Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

防止 MX 系列 5G 通用路由平台上的 DHCP 欺骗

DHCP 有时会出现一个问题是 DHCP 欺骗。不可信的客户端会通过 DHCP 消息淹没网络。这些攻击通常利用源 IP 地址欺骗来隐藏攻击的真正来源。

DHCP 侦听通过将 DHCP 消息复制到控制平面并使用数据包中的信息创建反欺骗过滤器,有助于防止 DHCP 欺骗。反欺骗过滤器将客户端的 MAC 地址绑定到其 DHCP 分配的 IP 地址,并使用此信息过滤欺骗的 DHCP 消息。在典型的拓扑中,运营商边缘路由器(此功能中也称为宽带服务路由器 [BSR])连接 DHCP 服务器和执行侦听的 MX 系列路由器(或宽带服务聚合器 [BSA])。MX 系列路由器连接到客户端和 BSR。

DHCP 侦听在上述网络拓扑中如下工作:

  1. 客户端发送 DHCP 发现消息,以从 DHCP 服务器获取 IP 地址。

  2. BSA 会拦截该消息,并可能添加 option 82 信息,指定插槽、端口、VPI/VCI 等。

  3. 然后,BSA 会将 DHCP 发现消息发送至 BSR,BSR 将其转换为单播数据包并将其发送至 DHCP 服务器。

  4. DHCP 服务器在其数据库中查找客户端的 MAC 地址和 option 82 信息。将为有效的客户端分配一个 IP 地址,该地址将使用 DHCP 优惠消息返回给客户端。BSR 和 BSA 都将此消息上游发送至客户端。

  5. 客户端检查 DHCP 优惠,如果可接受,则发出通过 BSA 和 BSR 发送至 DHCP 服务器的 DHCP 请求消息。

  6. DHCP 服务器确认 IP 地址仍然可用。如果是,DHCP 服务器将更新其本地表并向客户端发送 DHCP ACK 消息。

  7. BSR 接收 DHCP ACK 消息并将消息传递至 BSA。

  8. BSA 通过将 ACK 消息中的 IP 地址绑定到客户端的 MAC 地址来创建反欺骗过滤器。在此点之后,不会绑定到客户端 MAC 地址的任何来自此 IP 地址的 DHCP 消息将被丢弃。

  9. BSA 将 ACK 消息发送至客户端,以便完成分配 IP 地址的过程。

通过在 DHCP 组中包括 BSA 的相应接口,可配置 DHCP 侦听:

在 VPLS 环境中,DHCP 请求会通过伪线进行转发。您可以在 [edit routing-instances routing-instance-name] 层级配置 VPLS 上的 DHCP 侦听。

DHCP 侦听在桥接域中的每个学习桥接上工作。每个学习域都必须配置上游接口。此接口用作来自客户端的 DHCP 请求的泛洪端口。DHCP 请求将跨桥接域中的学习域转发。您可以在层次结构级别的桥接域 [edit routing-instances routing-instance-name bridge-domains bridge-domain-name] 上配置 DHCP 侦听。