Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

DHCP 防火墙过滤器的端口号要求

在将防火墙过滤器配置为在路由引擎上对 DHCP 数据包执行某些操作时,例如通过仅允许正确的 DHCP 数据包来保护路由引擎,必须为源和设备指定端口67(bootps)和端口68(bootpc)。终点. 防火墙过滤器可在线卡和路由引擎上操作。

这一要求适用于 DHCP 本地服务器和 DHCP 中继,但仅在 jdhcpd 进程提供 DHCP 时才适用。MX 系列路由器使用 jdhcpd。对于 DHCP 中继,这意味着仅在[edit forwarding-options dhcp-relay]层次结构级别而不是[edit forwarding-options helpers bootp]层次结构级别配置。

在线卡上收到的 DHCP 数据包以 jdhcpd 封装,并在新 UDP 报头中,将其源和目标地址设置为端口68,然后再转发至路由引擎。

对于 DHCP 中继和 DHCP 代理,从路由器发送到 DHCP 服务器的数据包的源和目标 UDP 端口均设置为67。DHCP 服务器使用相同的端口进行响应。但是,当线卡收到这些 DHCP 响应数据包时,它会在将数据包传递给路由引擎之前,将端口号从67更改为68。因此,过滤器需要接受端口67,以便将数据包从客户端中继到服务器,将端口68用于从服务器中继到客户端的数据包。

如此处所述无法同时包含端口67和端口68,将导致大多数 DHCP 数据包未被接受。

有关配置防火墙过滤器的常规信息,请参阅 Junos OS策略、防火墙过滤器和流量管制器 路由设备用户指南