Portnummernanforderungen für DHCP-Firewallfilter

Wenn Sie einen Firewallfilter so konfigurieren, dass er eine Aktion für DHCP-Pakete in der Routing-Engine ausführt, z. B. das Routingmodul schützt, indem nur ordnungsgemäße DHCP-Pakete zugelassen werden, müssen Sie sowohl Port 67 (bootps) als auch Port 68 (bootpc) sowohl für die Quelle als auch für das Ziel angeben. Der Firewallfilter wirkt sowohl auf die Linecards als auch auf die Routing-Engine.

Diese Anforderung gilt sowohl für den lokalen DHCP-Server als auch für das DHCP-Relay, aber nur, wenn DHCP vom jdhcpd-Prozess bereitgestellt wird. Router der MX-Serie verwenden jdhcpd. Für DHCP-Relay bedeutet dies, dass die Konfiguration nur auf Hierarchieebene [edit forwarding-options dhcp-relay] und nicht auf Hierarchieebene [edit forwarding-options helpers bootp] erforderlich ist.

DHCP-Pakete, die auf den Linecards empfangen werden, werden von jdhcpd mit einem neuen UDP-Header gekapselt, wobei ihre Quell- und Zieladressen auf Port 68 gesetzt werden, bevor sie an die Routing-Engine weitergeleitet werden.

Bei DHCP-Relay und DHCP-Proxy sind bei Paketen, die vom Router an den DHCP-Server gesendet werden, sowohl der Quell- als auch der Ziel-UDP-Port auf 67 festgelegt. Der DHCP-Server antwortet über dieselben Ports. Wenn die Linecard jedoch diese DHCP-Antwortpakete empfängt, ändert sie beide Portnummern von 67 in 68, bevor die Pakete an die Routing-Engine übergeben werden. Folglich muss der Filter Port 67 für Pakete akzeptieren, die vom Client an den Server weitergeleitet werden, und Port 68 für Pakete, die vom Server an den Client weitergeleitet werden.

Wenn nicht sowohl Port 67 als auch Port 68 wie hier beschrieben angegeben angegeben werden, werden die meisten DHCP-Pakete nicht akzeptiert.

Vollständige Informationen zum Konfigurieren von Firewall-Filtern im Allgemeinen finden Sie unter Junos OS-Routing-Richtlinien, Firewall-Filter und Traffic Policers-Benutzerhandbuch für Routing-Geräte.