EN ESTA PÁGINA
Opciones DHCP y descripción general del procesamiento selectiva de tráfico
Uso de la información de opciones de DHCP para procesar selectivamente el tráfico de cliente DHCP
Intercambio de mensajes DHCP entre clientes DHCP y servidor DHCP en VRF diferentes
Configuración del cambio de servicio iniciado por DHCP basado en id. remoto
Opciones dhcp y procesamiento de tráfico selectiva
Opciones DHCP y descripción general del procesamiento selectiva de tráfico
La administración de suscriptores le permite proporcionar un procesamiento de tráfico selectiva basado en la información que se proporciona en la cadena de opciones de DHCP y DHCPv6 incluida en el tráfico. A partir de Junos OS versión 15.1, la función de procesamiento de tráfico selectiva le permite administrar redes de varios proveedores con el agente de retransmisión extendido DHCP y DHCPv6. Puede habilitar el agente de retransmisión dhcp y DHCPv6 extendido para comparar cadenas específicas de opción recibidas en los paquetes de cliente DHCP con una lista de cadenas ASCII o hexadecimales que configure en el enrutador. La función de procesamiento de tráfico selectiva le permite identificar el tráfico según la opción en los paquetes de cliente DHCP, filtrar el tráfico y especificar la acción que la retransmisión DHCP toma para el tráfico. Puede usar las opciones 60 y 77 de DHCP y las opciones 15 y 16 de DHCPv6 para identificar el tráfico de cliente. Configure la acción que el enrutador toma para el tráfico seleccionado, como reenviar el tráfico a un servidor DHCP específico o dejar caer el tráfico. El procesamiento de tráfico selectivo del agente de retransmisión DHCP también le permite especificar una acción predeterminada, que el enrutador usa cuando ninguna otra acción satisface la configuración.
El uso del procesamiento de tráfico selectiva es útil en entornos de red en los que los clientes DHCP acceden a servicios que son proporcionados por varios proveedores y por varios servidores DHCP. Por ejemplo, un cliente DHCP podría obtener acceso a Internet desde un servidor DHCP determinado proporcionado por un proveedor y tener acceso a un servicio DE IPTV desde un servidor DHCP diferente propiedad de un segundo proveedor. El uso de la información específica de la opción en los paquetes de cliente DHCP permite que el agente de retransmisión DHCP diferencie entre los dos servidores y tome la acción correcta para el suscriptor.
También puede usar el procesamiento selectivo para distinguir entre servicios a diferentes suscriptores DHCP en la misma interfaz. Por ejemplo, un hogar puede incluir dos dispositivos IP que obtienen sus direcciones IP del servidor DHCP del proveedor de servicios. Es posible que el proveedor de servicios desee enlazar uno de los dispositivos a la interfaz de entrada y compartir esa dirección con otros hogares. Al mismo tiempo, el proveedor de servicios puede desear que el segundo dispositivo tenga sus propias capacidades de filtro y CoS. Para este segundo dispositivo, el proveedor de servicios puede usar el procesamiento selectivo para crear una interfaz demux IP dinámica.
Puede configurar la compatibilidad de procesamiento selectiva de forma global o para un grupo designado de interfaces. También puede configurar la compatibilidad con el agente de retransmisión DHCP extendido por sistema lógico y por instancia de enrutamiento.
Para configurar el procesamiento selectivo, especifique el atributo de opción DHCP o DHCPv6 que identifica el tráfico, los criterios de coincidencia utilizados para filtrar el tráfico y la acción que se debe realizar con el tráfico filtrado.
Puede usar las siguientes opciones de DHCP para procesar selectivamente el tráfico de cliente:
Opción 60 de DHCPv4 (identificador de clase de proveedor)
Opción 77 de DHCPv4 (identificador de clase de usuario)
Opción 15 de DHCPv6 (opción de clase de usuario)
Opción 16 de DHCPv6 (opción de clase de proveedor)
Puede configurar criterios de coincidencia exacta o parcial para filtrar el tráfico de cliente y especificar la ascii
opción (para definir una cadena ASCII no exclusiva de 1 a 255 caracteres alfanuméricos) o la hexadecimal
opción (para definir una cadena hexadecimal de 1 a 255 caracteres hexadecimales [de 0 a 9, de A a f y de A a F]).
Debido al formato de la opción 77 de DHCP y la opción 16 de DHCPv6, recomendamos que configure la coincidencia hexadecimal solo con estas dos opciones en lugar de la coincidencia ASCII.
Puede configurar una cantidad ilimitada de cadenas de coincidencia. Si configura una cadena como coincidencia exacta (equals
) y una coincidencia parcial (starts-with)
criterios, la coincidencia exacta tiene prioridad. Los caracteres comodín no se admiten en cadenas de coincidencia exacta o parcial.
Utilice los siguientes criterios de coincidencia para filtrar el tráfico del cliente:
equals
— La cadena especificada coincide exactamente con la cadena de opciones del tráfico del cliente.starts-with
— La cadena especificada es un subconjunto de la cadena de opciones del tráfico de cliente, que comienza por el carácter de extremo izquierdo. Por ejemplo, la configuración de la cadena "prueba" es un subconjunto de "test123" en la cadena de opciones del cliente y coincide con losstarts-with
criterios.default-action
— La cadena de opciones del tráfico de cliente no cumple ningún criterio de coincidencia o no se configura ningún criterio de coincidencia.Nota:El
default-action
es opcional. Si no se cumplen o no se configuran los criterios de coincidencia y nodefault-action
está configurado, el relé DHCP procesa el tráfico de la manera normal.
