Proteção de ciclo curto DHCP
Proteção de ciclo curto DHCP contra sessões frequentes de clientes breves ou com falha
Em redes altamente escalonadas, um número significativo de negociações de clientes DHCP falha antes que a sessão seja estabelecida, resultando em alta carga no roteador e nos servidores de autenticação externos. Alguns dispositivos CPE repetem automaticamente a negociação em caso de falha, alguns com intervalos de repetição muito curtos. Um cliente mal-intencionado pode montar um ataque de autenticação enviando solicitações de login repetidas e frequentes. Esses eventos podem resultar em uma carga significativa no roteador e no servidor de autenticação externo.
A partir do Junos OS Release 18.2R1, a proteção de ciclo curto DHCP, também chamada de bloqueio de cliente DHCP, permite que o roteador reduza essas cargas identificando e bloqueando temporariamente clientes que falham continuamente na negociação e têm ciclos de negociação curtos, bem como clientes que frequentemente completam conexões, mas saem logo após o login.
Os clientes identificados são impedidos de acessar bloqueando-os temporariamente por um período de bloqueio exponencialmente crescente. O roteador descarta o DHCP, descobre ou solicita mensagens desses clientes enquanto eles estão bloqueados. O roteador rastreia os clientes pelo identificador de cliente para clientes DHCPv4 ou identificador exclusivo DHCP (DUID) para clientes DHCPv6. Ambos os tipos de identificadores de cliente podem ser chamados de chaves de cliente. A chave do cliente permite que o servidor DHCP associe um cliente a seus parâmetros de concessão e configuração. O uso da chave do cliente para rastreamento de proteção de ciclo curto DHCP permite que o roteador impeça que um cliente negocie uma sessão, permitindo que outros clientes que usam a mesma interface lógica negociem sessões com êxito.
O período de bloqueio inicial para um cliente tem uma duração curta. O objetivo aqui é não afetar negativamente os clientes legítimos, por exemplo, aqueles que falham apenas uma vez ou que fazem login periodicamente para verificar seu e-mail e depois sair novamente. Ao visar clientes que falham continuamente na negociação ou fazem logon e logout com frequência em intervalos curtos, a proteção de ciclo curto reduz a carga de processamento de conexão no roteador e a carga de autenticação em servidores de autenticação externos. Ele tem o efeito de melhorar a taxa de transferência ao adiar as sessões do cliente que não progridem em favor das sessões concluídas.
- Condições que podem causar falhas ou sessões de cliente DHCP de curta duração
- Como funciona a proteção de ciclo curto DHCP
- Término da condição de bloqueio
- Benefícios de usar a proteção de ciclo curto DHCP
Condições que podem causar falhas ou sessões de cliente DHCP de curta duração
As condições que podem causar uma falha ou uma sessão de cliente de curta duração incluem:
Recusas de autenticação de servidores AAA externos, como RADIUS ou Diameter, devido à ausência de uma entrada correspondente no banco de dados RADIUS ou devido a tentativas de login inadequadas.
Inacessibilidade do roteador ou do servidor de autenticação externo devido a falha de rede ou configuração incorreta.
Recursos de memória insuficientes para criar uma interface de assinante dinâmica.
Falha na negociação de protocolo com o CPE.
Logout do cliente logo após um login bem-sucedido; Essa ação cria uma sessão de cliente totalmente negociada e configurada antes que a sessão seja interrompida.
Como funciona a proteção de ciclo curto DHCP
A proteção de ciclo curto DHCP está desabilitada no roteador por padrão. Quando você a habilita incluindo a short-cycle-protection declaração em um nível global, de grupo ou de interface, o roteador faz o seguinte para sessões DHCP em interfaces lógicas estáticas e dinâmicas:
Detecta sessões de cliente de curta duração, também chamadas de eventos de ciclo curto, e bloqueia o cliente com base nos seguintes eventos:
E0: Hora em que o jdhcpd declara que a sessão do cliente está ativa.
E1: Hora em que o jdhcpd declara que a sessão do cliente deve ser interrompida.
E2: Tempo em que o jdhcpd exclui a entrada da sessão do cliente do banco de dados.
Um evento de ciclo curto ocorre quando o intervalo entre E0 e E1 é menor ou igual a 60 segundos. Quando o intervalo é maior que 60 segundos, o logout é considerado normal. Se o roteador declarar que a sessão é de curta duração, ele adiciona o cliente ao banco de dados de bloqueio no tempo E2.
Bloqueia temporariamente o cliente DHCP especificado, impedindo a conexão com o roteador.
Durante o bloqueio, o roteador descarta pacotes de negociação (mensagens de descoberta e solicitação de DHCP) do cliente até que o período de bloqueio expire. Quando o período de bloqueio expira, o cliente pode retomar a negociação normal da conexão.
Você pode definir um intervalo para o período de bloqueio especificando um comprimento mínimo e máximo com a
short-cycle-protectioninstrução. Você deve especificar um valor mínimo e um valor máximo.Rastreia o tempo entre os eventos de ciclo curto repetidos de um cliente para determinar se o tempo de bloqueio deve ser aumentado para um evento de ciclo curto subsequente. O intervalo entre os eventos é comparado ao limite de tempo de carência. Por padrão, o limite de tempo de carência é de 900 segundos, mas é definido automaticamente como o tempo máximo de bloqueio se esse valor for maior que 900 segundos.
Se nenhuma negociação subsequente for tentada dentro do tempo de carência, a entrada do cliente será removida do banco de dados de bloqueio.
Se uma negociação subsequente for tentada antes que o limite de carência seja atingido, ela será tratada como outro evento de ciclo curto e a penalidade de bloqueio será aumentada. A penalidade é aumentada exponencialmente cada vez que a negociação é tentada dentro do tempo de carência.
O período de bloqueio inicial é baseado no valor mínimo configurado. As penalidades adicionais são calculadas da seguinte forma, onde n é o número de eventos consecutivos de ciclo curto que ocorrem dentro do tempo de carência:
Tempo de bloqueio = (Tempo mínimo de bloqueio) x [2(n-1)]
Por exemplo, com uma duração mínima de 1 segundo e uma duração máxima de 300 segundos, o período de bloqueio inicial é de 1 segundo; As penalidades subsequentes aumentam para 2 segundos, depois 4 segundos, 8 segundos, 16 segundos, 32 segundos, 64 segundos, 128 segundos, 256 segundos e, finalmente, 300 segundos. O período de bloqueio final é de 300 segundos em vez de 512 segundos porque nenhuma penalidade pode exceder o valor máximo do intervalo de bloqueio.
Se o tempo de bloqueio atingir o máximo, ele permanecerá nesse valor para cada período de bloqueio subsequente até que o tempo entre os eventos de ciclo curto seja maior que o limite de carência.
Término da condição de bloqueio
Quando um cliente DHCP é bloqueado, a condição de bloqueio persiste até que todos os temporizadores de bloqueio tenham expirado, exceto quando ocorre qualquer uma das seguintes situações:
Você limpa administrativamente a condição de bloqueio emitindo um dos seguintes comandos operacionais:
clear dhcp relay lockout-entriesclear dhcp server lockout-entriesclear dhcpv6 relay lockout-entriesclear dhcpv6 server lockout-entries
Você redefine o FPC no qual a sessão do cliente que está passando por bloqueio está configurada.
Você redefine o Mecanismo de Roteamento.
Quando qualquer um desses eventos ocorre, o jdhcpd encerra o bloqueio e limpa o histórico de bloqueio para todas as sessões do cliente afetadas. Os clientes liberados podem negociar novamente. Como não há histórico retido, o período de bloqueio começa com o valor mínimo se ocorrer um evento de ciclo curto subsequente para um desses clientes.
Quando uma interface lógica VLAN dinâmica ou demux VLAN é removida de uma interface física subjacente configurada com remove-when-no-subscribers, o bloqueio dos clientes afetados persiste até que todos os temporizadores tenham expirado. Se a interface lógica for recriada antes que todos os temporizadores expirem, o estado de bloqueio será aplicado às interfaces lógicas recriadas.
Benefícios de usar a proteção de ciclo curto DHCP
Reduz a carga excessiva do plano de controle no roteador e a carga de autenticação, autorização e provisionamento no servidor de autoridade externa.
Reduz os recursos necessários para processar pacotes de controle DHCP e para negociar e encerrar conexões de curta duração.
Adia temporariamente as tentativas subsequentes para clientes com sessões de cliente com falha ou de curta duração em favor de sessões que podem ser concluídas com êxito e durar mais do que uma curta duração.
Reduz os recursos necessários para autenticar e encerrar essas conexões em servidores de autenticação externos, como RADIUS e Diameter.
Permite o bloqueio de uma única sessão DHCP com falha ou de curta duração sem interromper outras sessões DHCP na mesma interface.
Como a proteção de ciclo curto DHCP identifica cada sessão de cliente por seu ID de cliente exclusivo, o roteador pode bloquear apenas o cliente DHCP ofensivo enquanto permite que outros clientes DHCP na mesma interface negociem a conexão com êxito.
Configurando a proteção de ciclo curto DHCP
Em redes altamente escalonadas, um número significativo de negociações de clientes DHCP falha antes que a sessão seja estabelecida, resultando em alta carga no roteador e nos servidores de autenticação externos. Você pode habilitar a proteção de ciclo curto DHCP no roteador para identificar clientes DHCP que fazem login com frequência e brevemente ou falham continuamente ao se conectar, depois bloquear o acesso dos clientes e descartar solicitações subsequentes desses clientes até que um temporizador de bloqueio expire. Para clientes que fazem login repetidamente com frequência e brevemente, o tempo de bloqueio inicial é curto o suficiente para não ter nenhum impacto perceptível. À medida que esses breves logins continuam, o período de bloqueio aumenta exponencialmente. Ao visar clientes que falham continuamente na negociação ou fazem logon e logout com frequência em intervalos curtos, a proteção de ciclo curto reduz a carga de processamento de conexão no roteador e a carga de autenticação, autorização e provisionamento em servidores de autenticação externos.
Você pode configurar o intervalo para o período de bloqueio para a transmissão DHCPv4, a transmissão DHCPv6, o servidor local DHCPv4 e o servidor local DHCPv6. Você pode configurar o período globalmente para todas as interfaces de agente de retransmissão ou servidor local, para um grupo de interfaces ou para interfaces específicas dentro de um grupo. Para o relé DHCPv4 e o servidor local, você também pode configurar o bloqueio para um grupo de pilha dupla.
Ao habilitar a proteção de ciclo curto, você deve especificar a duração mínima e máxima do período de bloqueio.
Para configurar a faixa de bloqueio para o agente de transmissão DHCPv4:
Especifique os tempos de bloqueio mínimo e máximo.
Para todos os agentes de transmissão DHCPv4:
[edit forwarding-options dhcp-relay] user@host# set short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Para um grupo específico de interfaces de transmissão DHCPv4:
[edit forwarding-options dhcp-relay] user@host# set group group-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Para uma interface específica dentro de um grupo especificado de interfaces de retransmissão DHCPv4:
[edit forwarding-options dhcp-relay] user@host# set group group-name interface interface-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Para um grupo de pilha dupla de retransmissão DHCPv4:
[edit forwarding-options dhcp-relay] user@host# set dual-stack-group dual-stack-group-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds
Para configurar a faixa de bloqueio para o agente de transmissão DHCPv6:
Especifique os tempos de bloqueio mínimo e máximo.
Para todos os agentes de transmissão DHCPv6:
[edit forwarding-options dhcp-relay dhcpv6] user@host# set short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Para um grupo específico de interfaces de transmissão DHCPv6:
[edit forwarding-options dhcp-relay dhcpv6] user@host# set group group-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Para uma interface específica dentro de um grupo especificado de interfaces de retransmissão DHCPv6:
[edit forwarding-options dhcp-relay dhcpv6] user@host# set group group-name interface interface-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Para configurar o intervalo de bloqueio para o servidor local DHCPv4:
Especifique os tempos de bloqueio mínimo e máximo.
Para todos os servidores locais DHCPv4:
[edit system services dhcp-local-server] user@host# set short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Para um grupo específico de interfaces de servidor local DHCPv4:
[edit system services dhcp-local-server] user@host# set group group-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Para uma interface específica dentro de um grupo especificado de interfaces de servidor local DHCPv4:
[edit system services dhcp-local-server] user@host# set group group-name interface interface-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Para um grupo de pilha dupla de servidor local DHCPv4:
[edit system services dhcp-local-server] user@host# set dual-stack-group dual-stack-group-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Para configurar o intervalo de bloqueio para o servidor local DHCPv6:
Especifique os tempos de bloqueio mínimo e máximo.
Para todos os servidores locais DHCPv6:
[edit system services dhcp-local-server dhcpv6] user@host# set short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Para um grupo específico de interfaces de servidor local DHCPv6:
[edit system services dhcp-local-server dhcpv6] user@host# set group group-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Para uma interface específica dentro de um grupo especificado de interfaces de servidor local DHCPv6:
[edit system services dhcp-local-server dhcpv6] user@host# set group group-name interface interface-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Verificando e gerenciando a proteção de ciclo curto DHCP
Finalidade
Exiba ou limpe informações sobre as operações de proteção de ciclo curto DHCP.
Use os comandos and clear suportados show para gerenciar e exibir informações sobre as operações de proteção de ciclo curto para o agente de retransmissão DHCP e o servidor local DHCP. Você pode exibir informações sobre todas as entradas bloqueadas ou apenas sobre entradas individuais identificadas pelo número de índice do banco de dados.
Ação
Para exibir informações de proteção de ciclo curto para DHCPv4 ou DHCPv6
user@host> show dhcp relay lockout-entries (all | index index) user@host> show dhcpv6 relay lockout-entries (all | index index)
Para limpar as informações de proteção de ciclo curto para DHCPv4 ou DHCPv6
user@host> clear dhcp relay lockout-entries (all | index index) user@host> clear dhcpv6 relay lockout-entries (all | index index)
Para exibir informações de proteção de ciclo curto para servidor local DHCPv4 ou DHCPv6:
user@host> show dhcp server lockout-entries (all | index index) user@host> show dhcpv6 server lockout-entries (all | index index)
Para limpar as informações de proteção de ciclo curto para o servidor local DHCPv4 ou DHCPv6:
user@host> clear dhcp server lockout-entries (all | index index) user@host> clear dhcpv6 server lockout-entries (all | index index)
Significado
Quando você inclui a all opção com esses show comandos, são fornecidas informações para cada entrada de cliente no banco de dados de bloqueio, como o número de índice que corresponde à entrada no banco de dados, a chave de identificação do cliente, o estado do bloqueio, quantos segundos faltam para o estado atual terminar, há quanto tempo o estado atual está em vigor, e quantas vezes consecutivas o cliente foi bloqueado.
Quando você deseja remover informações do banco de dados de bloqueio para um cliente específico, você deve primeiro emitir o comando correspondente show com a all opção de determinar o índice para a entrada do cliente. Em seguida, você pode especificar esse índice com o clear comando.
No exemplo a seguir, você exibe todas as entradas de cliente bloqueadas para o agente de retransmissão DHCPv4 para localizar o número de índice de um cliente específico e, em seguida, desmarca apenas essa entrada e verifica se ela foi excluída:
user@host> show dhcp relay lockout-entries all Index Key State Expires(s) Elapsed(s) Count 1 00:00:5E:00:53:00 LT 30 5200 2 2 00:00:5E:00:53:11 GT 120 780 2 3 00:00:5E:00:53:22 LT 180 2300 1 user@host> clear dhcp relay lockout-entries index 2 user@host> show dhcp relay lockout-entries all Index Key State Expires(s) Elapsed(s) Count 1 00:00:5E:00:53:00 LT 30 5200 2 3 00:00:5E:00:53:22 LT 180 2300 1
No exemplo a seguir, você exibe todas as entradas de cliente bloqueadas para o servidor local DHCPv6 e, em seguida, limpa todas as entradas e verifica se elas foram excluídas:
user@host> show dhcp relay lockout-entries all Index Key State Expires(s) Elapsed(s) Count 1 00:00:5E:00:53:00 LT 30 5200 2 2 00:00:5E:00:53:11 GT 120 780 2 3 00:00:5E:00:53:22 LT 180 2300 1 user@host> clear dhcp relay lockout-entries all user@host> show dhcp relay lockout-entries all
Tabela de histórico de alterações
A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.