Conociendo el atributo 82 en la función de DHCP Snooping

156 0 0 0

Hola de nuevamente, en esta publicación conoceremos sobre un campo que podemos adicionar en los mensajes de DHCP para fortalecer aún más la seguridad de la comunicación entre el cliente DHCP y el servidor DHCP, este campo se llama atributo 82 el cual es de mucha utilidad como veremos a continuación.


Introducción

En el método tradicional de asignación dinámica de direcciones IP, un servidor DHCP no puede determinar la ubicación del cliente DHCP a partir del mensaje de solicitud DHCP recibido. Como resultado, los clientes DHCP en la misma VLAN tienen los mismos derechos para acceder a los recursos de la red. Esto trae desafíos en el control de seguridad porque el administrador de la red no puede controlar el acceso a la red de los clientes en la misma VLAN.


Por lo anterior se desarrolló el RFC 3046 el cual define la opción de información del agente de DHCP relay  (opción 82), que registra la ubicación de un cliente DHCP. Un dispositivo habilitado para DHCP snooping o un agente DHCP relay inserta el campo Opción 82 en un mensaje de DHCP Request para notificar al servidor DHCP de la ubicación del cliente DHCP. En este caso, el servidor DHCP asigna una dirección IP y otras configuraciones al cliente DHCP, implementando el control de seguridad sobre el cliente DHCP.


El campo de la Opción 82 contiene dos subopciones de uso común: ID de circuito e ID remota. La ID del circuito distingue la ID de VLAN y el número de interfaz de un cliente, y la ID remota distingue la dirección MAC del dispositi****l que se conecta el cliente.


Cuando funciona como un agente de retransmisión DHCP, un dispositi****dmite el campo de la Opción 82 independientemente de si está habilitada la indagación DHCP. Sin embargo, cuando funciona como un dispositivo de acceso en una red de Capa 2, el dispositivo es compatible con el campo de la Opción 82 solo después de habilitar la indagación DHCP.


El campo de la Opción 82 registra solo la ubicación de un cliente DHCP y se encapsula en un mensaje de DHCP Request enviado al servidor DHCP. Para implementar diferentes políticas de seguridad o asignación de direcciones IP para diferentes clientes, el servidor DHCP debe ser compatible con el campo Opción 82 y debe estar configurado con políticas de seguridad o asignación de direcciones IP.


El campo de la Opción 82 es diferente de los parámetros registrados en una tabla de enlace de DHCP snooping. El dispositi****grega el campo Opción 82 al mensaje de DHCP Request cuando un cliente DHCP solicita una dirección IP (en este momento, el cliente no tiene una dirección IP). Sin embargo, se genera una entrada de enlace de DHCP snooping basada en los mensajes ACK de DHCP recibidos del servidor DHCP (en este momento, se ha asignado una dirección IP al cliente).


Implementación

Un dispositivo utiliza los siguientes modos para insertar el campo de la Opción 82 en un mensaje de solicitud DHCP:


Modo de inserción: al recibir un mensaje de DHCP Request sin el campo Opción 82, el dispositivo inserta el campo Opción 82. Si el mensaje de solicitud DHCP contiene el campo Opción 82, el dispositivo verifica si el campo Opción 82 contiene una identificación remota. Si hay una identificación remota, el dispositivo retiene el campo Opción 82. De lo contrario, el dispositivo inserta una identificación remota.


Modo de reconstrucción: al recibir un mensaje de DHCP Request sin el campo Opción 82, el dispositivo inserta el campo Opción 82. Si el mensaje de DHCP Request contiene el campo Opción 82, el dispositivo borra el campo Opción 82 original e inserta el campo Opción 82 establecido por el administrador.

El dispositivo maneja los mensajes de respuesta del servidor DHCP de la misma manera, independientemente de si se usa el modo Insertar o Reconstruir.


Si los mensajes de DHCP Request recibidos por el dispositivo no contienen el campo Opción 82, el dispositivo borra el campo Opción 82 de los mensajes de respuesta DHCP y luego los reenvía al cliente DHCP.


Si los mensajes de Solicitud DHCP contienen el campo Opción 82, el dispositivo cambia el formato de la Opción 82 en los mensajes de DHCP a los mensajes de Solicitud DHCP y luego reenvía los mensajes de respuesta al cliente DHCP.


Si los mensajes de respuesta de DHCP no contienen el campo de la Opción 82, el dispositivo envía directamente los mensajes.


Esto es todo por ahora sobre este tema, espera la próxima publicación para conocer más sobre este interésate funcionalidad en los swicthes de la seria S de Huawei.


FIN


Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#OneHuawei


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje