Agente de retransmissão DHCPv6
O agente de retransmissão DHCPv6 melhora o agente de retransmissão DHCP fornecendo suporte em uma rede IPv6. O agente de transmissão DHCPv6 passa mensagens entre o cliente DHCPv6 e o servidor DHCPv6, semelhante à forma como o agente de transmissão DHCP oferece suporte a uma rede IPv4. Os agentes de transmissão DHCPv6 eliminam a necessidade de ter um servidor DHCPv6 em cada rede física. Para obter mais informações sobre como inserir o DHCPv6 Interface-ID (Opção 18), ID Remoto (Opção 37) ou Endereço MAC do Cliente (Opção 79) em pacotes DHCPv6 e verificar a configuração DHCPv6, leia este tópico.
Visão geral do agente de retransmissão DHCPv6
Quando um cliente DHCPv6 faz login, o agente de retransmissão DHCPv6 usa a estrutura de serviço AAA para interagir com o servidor RADIUS para fornecer autenticação e contabilidade. O servidor RADIUS, que é configurado independentemente do DHCP, autentica o cliente e fornece os parâmetros de prefixo IPv6 e configuração do cliente, como o tempo de sessão e o número máximo de clientes permitidos por interface.
Os roteadores de transporte de pacotes da Série PTX não oferecem suporte à autenticação para agentes de transmissão DHCPv6.
As seguintes funcionalidades DHCPv6 não são suportadas em roteadores da Série ACX:
Autenticação de assinantes para agentes de transmissão DHCPv6
DHCP bisbilhotando
Cliente DHCPv6
Detecção de liveness
Perfis dinâmicos
Opção 37 de suporte para inserção remota de ID
Detecção de encaminhamento bidirecional (BFD) para transmissão DHCPv6
O agente de transmissão DHCPv6 é compatível com o servidor local DHCP e o agente de retransmissão DHCP, e pode ser habilitado na mesma interface que o servidor local DHCP ou o agente de transmissão DHCP.
Para configurar o agente de retransmissão DHCPv6 no roteador (ou switch), você inclui a dhcpv6
declaração no nível de [edit forwarding-options dhcp-relay]
hierarquia.
Você também pode incluir a dhcpv6
declaração nos seguintes níveis de hierarquia:
[edit logical-systems logical-system-name forwarding-options dhcp-relay]
[edit logical-systems logical-system-name routing-instances routing-instance-name forwarding-options dhcp-relay]
[edit routing-instances routing-instance-name forwarding-options dhcp-relay]
Consulte o monitoramento e o gerenciamento DHCPv6 para obter comandos específicos para visualizar e limpar as vinculações e estatísticas do DHCPv6.
Configuração do agente de retransmissão DHCPv6
O agente de retransmissão DHCPv6 opera como a interface para transmitir mensagens entre clientes DHCPv6 e o servidor DHCPv6 em diferentes redes IP.
O exemplo descreve como configurar o agente de retransmissão DHCPv6 no firewall da Série SRX. O firewall da Série SRX que atua como agente de transmissão DHCPv6 é responsável pelo encaminhamento das solicitações e respostas entre os clientes DHCPv6 e o servidor que fazem parte de diferentes instâncias de roteamento.
Requisitos
A configuração do agente de retransmissão DHCPv6 foi testada nos seguintes componentes de hardware e software:
-
Firewalls da Série SRX com Junos OS 22.3R1 ou posteriores.
Visão geral
Você pode configurar o agente de transmissão DHCPv6 para fornecer segurança adicional ao trocar mensagens DHCPv6 entre um servidor DHCPv6 e clientes DHCPv6 que residem em diferentes instâncias de roteamento virtual. Esse tipo de configuração é para conexão de transmissão DHCPv6 entre um servidor DHCPv6 e um cliente DHCPv6, quando o servidor DHCPv6 reside em uma rede isolada da rede do cliente.
Topologia
Para trocar mensagens DHCPv6 entre diferentes instâncias de roteamento, você deve habilitar tanto a interface voltada para o servidor quanto a interface voltada para o cliente do agente de transmissão DHCPv6 para reconhecer e encaminhar pacotes DHCPv6.