Puede especificar las siguientes acciones para el tráfico de cliente filtrado:
drop
— Descarta el tráfico.forward-only
— Reenvía el tráfico sin crear una nueva sesión de suscriptor.Nota:Cuando se usa la
forward-only
acción, la única operación configuradaoverrides
compatible es latrust-option-82
opción. El agente de retransmisión DHCP ignora todas las demásoverrides
opciones configuradas.local-server-group
— Reenvía el tráfico al grupo especificado de servidores locales DHCP que proporciona el servicio de cliente solicitado. Esta opción no se admite para el agente de retransmisión DHCPv6.relay-server-group
— Reenvía el tráfico al grupo de servidores DHCP especificado que proporciona el servicio de cliente solicitado.
Uso de la información de opciones de DHCP para procesar selectivamente el tráfico de cliente DHCP
A partir de Junos OS versión 15.1, puede configurar el agente de retransmisión DHCP para procesar selectivamente el tráfico del cliente. El procesamiento selectivo usa la información de opciones de DHCP o DHCPv6 para identificar, filtrar y procesar el tráfico de cliente. Para configurar la compatibilidad con DHCPv6, utilice el procedimiento en el [edit forwarding-options dhcp-relay dhcpv6]
nivel jerárquico.
Para configurar el agente de retransmisión DHCP para usar información de opciones para procesar selectivamente el tráfico del cliente DHCP:
Mostrar un recuento de paquetes DHCP caídos o reenviados durante el procesamiento selectiva basado en cadenas de opciones dhcp
Para mostrar el número de paquetes de cliente DHCP o DHCPv6 que se pierden o reenvían durante el procesamiento selectivo, utilice los siguientes comandos operativos:
Ejemplo: Configurar el procesamiento de tráfico selectiva del agente de retransmisión DHCP basado en cadenas de opciones de DHCP
En este ejemplo, se muestra cómo configurar el agente de retransmisión DHCP para usar cadenas de opciones dhcp para identificar, filtrar y procesar selectivamente el tráfico de cliente.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Plataformas de enrutamiento universal de 5G serie MX o conmutadores serie EX
Antes de configurar la compatibilidad con el procesamiento selectivo del agente de retransmisión DHCP, asegúrese de lo siguiente:
Configure el agente de retransmisión DHCP.
Consulte Descripción general del agente de retransmisión DHCP extendido.
(Opcional) Configure un grupo de servidor local DHCP denominado si desea reenviar tráfico de cliente a un grupo de servidores.
Consulte Agrupación de interfaces con configuraciones dhcp comunes.
Visión general
En este ejemplo, configure el agente de retransmisión DHCP para usar cadenas de opciones DHCP en paquetes de cliente para identificar, filtrar y procesar selectivamente el tráfico de cliente. Para configurar el procesamiento selectivo, realice los siguientes procedimientos:
Identificar el tráfico de cliente: especifique la opción DHCP que el agente de retransmisión DHCP utiliza para identificar el tráfico de cliente que desea procesar. La opción que especifique coincide con la opción del tráfico de cliente.
Configurar una acción predeterminada: especifique la acción de procesamiento predeterminada que utiliza el relé DHCP para el tráfico de cliente identificado que no cumple ningún criterio de coincidencia configurado.
Crear filtros de coincidencia y asociar una acción con cada filtro: especifique criterios de coincidencia que filtran el tráfico del cliente. Los criterios pueden ser una coincidencia exacta o parcial con la cadena de opciones del tráfico del cliente. Asocie una acción de procesamiento con cada criterio de coincidencia.
Configuración
Para configurar el procesamiento selectivo del agente de retransmisión DHCP basado en la información de opciones de DHCP, realice estas tareas:
- Configuración rápida de CLI
- Configurar el agente de retransmisión DHCP para procesar selectivamente el tráfico del cliente basado en cadenas de opciones de DHCP
- Resultados
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue el comando en la CLI en el [edit]
nivel de jerarquía.
set forwarding-options dhcp-relay relay-option option-number 60 set forwarding-options dhcp-relay relay-option equals ascii video-gold forward-only set forwarding-options dhcp-relay relay-option equals ascii video-bronze local-server-group servergroup-15 set forwarding-options dhcp-relay relay-option starts-with hexadecimal fffff local-server-group servergroup-east set forwarding-options dhcp-relay relay-option default-action drop
Configurar el agente de retransmisión DHCP para procesar selectivamente el tráfico del cliente basado en cadenas de opciones de DHCP
Procedimiento paso a paso
Para configurar el procesamiento selectivo del relé DHCP:
Especifique que desea configurar la compatibilidad con el agente de retransmisión DHCP.
[edit forwarding-options] user@host#
edit dhcp-relay
Especifique la opción DHCP que el agente de retransmisión DHCP utiliza para identificar el tráfico de cliente entrante.
[edit forwarding-options dhcp-relay] user@host#
set relay-option option-number 60
Configure una acción predeterminada que el agente de retransmisión DHCP usa cuando el tráfico de cliente entrante no cumple ningún criterio de coincidencia configurado.
[edit forwarding-options dhcp-relay] user@host#
set relay-option default-action drop
Configure una condición de coincidencia exacta y una acción asociada que el relé DHCP usa para procesar el tráfico de cliente identificado.
[edit forwarding-options dhcp-relay] user@host#
set relay-option equals ascii video-gold
forward-onlyConfigure una segunda condición de coincidencia exacta y una acción asociada que el relé DHCP usa para procesar el tráfico del cliente.
[edit forwarding-options dhcp-relay] user@host#
set relay-option equals ascii video-bronze
local-server-group servergroup-15Configure un criterio de coincidencia parcial y una acción asociada que el relé DHCP usa para procesar el tráfico del cliente.
[edit forwarding-options dhcp-relay] user@host#
set relay-option starts-with hexadecimal fffff local-server-group servergroup-east
Resultados
Desde el modo de configuración, confirme los resultados de la configuración mediante la emisión de la show
instrucción en el [edit forwarding-options]
nivel de jerarquía. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit forwarding-options] user@host# show dhcp-relay { relay-option { option-number 60; equals { ascii video-gold { forward-only; } } equals { ascii video-bronze { local-server-group servergroup-15; } } default-action { drop; } starts-with { hexadecimal fffff { local-server-group servergroup-east; } } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Para comprobar el estado del procesamiento de tráfico selectiva del agente de retransmisión DHCP, realice esta tarea:
Verificar el estado del procesamiento de tráfico selectiva del agente de retransmisión DHCP
Propósito
Compruebe el estado de procesamiento de tráfico selectiva del agente de retransmisión DHCP.
Acción
Muestra estadísticas para el agente de retransmisión DHCP.
user@host> show dhcp relay statistics Packets dropped: Total 30 Bad hardware address 1 Bad opcode 1 Bad options 3 Invalid server address 5 No available addresses 1 No interface match 2 No routing instance match 9 No valid local address 4 Packet too short 2 Read error 1 Send error 1 Option 60 1 Option 82 2 Messages received: BOOTREQUEST 116 DHCPDECLINE 0 DHCPDISCOVER 11 DHCPINFORM 0 DHCPRELEASE 0 DHCPREQUEST 105 Messages sent: BOOTREPLY 0 DHCPOFFER 2 DHCPACK 1 DHCPNAK 0 DHCPFORCERENEW 0 Packets forwarded: Total 4 BOOTREQUEST 2 BOOTREPLY 2
Significado
El Packets forwarded
campo de la show dhcp relay statistics
salida del comando muestra el número de paquetes de cliente que se reenvían como resultado de la configuración de procesamiento de tráfico selectiva. En este ejemplo, el resultado indica el número total de paquetes que el agente de reenvío DHCP ha reenviado, así como un desglose para el número de BOOTREQUEST
paquetes reenviados BOOTREPLY
.
Ejemplo: Configurar el procesamiento de tráfico selectiva a nivel de grupo del agente de retransmisión DHCP y DHCPv6
En este ejemplo, se muestra cómo configurar la compatibilidad basada en grupos de interfaz con nombre para el procesamiento selectivo del agente de retransmisión DHCPv6, que usa cadenas de opciones de DHCP para identificar, filtrar y procesar el tráfico de cliente.
En este ejemplo, se describe la configuración del agente de retransmisión DHCPv6: puede configurar el procedimiento relacionado para grupos de agentes de retransmisión DHCP en el [edit forwarding-options dhcp-relay]
nivel jerárquico. El procesamiento selectivo DHCPv6 admite las opciones 15 y 16 de DHCPv6. El procesamiento selectivo DHCP admite la opción 60 (solo enrutadores de la serie MX) y la opción 77.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Plataformas de enrutamiento universal 5G serie MX o enrutadores de transporte de paquetes serie PTX
Antes de configurar la compatibilidad de procesamiento selectiva del agente de retransmisión DHCPv6, asegúrese de:
Configure el agente de retransmisión DHCPv6.
Consulte Descripción general del agente de retransmisión DHCP extendido y Descripción general del agente de retransmisión DHCPv6.
Configure los grupos de interfaz denominados DHCPv6 utilizados para la configuración.
Consulte Agrupación de interfaces con configuraciones dhcp comunes.
Configure los grupos de servidores DHCPv6 utilizados para las acciones de procesamiento.
Consulte Agrupación de interfaces con configuraciones dhcp comunes.
Visión general
En este ejemplo, se configura el agente de retransmisión DHCPv6 de nivel de grupo denominado compatibilidad de interfaz para el procesamiento selectivo de paquetes de cliente basados en cadenas de opciones DHCPv6. Para configurar el procesamiento selectivo, realice los siguientes procedimientos:
Identificar el tráfico de cliente: especifique la opción DHCPv6 que el agente de retransmisión DHCPv6 utiliza para identificar el tráfico de cliente que desea procesar. La opción DHCPv6 que especifique coincide con la opción en el tráfico de cliente.
Configurar la acción predeterminada: especifique la acción de procesamiento predeterminada que usa el relé DHCPv6 para el tráfico de cliente identificado que no cumple ningún criterio de coincidencia configurado.
Crear filtros de coincidencia y asociar una acción con cada filtro: especifique criterios de coincidencia que filtran el tráfico del cliente. Los criterios pueden ser una coincidencia exacta o parcial con la cadena de opciones DHCPv6 en el tráfico de cliente. Asocie una acción de procesamiento con cada criterio de coincidencia.
Configuración
Para configurar el procesamiento selectivo del agente de retransmisión DHCPv6 a nivel de grupo basado en la información de opciones de DHCPv6, realice estas tareas:
- Configuración rápida de CLI
- Configuración de un agente de retransmisión DHCPv6 denominado grupo de interfaz para procesar selectivamente el tráfico de cliente basado en cadenas de opciones de DHCPv6
- Resultados
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue el comando en la CLI en el [edit]
nivel de jerarquía. La configuración rápida supone que el grupo de interfaz nombrado y los grupos de servidor DHCP se han configurado previamente.
set forwarding-options dhcp-relay dhcpv6 group groupv6-east-27 set forwarding-options dhcp-relay dhcpv6 relay-option option-number 15 set forwarding-options dhcp-relay dhcpv6 relay-option equals ascii triple-gold relay-server-group relayserver-triple-8 set forwarding-options dhcp-relay dhcpv6 relay-option equals ascii triple-silver relay-server-group relayserver-triple-23 set forwarding-options dhcp-relay dhcpv6 relay-option starts-with ascii single relay-server-group relayserver-1-aa set forwarding-options dhcp-relay dhcpv6 relay-option default-action drop
Configuración de un agente de retransmisión DHCPv6 denominado grupo de interfaz para procesar selectivamente el tráfico de cliente basado en cadenas de opciones de DHCPv6
Procedimiento paso a paso
En este procedimiento se da por sentado que previamente ha creado el grupo de interfaz denominado y los grupos de servidor DHCPv6. Para configurar el procesamiento selectivo a nivel de grupo de relé DHCPv6:
Especifique que desea configurar la compatibilidad con el agente de retransmisión DHCPv6.
[edit forwarding-options] user@host#
edit dhcp-relay dhcpv6
Especifique que desea configurar la compatibilidad del agente de retransmisión DHCPv6 a nivel de grupo.
[edit forwarding-options dhcp-relay dhcpv6] user@host#
edit group groupv6-east-27
Especifique el número de opción DHCPv6 que el agente de retransmisión DHCPv6 utiliza para identificar el tráfico de cliente entrante.
[edit forwarding-options dhcp-relay dhcpv6 group groupv6-east-27] user@host#
set relay-option option-number 15
Configure la acción predeterminada, que el agente de retransmisión DHCPv6 usa cuando el tráfico de cliente entrante no cumple ningún criterio de coincidencia configurado.
[edit forwarding-options dhcp-relay dhcpv6 group groupv6-east-27] user@host#
set relay-option default-action relay-server-group relayserver-def-4
Configure una condición de coincidencia exacta y una acción asociada que el relé DHCPv6 utiliza para procesar el tráfico de cliente identificado.
[edit forwarding-options dhcp-relay dhcpv6 group groupv6-east-27] user@host#
set relay-option equals ascii triple-gold relay-server-group relayserver-triple-8
Configure una segunda condición de coincidencia exacta y una acción asociada que el relé DHCPv6 utiliza para procesar el tráfico del cliente.
[edit forwarding-options dhcp-relay dhcpv6 group groupv6-east-27] user@host#
set relay-option equals ascii triple-silver relay-server-group relayserver-triple-23
Configure un criterio de coincidencia parcial y una acción asociada que el relé DHCPv6 usa para procesar el tráfico del cliente.
[edit forwarding-options dhcp-relay dhcpv6 group groupv6-east-27] user@host#
set relay-option starts-with ascii single relay-server-group relayserver-1-aa
Resultados
Desde el modo de configuración, confirme los resultados de la configuración mediante la emisión de la show
instrucción en el [edit forwarding-options dhcp]
nivel de jerarquía. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
dhcpv6 { group test-1 { relay-option { option-number 15; equals { ascii triple-gold { relay-server-group relayserver-triple-8; } ascii triple-silver { relay-server-group relayserver-triple-23; } } default-action { relay-server-group relayserver-def-4; } starts-with { ascii single { relay-server-group relayserver-1-aa; } } } interface ge-1/0/0.0 upto ge-1/1/0.0; } server-group { relayserver-1-aa; relayserver-triple-8; relayserver-triple-23; relayserver-def-4; } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Para comprobar el estado del procesamiento de tráfico selectiva del agente de retransmisión DHCPv6, realice esta tarea:
Verificar el estado del procesamiento de tráfico selectiva del agente de retransmisión DHCPv6
Propósito
Verifique el estado de procesamiento selectiva del tráfico del agente de retransmisión DHCPv6.
Acción
Muestra estadísticas para el agente de retransmisión DHCPv6.
user@host> show dhcpv6 relay statistics DHCPv6 Packets dropped: Total 0 Messages received: DHCPV6_DECLINE 0 DHCPV6_SOLICIT 10 DHCPV6_INFORMATION_REQUEST 0 DHCPV6_RELEASE 0 DHCPV6_REQUEST 10 DHCPV6_CONFIRM 0 DHCPV6_RENEW 0 DHCPV6_REBIND 0 DHCPV6_RELAY_REPL 0 Messages sent: DHCPV6_ADVERTISE 0 DHCPV6_REPLY 0 DHCPV6_RECONFIGURE 0 DHCPV6_RELAY_FORW 0 Packets forwarded: Total 4 FWD REQUEST 2 FWD REPLY 2
Significado
El Packets forwarded
campo de la show dhcpv6 relay statistics
salida del comando muestra el número de paquetes de cliente que se reenvían como resultado de la configuración de procesamiento de tráfico selectiva. En este ejemplo, el resultado indica la cantidad total de paquetes que el agente de reenvío DHCPv6, así como un desglose por el número de FWD REQUEST
paquetes reenviados.FWD REPLY
Intercambio de mensajes DHCP entre clientes DHCP y servidor DHCP en VRF diferentes
En algunas redes de proveedores de servicios, la red de servicios en la que reside el servidor DHCP se aísla de la red real de suscriptores. Esta separación del servicio y las redes de suscriptores a veces puede introducir posibles problemas de seguridad, como la fuga de rutas.
