Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Verhindern von DHCP-Spoofing auf universellen 5G-Routing-Plattformen der MX-Serie

Ein Problem, das manchmal bei DHCP auftritt, ist DHCP-Spoofing. in dem ein nicht vertrauenswürdiger Client ein Netzwerk mit DHCP-Meldungen überflutet. Häufig wird bei diesen Angriffen das Spoofing von Quell-IP-Adressen verwendet, um die wahre Quelle des Angriffs zu verschleiern.

DHCP-Snooping hilft, DHCP-Spoofing zu verhindern, indem DHCP-Nachrichten auf die Steuerungsebene kopiert und die Informationen in den Paketen verwendet werden, um Anti-Spoofing-Filter zu erstellen. Die Anti-Spoofing-Filter binden die MAC-Adresse eines Clients an seine DHCP-zugewiesene IP-Adresse und verwenden diese Informationen, um gefälschte DHCP-Nachrichten zu filtern. In einer typischen Topologie verbindet ein Carrier-Edge-Router (in dieser Funktion auch als Breitbanddienst-Router [BSR] bezeichnet) den DHCP-Server und den Router der MX-Serie (oder Broadband Services Aggregator [BSA]), der das Snooping durchführt. Der Router der MX-Serie stellt eine Verbindung zum Client und zum BSR her.

DHCP-Snooping funktioniert in der oben genannten Netzwerktopologie wie folgt:

  1. Der Client sendet eine DHCP-Ermittlungsnachricht, um eine IP-Adresse vom DHCP-Server abzurufen.

  2. Die BSA fängt die Nachricht ab und fügt möglicherweise Informationen zu Option 82 hinzu, die den Steckplatz, den Port, VPI/VCI usw. angeben.

  3. Die BSA sendet dann die DHCP-Erkennungsnachricht an den BSR, der sie in ein Unicast-Paket umwandelt und an den DHCP-Server sendet.

  4. Der DHCP-Server sucht in seiner Datenbank nach der MAC-Adresse des Clients und Informationen zu Option 82. Einem gültigen Client wird eine IP-Adresse zugewiesen, die über eine DHCP-Angebotsnachricht an den Client zurückgegeben wird. Sowohl der BSR als auch der BSA senden diese Nachricht vorgeschaltet an den Client.

  5. Der Client prüft das DHCP-Angebot und gibt eine DHCP-Anforderungsnachricht aus, die über BSA und BSR an den DHCP-Server gesendet wird, wenn es akzeptabel ist.

  6. Der DHCP-Server bestätigt, dass die IP-Adresse noch verfügbar ist. Wenn dies der Fall ist, aktualisiert der DHCP-Server seine lokalen Tabellen und sendet eine DHCP-Bestätigungsnachricht an den Client.

  7. Der BSR empfängt die DHCP-ACK-Nachricht und leitet die Nachricht an die BSA weiter.

  8. Die BSA erstellt einen Anti-Spoofing-Filter, indem sie die IP-Adresse in der ACK-Nachricht an die MAC-Adresse des Clients bindet. Nach diesem Zeitpunkt werden alle DHCP-Nachrichten von dieser IP-Adresse, die nicht an die MAC-Adresse des Clients gebunden sind, verworfen.

  9. Die BSA sendet die ACK-Nachricht an den Client, damit der Prozess der Zuweisung einer IP-Adresse abgeschlossen werden kann.

Sie konfigurieren DHCP-Snooping, indem Sie in eine DHCP-Gruppe die entsprechenden Schnittstellen der BSA aufnehmen:

In einer VPLS-Umgebung werden DHCP-Anfragen über Pseudoleitungen weitergeleitet. Sie können DHCP-Snooping über VPLS auf Hierarchieebene [edit routing-instances routing-instance-name] konfigurieren.

DHCP-Snooping funktioniert auf einer Lernbridge-Basis in Bridge-Domänen. Für jede Lerndomäne muss eine Upstreamschnittstelle konfiguriert sein. Diese Schnittstelle fungiert als Flood-Port für DHCP-Anfragen, die von der Client-Seite kommen. DHCP-Anfragen werden über Lerndomänen in einer Bridge-Domäne weitergeleitet. Sie können DHCP-Snooping für Bridge-Domänen auf Hierarchieebene [edit routing-instances routing-instance-name bridge-domains bridge-domain-name] konfigurieren.

Zugehörige Dokumentation