A Figura 1 a seguir mostra o desempenho do DHCPv6 como servidor local DHCPv6, cliente DHCPv6 e agente de retransmissão DHCPv6
A lista a seguir fornece uma visão geral das tarefas necessárias para criar a troca de mensagens DHCPv6 entre as diferentes instâncias de roteamento:
-
Configure o lado voltado para o cliente do agente de transmissão DHCPv6.
-
Configure o lado voltado para o servidor do agente de transmissão DHCPv6.
-
Configure a zona de segurança para permitir o protocolo DHCPv6.
Tabela1: Parâmetros de retransmissão DHCPv6:
Parâmetros
Detalhes do lado do cliente
Detalhes do lado do servidor
Interface
ge-0/0/3,0
ge-0/0/4,0
interface de roteamento
trust-vr
vr não confiável
endereço ip
2001:db8:12:1/64
2001:db8:23:1/64
Nota:Para fazer essa configuração funcionar, o servidor DHCPv6 que conecta a rota e a rota da interface do agente de retransmissão deve estar em ambas as instâncias de roteamento. Por exemplo, na topologia acima, a rota do servidor 2001:db8:34:/64 precisa ser compartilhada com o VR de transmissão dhcp, e a rota de interface de retransmissão dhcp 2001:db8:12:/64 precisa ser compartilhada com a instância de roteamento padrão.
Além disso, uma configuração falsa de retransmissão dhcp deve ser adicionada na instância de roteamento com o servidor DHCPv6. Se isso não estiver configurado, o transmissor dhcp não poderá receber pacotes do servidor DHCPv6.
Configuração
Configuração rápida da CLI
Os procedimentos a seguir descrevem as tarefas de configuração para criar a troca de mensagens DHCPv6 entre o servidor DHCPv6 e os clientes em diferentes instâncias de roteamento. Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
Configuração rápida para suporte voltado para o cliente:
set routing-instances trust-vr instance-type virtual-router set routing-instances trust-vr interface ge-0/0/3.0 set interfaces ge-0/0/3 unit 0 family inet6 address 2001:db8:12::1/64
Configuração rápida para suporte voltado para servidor:
set routing-instances untrust-vr instance-type virtual-router set routing-instances untrust-vr interface ge-0/0/4.0 set routing-instances untrust-vr forwarding-options dhcp-relay dhcpv6 forward-only-replies set interfaces ge-0/0/4 unit 0 family inet6 address 2001:db8:23::1/64
Configuração rápida para suporte ao retransmissão DHCPv6:
set routing-instances untrust-vr forwarding-options dhcp-relay dhcpv6 server-group dummy-config set routing-instances untrust-vr routing-options instance-import import_relay_route_to_server_vr set routing-instances untrust-vr routing-options static route 2001:db8:34::/64 next-hop 2001:db8:23::2 set routing-instances trust-vr forwarding-options dhcp-relay dhcpv6 server-group server-1 2001:db8:34::2 set routing-instances trust-vr forwarding-options dhcp-relay dhcpv6 active-server-group server-1 set routing-instances trust-vr forwarding-options dhcp-relay dhcpv6 group relay-in-vr interface ge-0/0/3.0 set routing-instances trust-vr routing-options instance-import export_dhcp_server_route set policy-options policy-statement export_dhcp_server_route term 1 from instance untrust-vr set policy-options policy-statement export_dhcp_server_route term 1 from route-filter 2001:db8:34::/64 exact set policy-options policy-statement export_dhcp_server_route term 1 then accept set policy-options policy-statement export_dhcp_server_route term 2 then reject set policy-options policy-statement import_relay_route_to_server_vr term 1 from instance trust-vr set policy-options policy-statement import_relay_route_to_server_vr term 1 from route-filter 2001:db8:12::/64 exact set policy-options policy-statement import_relay_route_to_server_vr term 1 then accept set policy-options policy-statement import_relay_route_to_server_vr term 2 then reject set routing-options static route 2001:db8:34::2/64 next-table untrust-vr.inet.0
Configuração rápida para zona de segurança para permitir o protocolo DHCPv6:
set security policies default-policy permit-all set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3.0 host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/3.0 host-inbound-traffic protocols all
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar o suporte no lado voltado para o cliente do agente de transmissão DHCPv6:
-
Defina um tipo de instância de roteamento como roteador virtual.
[edit] user@host# set routing-instances trust-vr instance-type virtual-router
-
Definir uma interface para o roteador virtual
[edit] user@host# set routing-instances trust-vr interface ge-0/0/3.0
-
Definir o endereço IP para a interface.
[edit] user@host# set interfaces ge-0/0/3 unit 0 family inet6 address 2001:db8:12::1/64
Procedimento
Procedimento passo a passo
Para configurar o suporte no lado voltado para o servidor do agente de transmissão DHCPv6:
-
Definir um roteador virtual.
[edit] user@host# set routing-instances untrust-vr instance-type virtual-router
-
Definir uma interface para o roteador virtual.
[edit] user@host# set routing-instances untrust-vr interface ge-0/0/4.0
-
Defina a opção de respostas somente para o futuro.
[edit] user@host# set routing-instances untrust-vr forwarding-options dhcp-relay dhcpv6 forward-only-replies
-
Definir o endereço IP para a interface.
[edit] user@host# set interfaces ge-0/0/4 unit 0 family inet6 address 2001:db8:23::1/64
Procedimento
Procedimento passo a passo
Para configurar o servidor local DHCPv6 para oferecer suporte:
-
Definir a configuração em dhcp-relay para instâncias de roteamento vr não confiáveis
[edit ] user@host# set routing-instances untrust-vr forwarding-options dhcp-relay dhcpv6 server-group dummy-config user@host# set routing-instances untrust-vr routing-options instance-import import_relay_route_to_server_vr user@host# set routing-instances untrust-vr routing-options static route 2001:db8:34::/64 next-hop 2001:db8:23::2
-
Definir a configuração em dhcp-relay para instância de roteamento trust-vr
[edit ] user@host# set routing-instances trust-vr forwarding-options dhcp-relay dhcpv6 server-group server-1 2001:db8:34::2 user@host# set routing-instances trust-vr forwarding-options dhcp-relay dhcpv6 active-server-group server-1 user@host# set routing-instances trust-vr forwarding-options dhcp-relay dhcpv6 group relay-in-vr interface ge-0/0/3.0 user@host# set routing-instances trust-vr routing-options instance-import export_dhcp_server_route
-
Defina a configuração para compartilhar rotas entre instâncias de roteamento.
[edit ] user@host# set policy-options policy-statement export_dhcp_server_route term 1 from instance untrust-vr user@host# set policy-options policy-statement export_dhcp_server_route term 1 from route-filter 2001:db8:34::/64 exact user@host# set policy-options policy-statement export_dhcp_server_route term 1 then accept user@host# set policy-options policy-statement export_dhcp_server_route term 2 then reject user@host# set policy-options policy-statement import_relay_route_to_server_vr term 1 from instance trust-vr user@host# set policy-options policy-statement import_relay_route_to_server_vr term 1 from route-filter 2001:db8:12::/64 exact user@host# set policy-options policy-statement import_relay_route_to_server_vr term 1 then accept user@host# set policy-options policy-statement import_relay_route_to_server_vr term 2 then reject user@host# set routing-options static route 2001:db8:34::2/64 next-table untrust-vr.inet.0
Nota:Você pode habilitar um firewall da Série SRX para funcionar como um servidor local DHCPv6. O servidor local DHCPv6 oferece um endereço IP e outras informações de configuração em resposta a uma solicitação do cliente.
Procedimento
Procedimento passo a passo
Configurar a zona de segurança para permitir o protocolo DHCPv6:
-
Defina a política de segurança padrão para permitir todo o tráfego.
[edit ] user@host# set security policies default-policy permit-all
-
Definir todos os serviços e protocolos do sistema na interface ge-0/0/4.0.
[edit ] user@host# set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic protocols all
-
Defina todos os serviços e protocolos do sistema na interface ge-0/0/3.0.
[edit ] user@host# set security zones security-zone trust interfaces ge-0/0/3.0 host-inbound-traffic system-services all user@host# set security zones security-zone trust interfaces ge-0/0/3.0 host-inbound-traffic protocols all
Resultados
-
Resultado do suporte voltado para o cliente:
A partir do modo de configuração, confirme sua configuração entrando no show routing-instances
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show routing-instances trust-vr { instance-type virtual-router; interface ge-0/0/3.0; }
-
Resultado do suporte voltado para o servidor:
A partir do modo de configuração, confirme sua configuração entrando no
show routing-instances
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show routing-instances untrust-vr { instance-type virtual-router; interface ge-0/0/4.0; forwarding-options { dhcp-relay { forward-only-replies; } } }
-
Resultado do suporte ao servidor local DHCPv6:
A partir do modo de configuração, confirme sua configuração entrando no
show routing-instances
eshow policy-options
show routing-options
comanda. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show routing-instances trust-vr { routing-options { instance-import export_dhcp_server_route; } forwarding-options { dhcp-relay { server-group { server-1 { 2001:db8:34::2; } } active-server-group server-1; group relay-in-vr { interface ge-0/0/3.0; } } } } untrust-vr { routing-options { static { route 2001:db8:34::/64 next-hop 2001:db8:23::2; } instance-import import_relay_route_to_server_vr; } forwarding-options { dhcp-relay { server-group { dummy-config; } } } } [edit] user@host# show policy-options policy-statement export_dhcp_server_route { term 1 { from { instance untrust-vr; route-filter 2001:db8:34::/64 exact; } then accept; } term 2 { then reject; } } policy-statement import_relay_route_to_server_vr { term 1 { from { instance trust-vr; route-filter 2001:db8:12::/64 exact; } then accept; } term 2 { then reject; } } [edit] user@host# show routing-options static { route 2001:db8:34::2/64 next-table untrust-vr.inet.0; }
-
Resultado para a zona de segurança permitir o protocolo DHCPv6:
A partir do modo de configuração, confirme sua configuração inserindo os
show security policies
comandos eshow security zones
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security zones security-zone HOST { interfaces { all; } } security-zone untrust { interfaces { ge-0/0/4.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } } } security-zone trust { interfaces { ge-0/0/3.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Insira a opção de interface-ID DHCPv6 (Opção 18) em pacotes DHCPv6
Você pode configurar o agente de retransmissão DHCPv6 para inserir o DHCPv6 Interface-ID (opção 18) nos pacotes que o relé envia para um servidor DHCPv6. Você pode configurar o suporte da opção 18 no nível global ou de grupo DHCPv6.
Ao configurar o suporte da opção 18, você pode incluir opcionalmente as seguintes informações adicionais:
Prefixo — Especifique a opção
prefix
de adicionar um prefixo ao identificador de interface. O prefixo pode ser qualquer combinação de nome de host, nome do sistema lógico e nome de instância de roteamento.Descrição da interface — Especifique a opção
use-interface-description
de incluir a descrição da interface textual em vez do identificador de interface. Você pode incluir a descrição da interface do dispositivo ou a descrição da interface lógica.Opção 82 Agent Circuit ID suboption (subopção 1)— Especifique a opção
use-option-82
de incluir a opção DHCPv4 Option 82 Agent Circuit ID suboption (subopção 1). Essa configuração é útil em um ambiente dual-stack, que tem assinantes DHCPv4 e DHCPv6 que residem na mesma interface lógica subjacente. O roteador verifica o valor da opção 82 suboption 1 e o insere nos pacotes de saída. Se não houver nenhuma ligação DHCPv4 ou se a ligação não tiver um valor de subopção 1 de opção 82, o roteador envia os pacotes sem adicionar uma opção 18.
Se você especificar uma das configurações opcionais e as informações especificadas não existirem (por exemplo, não há descrição da interface), o transmissão DHCPv6 ignora a configuração opcional e insere o identificador de interface padrão nos pacotes.
Para inserir a opção interface-ID DHCPv6 (opção 18) em pacotes DHCPv6:
Veja também
Insira a opção de ID remoto DHCPv6 (Opção 37) em pacotes DHCPv6
A partir do Junos OS Release 14.1, você pode configurar o agente de retransmissão DHCPv6 para inserir o DHCPv6 Remote-ID (opção 37) nos pacotes que o relé envia para um servidor DHCPv6. Você pode configurar o suporte da opção 37 em nível global ou de grupo DHCPv6.
