP utiliza esta información para implementar direcciones IP u otros parámetros para el cliente.
Puede configurar la función de opción 82 de DHCP en varias topologías:
El conmutador funciona como un agente de retransmisión cuando los clientes DHCP o el servidor DHCP están conectados al conmutador mediante una interfaz de capa 3. En el conmutador, estas interfaces se configuran como interfaces VLAN enrutadas o RVI. El conmutador retransmite las solicitudes de los clientes al servidor y, luego, reenvía las respuestas del servidor a los clientes.
En el caso de los conmutadores de la serie EX, la configuración de esta topología es la misma para enhanced layer 2 software (ELS) y no ELS.
El conmutador, los clientes DHCP y el servidor DHCP están todos en la misma VLAN. El conmutador reenvía las solicitudes de los clientes al servidor y reenvía las respuestas del servidor a los clientes.
Si el conmutador es una serie EX, consulte Configuración de la opción 82 de DHCP en el conmutador sin relé (ELS) para obtener instrucciones de ELS y no ELS.
El dispositivo de conmutación, los clientes DHCP y el servidor DHCP están todos en el mismo dominio de puente. El dispositivo de conmutación reenvía las solicitudes de los clientes al servidor y reenvía las respuestas del servidor a los clientes. En este tema se describe esta configuración.
Antes de configurar la opción 82 de DHCP en el conmutador, asegúrese de que el servidor DHCP esté configurado para aceptar la opción 82 de DHCP. Si el servidor no está configurado para la opción 82 de DHCP, el servidor no utiliza la información de la opción 82 de DHCP en las solicitudes que se le envían cuando formula sus mensajes de respuesta.
Ejemplo: Configurar la opción 82 de DHCP en una VLAN
Requisitos
En este ejemplo se describe cómo configurar la opción 82 de DHCP en un conmutador que actúa como agente de retransmisión y se encuentra en la misma VLAN que los clientes DHCP, pero está en una VLAN diferente del servidor DHCP. En el ejemplo se incluyen los siguientes componentes de hardware y software:
Un conmutador EX4200-24P o un conmutador QFX3500
Junos OS versión 9.3 o posterior para conmutadores serie EX o Junos OS versión 12.1 o posterior para la serie QFX
Un servidor DHCP para proporcionar direcciones IP a los dispositivos de red del conmutador
Descripción general y topología
En este ejemplo, configure la opción 82 en el conmutador. El conmutador está configurado como un agente de retransmisión BOOTP (consulte Descripción general del relé DHCP/BOOTP para conmutadores ). El conmutador se conecta al servidor DHCP a través de la interfaz VLAN enrutada (RVI), tal como se describe para QFX en Configurar interfaces IRB en conmutadores y para conmutadores de la serie EX en Configuración de interfaces VLAN enrutadas en conmutadores (procedimiento de CLI). El conmutador y los clientes son miembros de la VLAN del empleado (para obtener más información, consulte Configuración de VLAN en conmutadores para las series EX y QFX). El servidor DHCP es miembro de la VLAN corporativa .
Si la opción 82 de DHCP está habilitada en el conmutador, cuando un dispositivo de red (un cliente DHCP) que está conectado al conmutador en una interfaz que no es de confianza envía una solicitud DHCP, el conmutador inserta información sobre la ubicación de red del cliente en el encabezado del paquete de esa solicitud. A continuación, el conmutador envía la solicitud (en esta configuración, retransmite la solicitud) al servidor DHCP. El servidor DHCP lee la información de la opción 82 en el encabezado del paquete y la utiliza para implementar la dirección IP u otro parámetro para el cliente.
Cuando la opción 82 está habilitada en el conmutador, esta secuencia de eventos se produce cuando un cliente DHCP envía una solicitud DHCP:
El conmutador recibe la solicitud e inserta la información de la opción 82 en el encabezado del paquete.
El conmutador retransmite la solicitud al servidor DHCP.
El servidor utiliza la información de la opción 82 de DHCP para formular su respuesta y enviar una respuesta al conmutador. No modifica la información de la opción 82.
El conmutador elimina la información de la opción 82 del paquete de respuesta.
El conmutador reenvía el paquete de respuesta al cliente.
Configuración
Para configurar la opción 82 de DHCP:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la opción 82 de DHCP, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
set forwarding-options helpers bootp dhcp-option82 set forwarding-options helpers bootp dhcp-option82 circuit-id prefix hostname set forwarding-options helpers bootp dhcp-option82 circuit-id use-vlan-id set forwarding-options helpers bootp dhcp-option82 remote-id set forwarding-options helpers bootp dhcp-option82 remote-id prefix mac set forwarding-options helpers bootp dhcp-option82 remote-id use-string employee-switch1 set forwarding-options helpers bootp dhcp-option82 vendor-id
Procedimiento paso a paso
Para configurar la opción 82 de DHCP (reemplace los valores en cursiva por valores para su propia red):
Especifique la opción 82 de DHCP para la VLAN del empleado en el servidor BOOTP.
En todas las interfaces que se conectan al servidor:
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82
En una interfaz específica que se conecta al servidor:
[edit forwarding-options helpers bootp] user@switch# set interface ge-0/0/10 dhcp-option82
Los pasos restantes son opcionales. Muestran configuraciones para todas las interfaces; incluye la designación de interfaz específica para configurar cualquiera de las siguientes opciones en una interfaz específica:
Configure un prefijo para la subopción de ID de circuito (el prefijo siempre es el nombre de host del conmutador):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 circuit-id prefix hostname
Para especificar que el valor de subopción de ID de circuito debe contener la descripción de la interfaz en lugar del nombre de interfaz (el valor predeterminado):
Nota:Cuando se utiliza la descripción de la interfaz en lugar del nombre de interfaz, la descripción de la interfaz debe especificarse en la unidad de interfaz ("set interfaces ge-0/0/0 unit 0 description "client"). Si no lo hace, se utilizará el nombre de interfaz.
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 circuit-id use-interface-description
Especifique que el valor de subopción de ID de circuito contiene el ID de VLAN en lugar del nombre de VLAN (el valor predeterminado):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 circuit-id use-vlan-id
Especifique que la subopción de ID remoto se incluya en la información de la opción 82 de DHCP:
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id
Configure un prefijo para la subopción de ID remoto (aquí, el prefijo es la dirección MAC del conmutador):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id prefix mac
O bien, para especificar que el prefijo de la subopción de ID remoto sea el nombre de host del conmutador en lugar de la dirección MAC del conmutador (el valor predeterminado):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id prefix hostname
Para especificar que el valor de subopción de ID remoto debe contener la descripción de la interfaz:
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id use-interface-description
Especifique que el valor de subopción de ID remoto contiene una cadena de caracteres (aquí, la cadena es employee-switch1):
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id use-string employee-switch1
Configure un valor de subopción de ID de proveedor y use el valor predeterminado. Para usar el valor predeterminado (que es Juniper), no escriba una cadena de caracteres después de la palabra clave de opción vendor-id . De lo contrario, especifique un valor como mostrar aquí:
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 vendor-id mystring
Resultados
Para ver los resultados de los pasos de configuración antes de confirmar la configuración, escriba el show comando en el símbolo del usuario.
Para confirmar estos cambios en la configuración activa, escriba el commit comando en el símbolo del usuario.
Compruebe los resultados de la configuración:
[edit forwarding-options helpers bootp]
user@switch# show
dhcp-option82 {
circuit-id {
prefix hostname;
use-vlan-id;
}
remote-id {
prefix mac;
use-string employee-switch1;
}
vendor-id;
}
Configuración de la opción 82 de DHCP en un enrutador con dominio de puente
Antes de configurar la opción 82 de DHCP en el dispositivo de conmutación, realice estas tareas:
Conecte y configure el servidor DHCP.
Nota:El servidor DHCP debe estar configurado para aceptar la opción 82 de DHCP. Si el servidor no está configurado para la opción 82 de DHCP, el servidor no utiliza la información de la opción 82 de DHCP en las solicitudes que se le envían cuando formula sus mensajes de respuesta.
Configure un dominio de puente en el dispositivo de conmutación y asocie las interfaces en las que se conectan los clientes y el servidor al conmutador con ese dominio de puente.
Para configurar la opción 82 de DHCP: