Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

保护在不同 Vrf 的 DHCP 客户端和服务器之间发送的 DHCP 消息安全

 

Junos OS 允许您使用 DHCP 中继代理在不同 Vrf 之间交换 DHCP 消息时提供额外的安全性。要在不同 Vrf 之间交换 DHCP 消息,您必须启用 DHCP 中继代理的服务器端和客户端,以根据数据包中的 DHCP 选项信息来识别并转发可接受的流量。DHCP 中继代理可确保客户端虚拟路由和转发实例(VRF)与 DHCP 服务器 VRF 之间没有直接路由,并且只有可接受的 DHCP 数据包在两个 Vrf 内中继。有关更多信息,请阅读本主题。

不同 Vrf 的 DHCP 客户端与 DHCP 服务器之间的 DHCP 消息交换

在某些服务提供商网络中,DHCP 服务器驻留的服务网络与实际订阅者网络隔离。这种服务和订阅者网络的分离有时会带来潜在的安全问题,例如路由泄漏。 从 Junos OS 版本14.2 开始,您可以使用 DHCP 中继代理在不同 Vrf 之间交换 DHCP 消息时提供额外的安全性。DHCP 中继代理可确保客户端虚拟路由和转发实例(VRF)与 DHCP 服务器 VRF 之间没有直接路由,并且只有可接受的 DHCP 数据包在两个 Vrf 内中继。订阅者管理支持 DHCP 和 DHCPv6 数据包的跨 VRF 消息交换。

要在不同 Vrf 之间交换 DHCP 消息,您必须启用 DHCP 中继代理的服务器端和客户端,以根据数据包中的 DHCP 选项信息识别并转发可接受的流量。消息交换使用用于 DHCPv6 数据包的代理电路 ID (DHCP 选项 82 suboption 1)和用于识别要中继的流量的中继代理接口 ID (DHCPv6 选项18)。

在客户端 VRF 中计算使用跨 VRF 消息交换的 DHCP 数据包的统计信息。

以下列表介绍了 DHCP 中继代理如何在不同 Vrf 中交换 DHCP 客户端和 DHCP 服务器之间的消息:

  • 从 DHCP 客户端到 DHCP 服务器—dhcp 中继代理的数据包从客户端 VRF 的客户端接收 DHCP 数据包,然后将相应的 DHCP 选项 82 suboption 1 或 DHCPv6 option 18 属性插入数据包中。然后,中继代理会将数据包转发至服务器’VRF 中的 DHCP 服务器。

  • 从 DHCP 服务器到 DHCP 客户端—DHCP 中继代理的数据包从服务器 VRF 中的 dhcp 服务器接收 dhcp 答复消息。在 DHCP 服务器 VRF 的数据包’中,中继代理从 dhcp 选项 82 suboption 1 或 DHCPv6 选项18属性中派生客户端接口,包括 VRF。然后,中继代理会将回复消息转发至客户端’VRF 中的 DHCP 客户端。

在不同虚拟路由实例中配置 DHCP 服务器和客户端之间的 DHCP 消息交换

从 Junos OS 版本14.2 开始,您可以配置 DHCP 中继代理,以便在驻留在不同虚拟路由和转发实例(Vrf)的 DHCP 服务器和 DHCP 客户端之间交换 DHCP 消息时提供额外的安全性。

您可以配置 DHCP 中继代理,以便在驻留在不同虚拟路由实例中的 DHCP 服务器和 DHCP 客户端之间交换 DHCP 消息时提供额外的安全性。当 DHCP 服务器位于必须与客户端网络隔离的网络中时,此类配置用于 DHCP 服务器与 DHCP 客户端之间的无状态DHCP 中继连接。

无状态 DHCP 中继代理不会维护有关 DHCP 客户端的动态状态信息,也不会维护在客户端和服务器路由实例之间流动的信息流的静态路由。

要在两个 Vrf 之间启用 DHCP 消息交换,请将 DHCP 中继的每一侧配置为根据数据包中的 DHCP 选项信息识别并转发可接受的流量。可接受的信息流由用于 DHCPv4 数据包的代理电路 ID (DHCP 选项 82 suboption 1)或用于 DHCPv6 数据包的中继代理接口 ID (DHCPv6 选项18)标识。

以下列表概述了在不同 Vrf 之间创建 DHCP 消息交换所需执行的任务:

  • 客户端支持—将 dhcp 中继代理forward-only语句配置为指定 dhcp 服务器的 VRF 位置,dhcp 中继代理将客户端数据包转发至此。该forward-only语句可确保 DHCP 中继代理不会创建新会话或执行任何其他订阅者管理操作(例如创建动态接口或维护租约)。

    您可以选择为服务器 VRF 配置特定的逻辑系统和路由实例。如果不指定逻辑系统或路由实例,DHCP 将使用本地逻辑系统和路由实例,从中添加配置。

  • 服务器端支持—配置 DHCP 中继代理forward-only-replies语句,以便 DHCP 中继代理转发具有相应 DHCP 选项信息的回复数据包。此语句还可确保 DHCP 中继代理不会创建新会话或执行任何其他订阅者管理操作。

    注意

    如果 DHCP 客户端和 DHCP 服务器forward-only-replies驻留在同一个逻辑系统/路由实例中,则无需配置该语句。

  • DHCP 本地服务器支持—将 dhcp 本地服务器配置为支持 dhcp NAK 和 forcerenew 消息中的选项82信息。默认情况下,这两种消息类型不支持选项82。

  • 附加支持—确保配置了以下必需的支持:

    • 必须在 DHCP 服务器 VRF 中面向服务器的接口上启用代理 ARP 支持,以便 DHCP 中继代理可以接收和响应 DHCP 服务器 VRF 中客户端和面向客户端的接口的 ARP 请求。

    • 路由必须可用于从服务器 VRF 中的 DHCP 服务器接收 DHCP 数据包,以便客户端 VRF 中可访问的客户端。

以下过程介绍了在不同 Vrf 的 DHCP 服务器和客户端之间创建 DHCP 消息交换的配置任务。

客户端支持

要在 DHCP 中继代理的客户端配置支持:

  1. 启用 DHCP 中继代理配置。
  2. 指定 dhcp 中继代理从 DHCP 客户端转发数据包的 DHCP 服务器 VRF。DHCP 中继代理转发具有相应 DHCP 选项信息的可接受数据包,但不执行任何其他订阅者管理操作。您可以全局配置forward-only此语句,也可针对命名的接口组或用于 DHCPv4 或 DHCPv6。您可以为服务器 VRF 指定当前、默认或特定逻辑系统或路由实例。

    下面的示例为 DHCPv4 forward-only全局配置语句,并指定默认逻辑系统和路由实例:

注意

对于本地 DHCPv4 客户端,DHCP 中继代理会添加代理电路 ID 选项。但是,如果数据包中已存在代理电路 ID 选项,则必须确保 DHCP 服务器支持选项82供应商特定信息 suboption (suboption 9)。

如果在forward-only[edit forwarding-options dhcp-relay relay-option]层次结构级别上配置该语句,则该中继选项操作优先于 DHCP 跨 VRF 消息交换的forward-only语句配置。

服务器端支持

要在 DHCP 中继的服务器端配置跨 VRF 消息交换支持:

注意

如果 DHCP 客户端和 DHCP 服务器forward-only-replies驻留在同一个逻辑系统/路由实例中,则无需配置该语句。

  1. 启用 DHCP 中继代理配置。
  2. 配置 DHCP 中继代理,将 dhcp 数据包从 DHCP 服务器 VRF 转发至客户端。DHCP 中继代理只转发数据包,而不执行任何附加订阅者管理操作。您可以为 DHCPv4 forward-only-replies和 DHCPv6 配置全局语句。

    下面的示例为 DHCPv4 forward-only-replies配置全局语句。

DHCP 本地服务器支持

将 DHCP 本地服务器配置为支持 NAK 和 forcerenew 消息中的选项82信息;跨 VRF 消息交换功能使用选项82或 DHCPv6 选项18信息来确定客户端 VRF:

  1. 启用 DHCP 本地服务器配置。
  2. 指定要配置覆盖选项。
  3. 配置 DHCP 本地服务器以覆盖 DHCP NAK 和 forcerenew 消息中的默认行为和支持选项82信息。您可以为一组接口或特定接口,全局配置覆盖操作。

相关主题

Release History Table
版本
说明
从 Junos OS 版本14.2 开始,您可以使用 DHCP 中继代理在不同 Vrf 之间交换 DHCP 消息时提供额外的安全性。
从 Junos OS 版本14.2 开始,您可以配置 DHCP 中继代理,以便在驻留在不同虚拟路由和转发实例(Vrf)的 DHCP 服务器和 DHCP 客户端之间交换 DHCP 消息时提供额外的安全性。