Ao configurar o suporte da opção 37, você pode incluir opcionalmente as seguintes informações:
Prefixo — Especifique a opção
prefix
de adicionar um prefixo ao identificador de interface. O prefixo pode ser qualquer combinação de nome de host, nome do sistema lógico e nome de instância de roteamento.Descrição da interface — Especifique a opção
use-interface-description
de incluir a descrição da interface textual em vez do identificador de interface. Você pode incluir a descrição da interface do dispositivo ou a descrição da interface lógica.Opção 82 Agent Remote-ID suboption (subopção 2)— Especifique a opção
use-option-82
de usar o valor da opção DHCPv4 82 subopção de ID remoto (subopção 2). Essa configuração é útil em um ambiente dual-stack, que tem assinantes DHCPv4 e DHCPv6 que residem na mesma interface lógica subjacente. O roteador verifica o valor da opção 82 suboption 2 e o insere nos pacotes de saída.
Se você especificar uma das configurações opcionais e as informações especificadas não existirem (por exemplo, não há descrição da interface), o transmissão DHCPv6 ignora a configuração opcional e insere o identificador de interface padrão nos pacotes.
Para inserir a opção DHCPv6 de ID remoto (opção 37) em pacotes DHCPv6:
Veja também
Insira a opção de endereço MAC do cliente DHCPv6 (Opção 79) em pacotes DHCPv6
A implantação incremental do IPv6 para redes IPv4 existentes pode resultar em um ambiente de rede dual-stack no qual os dispositivos atuam como clientes DHCPv4 e DHCPv6. Em cenários de pilha dupla, os operadores precisam ser capazes de associar mensagens DHCPv4 e DHCPv6 com a mesma interface de cliente, com base em um identificador que é comum à interface.
Você pode configurar um agente de retransmissão DHCPv6 para inserir o endereço MAC cliente DHCPv6 nos pacotes que o retransmissão envia para um servidor DHCPv6. O endereço MAC do cliente é usado para associar mensagens DHCPv4 e DHCPv6 com a mesma interface de cliente.
Além de associar mensagens DHCPv4 e DHCPv6 de um cliente de pilha dupla, ter o endereço MAC do cliente em pacotes DHCPv6 fornece informações adicionais para depuração de eventos e registro relacionados ao cliente no agente de transmissão e no servidor.
Quando a opção DHCPv6 79 é habilitada, o agente de retransmissão DHCPv6 lê o endereço MAC de origem das mensagens DHCPv6 Solicite e DHCPv6 que recebe de um cliente. O agente de retransmissão encapsula as mensagens de Solicitação e Solicitação em uma mensagem dhCPv6 Relay-Forward, e insere o endereço MAC do cliente como opção 79 no cabeçalho Relay-Forward antes de transmitir a mensagem para o servidor.
Se o pacote DHCPv6 já tiver um cabeçalho relay-forward, o agente de retransmissão DHCPv6 adiciona o endereço MAC do cliente se o pacote atender às seguintes condições: o pacote tem apenas um cabeçalho Relay-Forward, o cabeçalho Relay-Forward foi adicionado por um LDRA, e o cabeçalho Relay-Forward ainda não inclui informações da opção 79.
Você também pode configurar a opção DHCPv6 79 para um agente de transmissão DHCPv6 leve (LDRA). Um LDRA reside no mesmo link IPv6 que o cliente e agente de transmissão DHCPv6 ou servidor e atua como um agente de retransmissão de camada 2, sem realizar a função de roteamento necessária para encaminhar mensagens a um servidor ou agente de retransmissão que reside em um link IPv6 diferente.
[edit] user@host# set forwarding-options dhcp-relay dhcpv6 relay-agent-option-79
Para configurar a opção DHCPv6 79 para um LDRA (camada 2):
[edit] user@host# set vlans vlan-name forwarding-options dhcp-security dhcpv6-options option-79
Veja também
Verificação e gerenciamento da configuração do retransmissão DHCPv6
Propósito
Visualizar ou limpar as vinculações ou estatísticas de endereços para clientes de agentes de transmissão DHCPv6 estendidos:
Ação
Para exibir as ligações de endereço para clientes de agentes de transmissão DHCPv6 estendidos:
user@host> show dhcpv6 relay binding
Para exibir estatísticas estendidas do agente de retransmissão DHCPv6:
user@host> show dhcpv6 relay statistics
Para limpar o estado vinculante dos clientes do agente de retransmissão DHCPv6:
user@host> clear dhcpv6 relay binding
Para limpar todas as estatísticas estendidas do agente de retransmissão DHCPv6:
user@host> clear dhcpv6 relay statistics
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.