Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:配置 DHCP 防火墙过滤器以保护路由引擎

此示例说明如何配置防火墙过滤器以确保正确的 DHCP 数据包可以到达 MX 系列路由器上的路由引擎。

要求

此配置示例仅适用于 DHCP 本地服务器和 DHCP 中继代理服务由 jdhcpd 进程(而不是旧版 dhcpd 进程或 fud(UDP 转发)进程)提供的路由器。MX 系列路由器、M120 路由器和 M320 路由器使用 jdhcpd。对于 DHCP 中继,这意味着仅在层次结构级别不需要 配置,而在层次结构级别不需要 配置。[edit forwarding-options dhcp-relay][edit forwarding-options helpers bootp]

在配置此功能之前,不需要除设备初始化之外的特殊配置。

概述

在路由引擎上对 DHCP 数据包执行某些操作的防火墙过滤器(如通过仅允许正确的 DHCP 数据包来保护路由引擎的过滤器)要求将端口 67 (bootps) 和端口 68 (bootpc) 同时配置为源端口和目标端口。

在线卡上接收的 DHCP 数据包由 jdhcpd 使用新的 UDP 标头封装,其中其源地址和目标地址在转发到路由引擎之前设置为端口 68。对于 DHCP 中继和 DHCP 代理,从路由器发送到 DHCP 服务器的数据包的源和目标 UDP 端口均设置为 67。DHCP 服务器使用相同的端口进行响应。但是,当线卡收到这些 DHCP 响应数据包时,它会在将数据包传递到路由引擎之前将两个端口号从 67 更改为 68。因此,过滤器需要接受端口 67 用于从客户端中继到服务器的数据包,并接受端口 68(用于从服务器中继到客户端的数据包)。

在此示例中,您将配置两个筛选器术语和 。dhcp-client-acceptdhcp-server-accept 的匹配条件指定广播数据包的 源地址和目标地址、用于 DHCP 数据包的 UDP 协议以及引导 (68) 源端口。dhcp-client-accept 符合这些条件的数据包将被计数并接受。此术语不需要为引导 ps (67) 目标端口指定匹配条件。如下所述,此术语既可以处理传递到数据包转发引擎的实际数据包(端口 68),也可以处理到达 DHCP 守护程序的封装数据包(端口 67 由 jdhcpd 转换为 68)。

的 匹配条件指定用于 DHCP 数据包的 UDP 协议,以及源端口和目标端口的端口 67 和 68。dhcp-server-accept 符合这些条件的数据包将被计数并接受。

注:

此示例不显示所有可能的配置选项,也不显示筛选器在配置中的应用方式。此示例既适用于筛选器的静态应用,也适用于具有动态配置文件的动态应用。

配置

程序

CLI 快速配置

要快速配置示例路由引擎 DHCP 过滤器,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,然后将命令复制并粘贴到 CLI 中。

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅在配置模式下使用 CLI 编辑器

要配置 DHCP 防火墙过滤器以保护路由引擎:

  1. 创建或指定防火墙过滤器。

  2. 为客户端创建筛选术语。

  3. 指定 DHCP 数据包的匹配条件。

  4. 指定要对匹配的数据包执行的操作。

  5. 为服务器创建筛选术语。

  6. 指定 DHCP 数据包的匹配条件。

  7. 指定要对匹配的数据包执行的操作。

成果

在配置模式下,输入 show firewall 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

要确认路由引擎 DHCP 保护过滤器是否正确传递 DHCP 数据包,请执行以下操作:

验证 DHCP 过滤器操作

目的

验证两个计数器是否随着 DHCP 流量传递到路由引擎而递增。

操作

在操作模式下,输入 show firewall family inet filter RE-protect 命令。

意义

输出列出了配置的计数器,dhcp-client-accept 和 dhcp-server-accept。通过多次发出命令,您可以看到字节和数据包字段都显示正在接受和计数流量。