A partir de Junos OS versión 14.2, puede usar el agente de retransmisión DHCP para proporcionar seguridad adicional al intercambiar mensajes DHCP entre diferentes instancias de enrutamiento y reenvío virtual (VRF). El agente de retransmisión DHCP puede garantizar que no haya ningún enrutamiento directo entre el VRF cliente y el VRF del servidor DHCP, y que solo se retransmitan paquetes DHCP aceptables a través de los dos VRF. La administración de suscriptores admite el intercambio de mensajes entre VRF para paquetes DHCP y DHCPv6.
Para intercambiar mensajes DHCP entre diferentes VRF, debe habilitar tanto el lado del servidor como el lado de cliente del agente de retransmisión DHCP para reconocer y reenviar tráfico aceptable según la información de opciones de DHCP en los paquetes. El intercambio de mensajes usa las siguientes opciones dhcp para identificar el tráfico que se va a retransmitir.
ID de circuito de agente (opción 82 subopción 1 de DHCP) para paquetes DHCPv4
ID de interfaz de agente de retransmisión (opción 18 de DHCPv6) para paquetes DHCPv6
Las estadísticas de los paquetes DHCP que utilizan el intercambio de mensajes entre VRF se cuentan en el VRF cliente.
En la siguiente lista se describe cómo el agente de retransmisión DHCP intercambia mensajes entre los clientes DHCP y el servidor DHCP en diferentes VRF:
Paquetes del cliente DHCP al servidor DHCP: el agente de retransmisión DHCP recibe el paquete DHCP del cliente en el VRF del cliente y, a continuación, inserta el atributo 1 de la opción 1 o DHCPv6 de la opción 18 de DHCP adecuada en el paquete. A continuación, el agente de reenvío del paquete al servidor DHCP en el VRF del servidor.
Paquetes desde el servidor DHCP hasta el cliente DHCP: el agente de retransmisión DHCP recibe el mensaje de respuesta DHCP del servidor DHCP en el servidor VRF. El agente de retransmisión deriva la interfaz del cliente, incluyendo VRF, de la opción 82 subopción 1 de DHCP o el atributo de la opción 18 de DHCPv6 en el paquete del VRF del servidor DHCP. A continuación, el agente de reenvío el mensaje de respuesta al cliente DHCP en el VRF del cliente.
Configuración del intercambio de mensajes DHCP entre el servidor DHCP y los clientes en diferentes instancias de enrutamiento virtual
A partir de Junos OS versión 14.2, puede configurar el agente de retransmisión DHCP para proporcionar seguridad adicional al intercambiar mensajes DHCP entre un servidor DHCP y clientes DHCP que residen en diferentes instancias de enrutamiento y reenvío virtual (VRF).
Puede configurar el agente de retransmisión DHCP para proporcionar seguridad adicional al intercambiar mensajes DHCP entre un servidor DHCP y clientes DHCP que residen en diferentes instancias de enrutamiento virtual. Este tipo de configuración es para una conexión de retransmisión DHCP sin estado entre un servidor DHCP y un cliente DHCP, cuando el servidor DHCP reside en una red que debe aislarse de la red del cliente.
Un agente de retransmisión DHCP sin estado no mantiene información de estado dinámico de los clientes DHCP y no mantiene una ruta estática para que el tráfico fluya entre las instancias de enrutamiento del cliente y del servidor.
Para habilitar el intercambio de mensajes DHCP entre las dos VRF, configure cada lado del relé DHCP para reconocer y reenviar tráfico aceptable según la información de opciones DHCP en los paquetes. El tráfico aceptable se identifica mediante el ID de circuito del agente (opción 82 subopción 1 de DHCP) para paquetes DHCPv4 o el ID de interfaz del agente de retransmisión (opción 18 de DHCPv6) para paquetes DHCPv6.
La siguiente lista proporciona una descripción general de las tareas necesarias para crear el intercambio de mensajes DHCP entre las RVF diferentes:
Compatibilidad del lado del cliente: configure la instrucción del agente
forward-only
de retransmisión DHCP para especificar la ubicación VRF del servidor DHCP, al cual el agente de reenvío de DHCP los paquetes de cliente con la información de opción DHCP adecuada. Laforward-only
instrucción garantiza que el agente de retransmisión DHCP no crea una nueva sesión ni realiza ninguna otra operación de administración de suscriptores (como la creación de interfaces dinámicas o el mantenimiento de arrendamientos).Opcionalmente, puede configurar un sistema lógico y una instancia de enrutamiento específicos para el servidor VRF. Si no especifica un sistema lógico o una instancia de enrutamiento, DHCP usa el sistema lógico local y la instancia de enrutamiento desde la que se agrega la configuración.
Soporte del lado del servidor: configure la instrucción del agente
forward-only-replies
de retransmisión DHCP para que el agente de reenvío de DHCP los paquetes de respuesta que tengan la información de opción DHCP adecuada. Esta instrucción también garantiza que el agente de retransmisión DHCP no cree una nueva sesión ni realice ninguna otra operación de administración de suscriptores.Nota:No es necesario configurar la instrucción si el
forward-only-replies
cliente DHCP y el servidor DHCP residen en la misma instancia lógica de sistema o enrutamiento.Compatibilidad con el servidor local DHCP: configure el servidor local DHCP para que admita la información de la opción 82 en el NAK de DHCP y los mensajes de fuerza. De forma predeterminada, los dos tipos de mensaje no admiten la opción 82.
Soporte adicional: asegúrese de que está configurado el siguiente soporte necesario:
La compatibilidad con ARP de proxy debe habilitarse en la interfaz orientada al servidor del VRF del servidor DHCP para que el agente de retransmisión DHCP pueda recibir y responder a las solicitudes ARP para clientes y la interfaz orientada al cliente en el VRF del servidor DHCP.
Las rutas deben estar disponibles para recibir los paquetes DHCP del servidor DHCP en el VRF del servidor para los clientes accesibles en el VRF del cliente.
Los procedimientos siguientes describen las tareas de configuración para crear el intercambio de mensajes DHCP entre el servidor DHCP y los clientes en diferentes VRF.
Soporte del lado del cliente
Para configurar la compatibilidad en el lado del cliente del agente de retransmisión DHCP:
Para los clientes DHCPv4 locales, el agente de retransmisión DHCP agrega la opción ID de circuito de agente. Sin embargo, si la opción ID de circuito de agente ya está presente en el paquete, debe asegurarse de que el servidor DHCP admite la subopción de información específica del proveedor (subopción 9) de la opción 82.
Si la forward-only
instrucción está configurada en el [edit forwarding-options dhcp-relay relay-option]
nivel de jerarquía, esa acción de opción de relé tiene prioridad sobre la configuración de la forward-only
instrucción para el intercambio de mensajes DE VRF cruzado DHCP.
Soporte del lado del servidor
Para configurar la compatibilidad con el intercambio de mensajes entre VRF en el lado del servidor del relé DHCP:
No es necesario configurar la instrucción si el forward-only-replies
cliente DHCP y el servidor DHCP residen en la misma instancia lógica de sistema o enrutamiento.
Compatibilidad con servidor local DHCP
Para configurar el servidor local DHCP para que admita la información de la opción 82 en mensajes de NAK y de fuerza; la función de intercambio de mensajes entre VRF usa la información de opción 82 o DHCPv6 opción 18 para determinar el VRF de cliente:
Cambio de servicio iniciado por DHCP basado en id. remoto
La administración de suscriptores le permite actualizar el servicio actual de un cliente DHCP mediante el uso del ID remoto del cliente (ID remoto del agente). El ID remoto puede estar en la opción 82, la subopción 2 para clientes DHCPv4 o la opción 37 para clientes DHCPv6.
Cuando se establece inicialmente un cliente DHCP, DHCP conserva el ID remoto entrante del cliente en la base de datos del cliente DHCP. Cuando recibe un mensaje de renovación o renovación para ese cliente, DHCP compara el ID remoto inicial del cliente con el id. remoto en el mensaje de renovación o reencuadernamiento de DHCP. Si los dos ID remotos no coinciden, el servidor local DHCP desgarra el enlace existente y envía un mensaje NAK (o NAK lógico para DHCPv6), lo que hace que el cliente inicie una secuencia de reconexión. Cuando el cliente se vuelve a conectar, el servidor local DHCP activa el nuevo servicio, que está codificado en la nueva cadena de ID remoto del agente.
Puede configurar el enrutador para que admita la característica de cambio del servicio de ID remoto de forma global o para un grupo específico, y puede configurar la compatibilidad en el servidor local DHCP y el agente de retransmisión DHCP.
En un entorno de doble pila, la característica de cambio de servicio iniciado por DHCP requiere que las sesiones DHCPv4 y DHCPv6 de un cliente residan en la misma VLAN (asignación 1:1) y que las cadenas de ID remoto del agente para las dos sesiones sean idénticas. La compatibilidad con doble pila también requiere que se aplique el mismo perfil de cliente dinámico a las redes DHCPv4 y DHCPv6, para garantizar la coherencia del ID remoto entre las dos redes. Cuando DHCP detecta una discordancia de ID remoto en una sesión de la pila dual, DHCP desgarra esa sesión. El ID remoto entrante se compara entonces con la otra sesión de la pila dual, y si hay una discordancia, esa otra sesión se destruye con gracia.
Durante el proceso de desmontaje agraciado, si la otra sesión se encuentra actualmente en el estado de límite, esa sesión pasa al estado de eliminación diferida. El estado de eliminación diferida permite que la sesión que detectó el cambio se restablezca de inmediato con el nuevo plan de servicio, a la vez que permite que el enrutador descomprima la otra sesión con gracia mediante el envío de mensajes NAK en respuesta a los subsiguientes mensajes de renovación y reencadenados.
Como parte de la función de cambio del servicio iniciado por DHCP, AAA puede establecer el perfil de cliente de una sesión. AAA obtiene el perfil de cliente desde el ID remoto y escribe el perfil en la base de datos de sesión. Un perfil de cliente que AAA escribe en la base de datos siempre tiene prioridad sobre cualquier configuración DHCP local.
Un cambio en el ID remoto del agente también puede iniciar un cambio de servicio durante la reautoentificación. No puede configurar tanto la remote-id-mismatch
instrucción como la reauthenticate
instrucción en el nivel global, [edit system services dhcp-local-server]
. Sin embargo, las reglas de precedencia de DHCP permiten configurar ambas instrucciones cuando se encuentran en diferentes niveles. Por ejemplo, puede configurar reauthenticate
en el nivel global y remote-id-mismatch
para DHCPv6 en el [edit system services dhcp-local-server dhcpv6]
nivel de jerarquía o para un grupo específico en el [edit system services dhcp-local-server group name]
nivel de jerarquía, etc.
Beneficios del cambio de servicio iniciado por DHCP basado en id. remoto
Habilita el servidor DHCP o el agente de retransmisión para actualizar el servicio del cliente cuando se basa en el ID remoto cuando el ID remoto del cliente cambia y no coincide con el ID remoto del agente almacenado anteriormente. En un entorno de doble pila, permite que el servidor DHCP o el agente de retransmisión ayuden a garantizar la coherencia del ID remoto entre las sesiones de la pila dual.
Configuración del cambio de servicio iniciado por DHCP basado en id. remoto
En este tema se describe cómo configurar la compatibilidad con el cambio del servicio iniciado por DHCP en el servidor local DHCP y el agente de retransmisión DHCP.
Configuración del servidor local DHCP
Puede configurar la compatibilidad con el cambio del servicio iniciado por DHCP para el servidor local DHCP y el servidor local DHCPv6 globalmente, o para un grupo de interfaces con nombre.
Para configurar el servidor local DHCP para que admita el cambio del servicio iniciado por DHCP para un grupo con nombre:
Configuración del agente de retransmisión DHCP
Puede configurar la compatibilidad con el cambio de servicio iniciado por DHCP para el agente de retransmisión DHCP y el agente de retransmisión DHCPv6 globalmente, o para un grupo de interfaces con nombre.
En el ejemplo siguiente se muestran los pasos para configurar el agente de retransmisión DHCPv6 para que admita cambios de servicio iniciados por DHCP de forma global.
Antes de iniciar la configuración para la característica de cambio de servicio iniciado por DHCP, asegúrese de que el agente de retransmisión DHCPv6 está configurado para invalidar el comportamiento predeterminado y enviar un mensaje de versión al servidor DHCP cuando se produce una discordancia de ID remoto. Esta configuración es necesaria porque el agente de retransmisión no puede desglosar directamente los enlaces del cliente; el paquete de liberación indica al servidor DHCP que desgarre el enlace original.
[edit forwarding-options dhcp-relay dhcpv6] user@host# set dhcp-relay overrides send-release-on-delete
Especifique que desea configurar el agente de retransmisión DHCP.
[edit forwarding-options] user@host# edit dhcp-relay
Especifique que desea configurar el agente de retransmisión DHCPv6.
[edit forwarding-options dhcp-relay] user@host# edit dhcpv6
Especifique que el agente de retransmisión DHCPv6 coincide con los ID remotos iniciales y nuevos del cliente y, luego, realiza la
disconnect
acción cuando se produce una discordancia.[edit system services dhcp-local-server group northwest-321] user@host# set remote-id-mismatch disconnect
Cuando se produce una discordancia, el agente de retransmisión DHCPv6 envía el mensaje de versión al servidor local DHCPv6 y un mensaje NAK lógico (un paquete de respuesta con una vida útil 0) al cliente. A continuación, el servidor desconecta el enlace existente y el cliente inicia la secuencia de reconexión. El nuevo servicio, que está codificado en la cadena del ID remoto del agente, se activa cuando el cliente se vuelve a conectar.
Acción de solo reenvío de DHCPv4 y DHCPv6 para el tráfico de retransmisión con dirección de servidor DHCP desconocida
La entrada del agente de retransmisión DHCP, que se puede crear en un servidor DHCPv4 o DHCPv6, es útil para la autenticación, la autorización, la contabilidad, la aplicación de filtrado, la garantía de la calidad del servicio (QoS) en el cliente y el procesamiento de las opciones especificadas en el paquete. La creación del agente de retransmisión o entrada de cliente implica la participación de los recursos de memoria de proceso jdhcpd, recursos de base de datos de sesión, procedimiento de autenticación, contabilidad, instanciación de perfil dinámico, creación de interfaz dinámica, firewall, asociación de clase de servicio (CoS) y más. Las redes de clientes pueden contener enlaces no controlados por el cliente para los que es posible que no quieran estas funcionalidades de entrada de agente de retransmisión. Cuando la red de un cliente tiene ese tráfico, la creación de entradas de agente de retransmisión (que está relacionada con la creación de entradas de cliente) utiliza recursos de manera innecesaria y también puede dar lugar a una asociación incorrecta de perfiles, ya que en el escenario de red actual, todo el tráfico recibido desde una interfaz específica se reenvía, sin procesar ninguna dirección de destino.
A partir de Junos OS versión 17.4R1, se puede habilitar una forward-only
configuración en el dispositivo de puerta de enlace de red de banda ancha (BNG) para tráfico no cliente junto con dirección de servidor DHCP desconocida. La configuración de la forward-only
instrucción, junto con las nuevas opciones DHCP paraoption-54
DHCPv4 y option-2
DHCPv6, evita la creación de la entrada del agente de retransmisión DHCP en la BNG y garantiza que el tráfico se reenvíe a la dirección de destino especificada.
