Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

扩展 DHCP 本地服务器

 

扩展 DHCP 本地服务器提供 IP 地址和其他配置信息以响应客户端请求。扩展的 DHCP 本地服务器通过在用户感知环境中提供额外的地址分配和客户端配置功能和灵活性,增强了传统的 DHCP 服务器操作。有关信息,请阅读本主题。

扩展 DHCP 本地服务器概述

Junos OS 包括扩展的 DHCP 本地服务器,可通过在用户感知环境中提供额外的地址分配和客户端配置功能和灵活性来增强传统的 DHCP 服务器操作。除了对传统本地地址池的持续支持之外,扩展 DHCP 本地服务器还使服务提供商能够利用外部地址分配池和集成的基于 RADIUS 的配置功能。由于地址分配池是 DHCP 本地服务器外部的,因此将其视为 external。池的管理独立于 DHCP 本地服务器,并可由不同的客户端应用程序共享,例如 DHCP 或 PPPoE 访问。表 1提供扩展 DHCP 本地服务器和传统 DHCP 本地服务器的比较。

扩展 DHCP 本地服务器提供 IP 地址和其他配置信息以响应客户端请求。该服务器支持动态配置文件的附件,并且还与本地 AAA 服务框架交互,以使用后端认证服务器(如 RADIUS)提供 DHCP 客户端身份验证。您可以在全局基础上或特定接口组配置动态配置文件和身份验证支持。

表 1: 将扩展 DHCP 本地服务器与传统 DHCP 本地服务器进行比较

功能

扩展 DHCP 本地服务器

传统 DHCP 本地服务器

本地地址池

X

X

外部、集中管理的地址池

X

本地配置

X

X

使用地址分配池或 RADIUS 服务器中的信息的外部配置

X

动态配置文件附件

X

基于 RADIUS 的用户身份验证以及使用 RADIUS 属性和瞻博网络 Vsa 的配置

X

IPv6 客户端支持

X

默认的最低客户端配置

X

X

您还可以将扩展的 DHCP 本地服务器配置为支持 IPv6 客户端。DHCP 本地服务器和 DHCPv6 本地服务器均支持特定地址请求功能,允许您将特定地址分配给客户端。

注意

如果您删除 DHCP 服务器配置,DHCP 服务器绑定可能仍然保留。要确保卸下 DHCP 绑定,请在删除 DHCP clear dhcp server binding服务器配置之前发出命令。

本概述包括:

DHCP 客户端、扩展 DHCP 本地服务器和地址分配池之间的交互

无论您使用的是路由器还是交换机,DHCP 本地服务器、DHCP 客户端和地址分配池之间的交互模式都是相同的。但是,对用法细节有一些差异。

  • 在典型—运营商边缘网络配置中的路由器上,dhcp 客户端位于订阅’者计算机或客户现场设备(CPE)上,并且 dhcp 本地服务器配置在路由器上。

  • 在典型—网络配置中的交换机上,dhcp 客户端位于接入设备(如个人计算机)上,dhcp 本地服务器则在交换机上配置。

以下步骤提供了 DHCP 本地服务器、DHCP 客户端和地址分配池之间的交互的高级描述:

  1. DHCP 客户端向网络中的一个或多个 DHCP 本地服务器发送发现数据包,以获取订阅者(或 DHCP 客户端)的配置参数和 IP 地址。
  2. 每个接收发现数据包的 DHCP 本地服务器都会在其地址分配池中搜索客户端地址和配置选项。每个本地服务器在其内部客户端表中创建一个条目,以保持客户端状态的跟踪,然后将 DHCP 提供数据包发送至客户端。
  3. 收到提供数据包时,DHCP 客户端会选择 DHCP 本地服务器,从其获取配置信息并发送请求数据包,指示选择用于授予地址和配置信息的 DHCP 本地服务器。
  4. 选定的 DHCP 本地服务器向客户端发送一个确认数据包,其中包含客户端地址租约和配置参数。该服务器还安装主机路由和 ARP 条目,然后监控租约状态。

提供 DHCP 客户端配置信息

当扩展 DHCP 应用程序收到来自外部认证服务器的响应时,响应可能包括 IP 地址和子网掩码以外的信息。扩展 DHCP 应用程序使用来自身份验证的信息授予 DHCP 应用程序发送至 DHCP 客户端的响应。DHCP 应用程序可按其原始格式发送信息,或者应用程序可能会将信息与本地配置规格进行合并。例如,如果身份验证授权包含一个地址池名称,而本地配置指定了该池的 DHCP 属性(如 DNS 服务器地址),则扩展 DHCP 应用程序将身份验证结果和回复中的属性合并服务器是否发送至客户端。

本地配置是可选—的客户端可由外部认证服务完全配置。但是,如果外部认证服务不提供客户端配置,则可能需要配置本地地址分配池,以便为客户端提供配置信息(如 DNS 服务器)。当本地配置指定选项时,扩展的 DHCP 应用程序会将本地配置选项添加至服务器发送至客户端的提供 PDU 中。如果两组选项重叠,则来自外部服务的认证响应中的选项优先。

使用 RADIUS 提供认证时,附加信息可能采用 RADIUS 属性和瞻博网络 Vsa 的形式。表 2列出了 RADIUS 可能包括在身份验证授权中的信息。请参阅RADIUS Attributes and Juniper Networks VSAs Supported by the AAA Service Framework ,以获取 RADIUS 属性以及瞻博网络 vsa 的完整列表,扩展的 DHCP 应用程序支持订阅者访问管理或 DHCP 管理。

表 2: 身份验证授权中的信息

属性编号

属性名称

Description

RADIUS 属性8

帧 IP 地址

客户端 IP 地址

RADIUS 属性9

帧 IP-子网掩码

客户端 IP 地址的子网掩码(DHCP 选项1)

瞻博网络 VSA 26-4

主 DNS

主域服务器(DHCP 选项6)

瞻博网络 VSA 26-5

二级 DNS

辅助域服务器(DHCP 选项6)

瞻博网络 VSA 26-6

主要-WINS

主 WINS 服务器(DHCP 选项44)

瞻博网络 VSA 26-7

辅助 WINS

辅助 WINS 服务器(DHCP 选项44)

RADIUS 属性27

会话超时

租用时间

RADIUS 属性88

带框池

地址分配池名称

瞻博网络 VSA 26-109

DHCP 导向式中继服务器

DHCP 中继服务器

客户端的最低配置

如果客户端未配置 DHCP 选项55,则扩展 DHCP 本地服务器为 DHCP 客户端提供最小配置。服务器提供为客户端选择的地址分配池的子网掩码。除了子网掩码,如果在选定地址分配池中配置了信息,服务器将向客户端提供以下值:

  • router—位于客户’端子网上的路由器。此语句等效于 DHCP 选项3。

  • domain name—客户端在其中搜索 DHCP 服务器主机的域的名称。这是附加到未完全合格的主机名的默认域名。这相当于 DHCP 选项15。

  • domain name server—一种域名系统(DNS)名称服务器,可供客户端对主机名到客户端映射进行解析。这相当于 DHCP 选项6。

DHCP 本地服务器和地址分配池

在传统 DHCP 服务器操作中,客户端地址池和客户端配置信息驻留在 DHCP 服务器上。通过扩展 DHCP 本地服务器,客户端地址和配置信息驻留在外部地址分配池中(DHCP 本地服务器外部)。外部地址分配池由 authd进程独立于 DHCP 本地服务器,可由不同的客户端应用程序共享。

扩展 DHCP 本地服务器还支持高级池匹配和命名地址范围的使用。您还可以将本地服务器配置为在客户端 PDU 中使用 DHCP 选项82信息,以确定特定客户端使用的命名地址范围。在地址分配池中配置的客户端配置信息包括用户定义的选项,例如启动服务器、宽限期和租用时间。

配置包含扩展 DHCP 本地服务器的 DHCP 环境需要两个独立的配置操作,您可以按任意顺序完成这些工作。在一个操作中,您可在路由器上配置扩展 DHCP 本地服务器,并指定 DHCP 本地服务器如何确定要使用的地址分配池。在另一个操作中,您可以配置 DHCP 本地服务器使用的地址分配池。地址分配池包含 DHCP 客户端的 IP 地址、命名地址范围和配置信息。

注意

服务器使用的扩展 DHCP 本地服务器和地址分配池必须配置在相同的逻辑系统和路由实例中。

示例:最低扩展 DHCP 本地服务器配置

此示例显示您需要用于路由器或交换机上的扩展 DHCP 本地服务器的最小配置:

注意

本主题中的接口类型只是一个示例。EX fe-系列交换机不支持此接口类型。

此示例创建名为group_one的服务器组,并指定在该组内的接口fe-0/0/2.0上启用 DHCP 本地服务器。DHCP 本地服务器使用以下各项的默认池匹配配置ip-address-first.

注意

如果您删除 DHCP 服务器配置,DHCP 服务器绑定可能仍然保留。要确保卸下 DHCP 绑定,请在删除 DHCP clear dhcp server binding服务器配置之前发出命令。

禁用对孤立的 DHCP 请求的自动绑定

收到的 DHCP 请求在数据库中没有输入,称为游离请求。默认情况下,DHCP 中继、DHCP 中继代理和 DHCPv6 中继代理尝试通过创建数据库条目并将请求转发至 DHCP 服务器来绑定发出请求的客户端。如果服务器响应 ACK,则会绑定客户端,并将确认转发至客户端。如果服务器响应 NAK,则会删除该数据库条目,并将 NAK 转发至客户端。无论是否配置了身份验证,都将发生此行为。

您可以覆盖全局级别、命名的接口组或命名组内特定接口的默认配置。覆盖默认值会导致 DHCP 中继、DHCP 中继代理和 DHCPv6 中继代理丢弃所有孤立的请求,而不是尝试绑定客户端。

注意

受游离请求的自动绑定默认情况下处于启用状态。

  • 要禁用自动绑定行为,请在no-bind-on-request全局、组或接口级别配置 DHCP 覆盖时包含该语句。

  • 要覆盖 DHCPv6 中继代理的默认行为,请在[edit forwarding-options dhcp-relay dhcpv6]层次结构级别配置覆盖。

以下两个示例显示的配置可禁用对一组接口的游离请求的自动绑定,以及在特定接口上禁用自动绑定的配置。

要在一组接口上禁用孤立请求的自动绑定:

  1. 指定已命名的组。
  2. 指定要配置覆盖。
  3. 禁用组的自动绑定。

要在特定接口上禁用孤立请求的自动绑定:

  1. 指定接口是其成员的命名组。
  2. 指定要禁用自动绑定的接口。
  3. 指定要配置覆盖。
  4. 禁用接口上的自动绑定。

为 DHCP 本地服务器身份验证配置令牌

您可以配置身份验证令牌,以提供对意外实例化 DHCP 服务器的初级保护。您可以将本地服务器配置为在 DHCP forcerenew 消息中包含一个常量、未编码的标记,作为它发送给客户端的身份验证选项的一部分。如果服务提供商以前使用令牌配置了 DHCP 客户端,则客户端可以将该令牌与新接收的令牌进行比较。如果令牌不匹配,DHCP 客户端将丢弃 forcerenew 消息。此功能对应于 RFC 3118, DHCP 消息身份验证,第4节。

必要将 DHCP 本地服务器配置为在发送至客户端的 forcerenew 消息中包含标记,请对所有客户端:

  • 指定令牌。

    对于 DHCPv4:

    对于 DHCPv6:

必仅适用于特定客户端组:

  • 指定令牌。

    对于 DHCPv4:

    对于 DHCPv6:

在 EX 系列交换机上配置扩展 DHCP 中继服务器(CLI 过程)

您可以将 EX 系列交换机配置为用作扩展 DHCP 中继代理。这意味着本地连接的主机可以将 DHCP 请求作为广播消息发出,而为 DHCP 中继配置的交换机将消息中继到指定的 DHCP 服务器。如果您有本地连接的主机和远程 DHCP 服务器,请将交换机配置为 DHCP 中继代理。

开始之前:

  • 确保交换机可连接到 DHCP 服务器。

要将交换机配置为用作扩展 DHCP 中继代理服务器,请执行以下操作:

  1. 至少创建一个 DHCP 服务器组,这是一组1到 5 DHCP 服务器 IP 地址:
  2. 设置全局活动 DHCP 服务器组。DHCP 中继服务器将 DHCP 客户端请求中继到活动服务器组中定义的 DHCP 服务器:
  3. 创建至少包含一个接口的 DHCP 中继组。DHCP 中继在 DHCP 组中定义的接口上运行:
  4. 必在全局级别上配置默认 DHCP 中继行为的覆盖。请参阅overrides语句中的覆盖选项。
  5. 必在全局级别,将 DHCP 中继配置为使用 DHCP 客户端 数据包中的 dhcp 供应商类标识符选项(选项60):
  6. 必使用以下语句配置在全局级别覆盖设置的 DHCP 中继组的设置:
  7. 必为 DHCP 中继组接口配置设置,以覆盖全局和 级别,使用以下语句:

验证和管理 DHCP 本地服务器配置

用途

查看或清除扩展 DHCP 本地服务器的客户端地址绑定和统计信息。

注意

如果您删除 DHCP 服务器配置,DHCP 服务器绑定可能仍然保留。要确保卸下 DHCP 绑定,请在删除 DHCP clear dhcp server binding服务器配置之前发出命令。

操作

  • 要在扩展 DHCP 本地服务器的客户端表中显示地址绑定:

  • 要显示扩展 DHCP 本地服务器统计信息:

  • 要从扩展 DHCP 本地服务器上的客户端表中清除 DHCP 客户端的绑定状态:

  • 要清除所有扩展的 DHCP 本地服务器统计信息: