Proteção de ciclo curto DHCP
Proteção de ciclo curto DHCP contra sessões frequentes de clientes breves ou reprovadas
Em redes altamente escalonadas, um número significativo de negociações de clientes DHCP falha antes da sessão ser estabelecida, resultando em um alto carregamento no roteador e servidores externos de autenticação. Alguns dispositivos de CPE tentarão automaticamente a negociação sobre a falha, alguns com intervalos de nova tentativa muito curtos. Um cliente malicioso pode montar um ataque de autenticação enviando solicitações de login repetidas e frequentes. Esses eventos podem resultar em uma carga significativa no roteador e no servidor de autenticação externo.
A partir do Junos OS Release 18.2R1, a proteção de ciclo curto DHCP, também chamada de bloqueio de cliente DHCP, permite que o roteador reduza essas cargas, identificando e bloqueando temporariamente clientes que falham continuamente na negociação e têm ciclos de negociação curtos, bem como clientes que frequentemente completam conexões, mas fazem logo após o login.
Os clientes identificados são impedidos de acessar, trancando-os temporariamente por um período de bloqueio exponencialmente maior. O roteador descarta que o DHCP descubra ou solicite mensagens desses clientes enquanto eles estão bloqueados. O roteador rastreia os clientes pelo identificador do cliente para clientes DHCPv4 ou identificador exclusivo de DHCP (DUID) para clientes DHCPv6. Ambos os tipos de identificadores de clientes podem ser chamados de chaves do cliente. A chave do cliente permite que o servidor DHCP associe um cliente com seus parâmetros de locação e configuração. Usar a chave do cliente para o rastreamento de proteção de ciclo curto DHCP permite que o roteador impeça um cliente de negociar uma sessão, ao mesmo tempo em que permite que outros clientes usem a mesma interface lógica para negociar com sucesso as sessões.
O período de bloqueio inicial para um cliente tem uma duração curta. O objetivo aqui é não afetar negativamente os clientes legítimos, por exemplo, aqueles que falham apenas uma vez ou que fazem login periodicamente para verificar seus e-mails e depois fazer logon novamente. Ao direcionar clientes que falham continuamente na negociação ou fazem login com frequência em intervalos curtos, a proteção de ciclo curto reduz tanto a carga de processamento de conexão no roteador quanto a carga de autenticação em servidores externos de autenticação. Ela tem o efeito de melhorar a taxa de transferência, adiando as sessões de clientes que não avançam a favor das sessões concluídas.
- Condições que podem causar falhas ou sessões de clientes DHCP de curta duração
- Como funciona a proteção de ciclo curto DHCP
- Terminação da condição de bloqueio
- Benefícios do uso da proteção de ciclo curto DHCP
Condições que podem causar falhas ou sessões de clientes DHCP de curta duração
As condições que podem causar uma sessão de cliente com falha ou de curta duração incluem:
Negações de autenticação de servidores AAA externos, como RADIUS ou Diameter, devido à ausência de uma entrada correspondente no banco de dados RADIUS ou devido a tentativas de login incorretas.
A inacessibilidade do servidor de autenticação externa ou roteador devido a falha ou configuração incorreta da rede.
Recursos de memória insuficientes para criar uma interface dinâmica de assinantes.
Falhas na negociação de protocolo com o CPE.
Logotipo do cliente logo após um login bem-sucedido; essa ação cria uma sessão de cliente totalmente negociada e configurada antes que a sessão seja demolida.
Como funciona a proteção de ciclo curto DHCP
A proteção de ciclo curto DHCP é desativada no roteador por padrão. Ao habilitá-la incluindo a short-cycle-protection declaração em nível global, de grupo ou interface, o roteador faz o seguinte para sessões de DHCP em interfaces lógicas estáticas e dinâmicas:
Detecta sessões de clientes de curta duração, também referidas como eventos de ciclo curto e bloqueia o cliente com base nos seguintes eventos:
E0: Momento em que o jdhcpd declara a sessão do cliente ativa.
E1: Momento em que o jdhcpd declara que a sessão do cliente deve ser demolida.
E2: Hora em que o jdhcpd apaga a entrada da sessão do cliente no banco de dados.
Um evento de ciclo curto ocorre quando o intervalo entre E0 e E1 é menor ou igual a 60 segundos. Quando o intervalo é superior a 60 segundos, o logotipo é considerado normal. Se o roteador declarar que a sessão será de curta duração, ele adiciona o cliente ao banco de dados de bloqueio no momento E2.
Bloqueia temporariamente o cliente DHCP especificado impedindo a conexão com o roteador.
Durante o bloqueio, o roteador derruba pacotes de negociação (DHCP descubra e solicite mensagens) do cliente até que o período de bloqueio expira. Quando o período de bloqueio expirar, o cliente pode retomar a negociação normal da conexão.
Você pode definir um intervalo para o período de bloqueio especificando um comprimento mínimo e máximo com a
short-cycle-protectiondeclaração. Você deve especificar um valor mínimo e máximo.Acompanha o tempo entre os repetidos eventos de ciclo curto de um cliente para determinar se deve aumentar o tempo de bloqueio para um evento subsequente de ciclo curto. O intervalo entre eventos é comparado com o limite de tempo de graça. Por padrão, o limite de tempo de carência é de 900 segundos, mas é definido automaticamente para o tempo máximo de bloqueio se esse valor for superior a 900 segundos.
Se nenhuma negociação posterior for tentada no prazo de carência, a entrada do cliente será removida do banco de dados de bloqueio.
Se uma negociação subseqüente for tentada antes que o limite de graça seja atingido, ela é tratada como outro evento de ciclo curto e a pena de bloqueio é aumentada. A pena é aumentada exponencialmente cada vez que a negociação é tentada dentro do tempo de carência.
O período de bloqueio inicial é baseado no valor mínimo configurado. As penalidades adicionais são calculadas da seguinte forma, onde n é o número de eventos consecutivos de ciclo curto que ocorrem dentro do tempo de carência:
Tempo de bloqueio = (Tempo mínimo de bloqueio) x [2(n-1)]
Por exemplo, com duração mínima de 1 segundo e duração máxima de 300 segundos, o período de bloqueio inicial é de 1 segundo; penalidades subseqüentes aumentam para 2 segundos, depois 4 segundos, 8 segundos, 16 segundos, 32 segundos, 64 segundos, 128 segundos, 256 segundos e finalmente 300 segundos. O período de bloqueio final é de 300 segundos em vez de 512 segundos porque nenhuma penalidade pode exceder o valor máximo da faixa de bloqueio.
Se o tempo de bloqueio atingir o máximo, ele permanecerá nesse valor para cada período de bloqueio subsequente até que o tempo entre eventos de ciclo curto seja maior do que o limite de carência.
Terminação da condição de bloqueio
Quando um cliente DHCP é bloqueado, a condição de bloqueio persiste até que todos os temporizantes de bloqueio tenham expirado, exceto quando qualquer um dos seguintes ocorrer:
Você elimina administrativamente a condição de bloqueio emitindo um dos seguintes comandos operacionais:
clear dhcp relay lockout-entriesclear dhcp server lockout-entriesclear dhcpv6 relay lockout-entriesclear dhcpv6 server lockout-entries
Você reinicia o FPC no qual a sessão do cliente em bloqueio está configurada.
Você reinicia o mecanismo de roteamento.
Quando qualquer um desses eventos ocorre, o jdhcpd encerra o bloqueio e libera o histórico de bloqueio para todas as sessões de clientes afetadas. Os clientes liberados podem negociar novamente. Como não há histórico retido, o período de bloqueio começa com o valor mínimo se um evento subsequente de ciclo curto ocorrer para um desses clientes.
Quando uma interface lógica VLAN dinâmica ou demux VLAN é removida de uma interface física subjacente configurada com remove-when-no-subscribers, o bloqueio dos clientes afetados persiste até que todos os temporizadors tenham expirado. Se a interface lógica for recriada antes de todos os timers expirarem, o estado de bloqueio será aplicado às interfaces lógicas recriadas.
Benefícios do uso da proteção de ciclo curto DHCP
Reduz o carregamento excessivo de plano de controle no roteador e a autenticação, autorização e carregamento de provisionamento no servidor de autoridade externa.
Reduz os recursos necessários para processar pacotes de controle de DHCP e negociar e encerrar conexões de curta duração.
Adiar temporariamente as tentativas subsequentes de clientes com sessões de clientes com falha ou de curta duração em favor das sessões pode ser concluída com sucesso e durar por mais de uma curta duração.
Reduz os recursos necessários para autenticar e encerrar essas conexões em servidores de autenticação externos, como RADIUS e Diameter.
Permite o bloqueio de uma única sessão DHCP com falha ou de curta duração sem interromper outras sessões de DHCP na mesma interface.
Como a proteção de ciclo curto DHCP identifica cada sessão do cliente por sua ID de cliente única, o roteador pode bloquear apenas o cliente DHCP ofensivo, ao mesmo tempo em que permite que outros clientes DHCP na mesma interface negociem com sucesso a conexão.
Configuração da proteção de ciclo curto DHCP
Em redes altamente escalonadas, um número significativo de negociações de clientes DHCP falha antes da sessão ser estabelecida, resultando em um alto carregamento no roteador e servidores externos de autenticação. Você pode habilitar a proteção de ciclo curto DHCP no roteador para identificar clientes DHCP que façam login com frequência e rapidez ou falham continuamente na conexão e, em seguida, bloquear o acesso dos clientes e descartar solicitações subsequentes desses clientes até que um temporizante de bloqueio expira. Para clientes que fazem login repetidamente com frequência e rapidez, o tempo de bloqueio inicial é curto o suficiente para não ter impacto perceptível. À medida que esses breves logins continuam, o período de bloqueio é exponencialmente aumentado. Ao direcionar clientes que falham continuamente na negociação ou fazer login com frequência em intervalos curtos, a proteção de ciclo curto reduz a carga de processamento de conexão no roteador e a autenticação, autorização e carga de provisionamento em servidores de autenticação externos.
Você pode configurar o intervalo para o período de bloqueio para o retransmissão DHCPv4, retransmissão DHCPv6, servidor local DHCPv4 e servidor local DHCPv6. Você pode configurar o período globalmente para todas as interfaces de agente de retransmissão ou servidor local, para um grupo de interfaces ou para interfaces específicas dentro de um grupo. Para o retransmissão DHCPv4 e o servidor local, você também pode configurar o bloqueio para um grupo de pilha dupla.
Ao ativar a proteção de ciclo curto, você deve especificar o mínimo e a duração máxima do período de bloqueio.
Para configurar o intervalo de bloqueio para o agente de retransmissão DHCPv4:
Especifique os tempos mínimos e máximos de bloqueio.
Para todos os agentes de retransmissão DHCPv4:
[edit forwarding-options dhcp-relay] user@host# set short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Para um grupo específico de interfaces de retransmissão DHCPv4:
[edit forwarding-options dhcp-relay] user@host# set group group-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Para uma interface específica dentro de um grupo especificado de interfaces de retransmissão DHCPv4:
[edit forwarding-options dhcp-relay] user@host# set group group-name interface interface-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Para um grupo de dual stack de transmissão DHCPv4:
[edit forwarding-options dhcp-relay] user@host# set dual-stack-group dual-stack-group-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds
Para configurar o intervalo de bloqueio para o agente de retransmissão DHCPv6:
Especifique os tempos mínimos e máximos de bloqueio.
Para todos os agentes de retransmissão DHCPv6:
[edit forwarding-options dhcp-relay dhcpv6] user@host# set short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Para um grupo específico de interfaces de retransmissão DHCPv6:
[edit forwarding-options dhcp-relay dhcpv6] user@host# set group group-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Para uma interface específica dentro de um grupo especificado de interfaces de retransmissão DHCPv6:
[edit forwarding-options dhcp-relay dhcpv6] user@host# set group group-name interface interface-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Para configurar o intervalo de bloqueio para o servidor local DHCPv4:
Especifique os tempos mínimos e máximos de bloqueio.
Para todos os servidores locais DHCPv4:
[edit system services dhcp-local-server] user@host# set short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Para um grupo específico de interfaces de servidor locais DHCPv4:
[edit system services dhcp-local-server] user@host# set group group-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Para uma interface específica dentro de um grupo especificado de interfaces de servidor locais DHCPv4:
[edit system services dhcp-local-server] user@host# set group group-name interface interface-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Para um grupo de dual stack de servidor local DHCPv4:
[edit system services dhcp-local-server] user@host# set dual-stack-group dual-stack-group-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Para configurar o intervalo de bloqueio para o servidor local DHCPv6:
Especifique os tempos mínimos e máximos de bloqueio.
Para todos os servidores locais DHCPv6:
[edit system services dhcp-local-server dhcpv6] user@host# set short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Para um grupo específico de interfaces de servidor locais DHCPv6:
[edit system services dhcp-local-server dhcpv6] user@host# set group group-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Para uma interface específica dentro de um grupo especificado de interfaces de servidor locais DHCPv6:
[edit system services dhcp-local-server dhcpv6] user@host# set group group-name interface interface-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Verificação e gerenciamento da proteção de ciclo curto DHCP
Propósito
Visualizar ou informações claras sobre as operações de proteção de ciclo curto DHCP.
Use o suporte show e clear os comandos para gerenciar e exibir informações sobre as operações de proteção de ciclo curto para o agente de retransmissão DHCP e o servidor local DHCP. Você pode exibir informações sobre todas as entradas bloqueadas ou sobre apenas entradas individuais identificadas pelo número do índice do banco de dados.
Ação
Para exibir informações de proteção de ciclo curto para agente de transmissão DHCPv4 ou DHCPv6:
user@host> show dhcp relay lockout-entries (all | index index) user@host> show dhcpv6 relay lockout-entries (all | index index)
Para limpar as informações de proteção de ciclo curto para o agente de transmissão DHCPv4 ou DHCPv6:
user@host> clear dhcp relay lockout-entries (all | index index) user@host> clear dhcpv6 relay lockout-entries (all | index index)
Para exibir informações de proteção de ciclo curto para o servidor local DHCPv4 ou DHCPv6:
user@host> show dhcp server lockout-entries (all | index index) user@host> show dhcpv6 server lockout-entries (all | index index)
Para limpar as informações de proteção de ciclo curto para o servidor local DHCPv4 ou DHCPv6:
user@host> clear dhcp server lockout-entries (all | index index) user@host> clear dhcpv6 server lockout-entries (all | index index)
Significado
Quando você inclui a opção all com esses show comandos, são fornecidas informações para cada entrada do cliente no banco de dados de bloqueio, como o número de índice que corresponde à entrada no banco de dados, a chave de identificação do cliente, o estado do bloqueio, quantos segundos até o estado atual acabar, quanto tempo o estado atual está em vigor, e quantas vezes consecutivas o cliente foi bloqueado.
Quando você deseja remover informações do banco de dados de bloqueio para um determinado cliente, você deve primeiro emitir o comando correspondente show com a opção all de determinar o índice para a entrada do cliente. Em seguida, você pode especificar esse índice com o clear comando.
No exemplo a seguir, você exibe todas as entradas de cliente bloqueadas para o agente de retransmissão DHCPv4 para encontrar o número de índice para um determinado cliente, então você libera apenas essa entrada e verifica se ela é excluída:
user@host> show dhcp relay lockout-entries all Index Key State Expires(s) Elapsed(s) Count 1 00:00:5E:00:53:00 LT 30 5200 2 2 00:00:5E:00:53:11 GT 120 780 2 3 00:00:5E:00:53:22 LT 180 2300 1 user@host> clear dhcp relay lockout-entries index 2 user@host> show dhcp relay lockout-entries all Index Key State Expires(s) Elapsed(s) Count 1 00:00:5E:00:53:00 LT 30 5200 2 3 00:00:5E:00:53:22 LT 180 2300 1
No exemplo a seguir, você exibe todas as entradas de cliente bloqueadas para o servidor local DHCPv6 e depois limpa todas as entradas e verifica se elas são excluídas:
user@host> show dhcp relay lockout-entries all Index Key State Expires(s) Elapsed(s) Count 1 00:00:5E:00:53:00 LT 30 5200 2 2 00:00:5E:00:53:11 GT 120 780 2 3 00:00:5E:00:53:22 LT 180 2300 1 user@host> clear dhcp relay lockout-entries all user@host> show dhcp relay lockout-entries all
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.