防止 MX 系列 5G 通用路由平台上的 DHCP 欺骗
DHCP 有时会出现一个问题是 DHCP 欺骗。其中不受信任的客户端用 DHCP 消息淹没网络。通常,这些攻击利用源 IP 地址欺骗来隐藏攻击的真正来源。
DHCP 侦听通过将 DHCP 消息复制到控制平面并使用数据包中的信息创建反欺骗过滤器来帮助防止 DHCP 欺骗。反欺骗过滤器将客户端的 MAC 地址绑定到其 DHCP 分配的 IP 地址,并使用此信息过滤欺骗性的 DHCP 消息。在典型拓扑中,运营商边缘路由器(在此函数中也称为宽带服务路由器 [BSR])连接 DHCP 服务器和执行侦听的 MX 系列路由器(或宽带服务聚合器 [BSA])。MX 系列路由器连接到客户端和 BSR。
DHCP 侦听在上述网络拓扑中的工作方式如下:
客户端发送 DHCP 发现消息以从 DHCP 服务器获取 IP 地址。
BSA 会拦截该消息,并可能添加指定插槽、端口、VPI/VCI 等的选项 82 信息。
然后,BSA 将 DHCP 发现消息发送到 BSR,BSR 将其转换为单播数据包并将其发送到 DHCP 服务器。
DHCP 服务器在其数据库中查找客户端的 MAC 地址和选项 82 信息。系统会为有效客户端分配一个 IP 地址,该地址将使用 DHCP 提供消息返回给客户端。BSR 和 BSA 都会向上游客户端发送此消息。
客户端检查 DHCP 服务,如果可以接受,则发出 DHCP 请求消息,该消息通过 BSA 和 BSR 发送到 DHCP 服务器。
DHCP 服务器确认 IP 地址仍然可用。如果是,DHCP 服务器将更新其本地表并向客户端发送 DHCP 确认消息。
BSR 接收 DHCP ACK 消息,并将消息传递给 BSA。
BSA 通过将 ACK 消息中的 IP 地址绑定到客户端的 MAC 地址来创建反欺骗过滤器。在此之后,来自此 IP 地址但未绑定到客户端 MAC 地址的任何 DHCP 消息都将被丢弃。
BSA 将 ACK 消息发送到客户端,以便可以完成分配 IP 地址的过程。
您可以通过在 DHCP 组中包括 BSA 的相应接口来配置 DHCP 侦听:
[edit routing-instances routing-instance-name bridge-domains bridge-domain-name forwarding-options dhcp-relay group group-name] interface interface-name;
在 VPLS 环境中,DHCP 请求通过伪线转发。您可以在层次结构级别配置 [edit routing-instances routing-instance-name] VPLS 上的 DHCP 侦听。
DHCP 侦听在桥接域中基于每个学习桥工作。每个学习域都必须配置一个上游接口。此接口充当来自客户端的 DHCP 请求的泛洪端口。DHCP 请求在桥接域中的学习域之间转发。您可以在层次结构级别的桥接域 [edit routing-instances routing-instance-name bridge-domains bridge-domain-name] 上配置 DHCP 侦听。