Con estas configuraciones, los administradores pueden determinar a qué servidores están vinculados los clientes; cuáles de los clientes necesitan tener una entrada de cliente de relevo creada y un perfil y políticas dinámicas aplicadas, entre otros; y para quién (no cliente) está habilitada la forward-only
configuración.
Las dos instrucciones de configuración nuevas (options-54
y options-2
) se introducen para procesar las direcciones de destino.
- Procesamiento de direcciones de destino DHCPv4 y DHCPv6
- Procesamiento de pedidos y acciones
- Ventajas de la acción solo hacia adelante del relé DHCP
Procesamiento de direcciones de destino DHCPv4 y DHCPv6
Los administradores pueden configurar la forward-only
instrucción para evitar la creación de entradas de cliente que no son clientes. El proceso jdhcpd compara el identificador de servidor (option-54
para DHCPv4 y option-2
DHCPv6) con o sin dirección de destino en el paquete entrante junto con la dirección de servidor configurada. Si el identificador del servidor y la dirección de servidor configurada coinciden, la acción es solo reenviar sin crear la entrada de cliente.
En el relé no superador, la configuración de la server-match
instrucción significa habilitar implícitamente la delay-authentication
instrucción para los clientes para los que se procesa la server-match
instrucción. También puede configurar las opciones 60 y 77 (para DHCPv4) o las opciones 15 y 16 (para DHCPv6) opcionalmente junto con el procesamiento asociado. La configuración de estas opciones también incluye la especificación del orden en el que se procesan. Si estas opciones no están configuradas, el orden predeterminado es 60, 77 para DHCPv4 y 15, 16 para DHCPv6.
Los datos DHCPv6 option-16
tal como se definen en RFC 3315, Protocolo de configuración dinámica de host para IPv6 (DHCPv6) constan de un número de empresa de 4 bytes y la longitud variable de los datos de clase de proveedor. El número de empresa es un número registrado por el proveedor en IANA. Como tal, se prevé que configurar una coincidencia ASCII junto con option-16
una coincidencia de opción de relé no funcione, ya que el número de empresa debe coincidir con el valor de un carácter ASCII imprimible.
Existe una restricción similar para la instrucción DHCPv4 option-77
, ya que los option-77
datos se pueden subdividir para incluir subopciones y subblengths. Debido a esto, es posible que la configuración de una coincidencia ASCII con option-77
una coincidencia de opción de relé no funcione.
En el relé no superador, si se recibe un paquete de solicitud en la fase de reenvío y la entrada de retransmisión correspondiente no está presente, primero debe configurar la bind-on-request
instrucción, después de lo cual se crea la entrada de retransmisión y se reenvía el paquete. Después de recibir un reconocimiento, el proceso jdhcpd verifica la dirección de origen (con o sin la opción 54 para DHCPv4 y la opción 2 para DHCPv6) dentro de la server-match
configuración. Si la verificación da como resultado una entrada sin estado, la entrada de relé se elimina.
El administrador puede especificar el identificador único de DHCP (DUID) con o sin la dirección de un servidor. El proceso jdhcpd primero procesa instrucciones de dirección y, luego, las instrucciones DUID. Si la misma dirección de servidor se especifica en las instrucciones de dirección y la instrucción DUID, es responsabilidad del administrador especificar la misma acción para las instrucciones de dirección y DUID.
En relés pasivos y no pasivos, si el paquete recibido contiene un encabezado de reenvío hacia adelante y la dirección de destino es multidifusión o una dirección local de vínculo, el paquete se reenvía sin ningún procesamiento adicional.
Para los suscriptores de DHCPv4 y DHCPv6, las relay-option
instrucciones y server-match
se encuentran en la misma jerarquía y tienen la misma prioridad.
Procesamiento de pedidos y acciones
Las opciones de retransmisión y el procesamiento de coincidencias de servidor son mutuamente excluyentes. Aunque se encuentran en la misma jerarquía y tienen la misma prioridad, para fines de implementación, procesa las opciones de retransmisión seguidas de la coincidencia del servidor.
Las siguientes son las acciones de procesamiento de opciones de relé DHCPv4:
drop
— Descartar cuando haya una coincidencia.forward-only
— Reenvíe sin servicios de cliente, cuando hay una coincidencia.local-server-group
—Nombre del grupo de servidores locales DHCP cuando hay una coincidencia.relay-server-group
—Nombre del grupo de servidores de retransmisión DHCP cuando hay una coincidencia.
Estas son las acciones de procesamiento de opciones de relé DHCPv6:
drop
— Descartar cuando haya una coincidencia.forward-only
— Reenvíe sin servicios de cliente, cuando hay una coincidencia.relay-server-group
—Nombre del grupo de servidores de retransmisión DHCP cuando hay una coincidencia.
La coincidencia de servidor DHCPv6 para la dirección IPv6 está disponible solo en relé pasivo.
Los pedidos de opciones predeterminados y configurables se procesan como se muestra en la figura 1. Si necesita que se revierta el orden de opciones (ya sea DHCPv4 o DHCPv6), configure option-order 77,66
la instrucción para DHCPv4 o option-order 16,15
la instrucción para DHCPv6 en el nivel de jerarquía [edit forwarding-options dhcp-relay relay-option
].
Ventajas de la acción solo hacia adelante del relé DHCP
Reduce el consumo innecesario de recursos para enlaces no controlados por el cliente que no necesitan las entradas del agente de retransmisión realizadas cuando se crean entradas de cliente.