Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Prévention de lusurpation DHCP sur les plates-formes de routage universelles 5G MX Series

Un problème qui se produit parfois avec DHCP est l’usurpation DHCP. dans lequel un client non fiable inonde un réseau de messages DHCP. Souvent, ces attaques utilisent l’usurpation d’adresse IP source pour dissimuler la véritable source de l’attaque.

La surveillance DHCP permet d’éviter l’usurpation DHCP en copiant les messages DHCP dans le plan de contrôle et en utilisant les informations contenues dans les paquets pour créer des filtres anti-usurpation d’identité. Les filtres anti-usurpation d’identité lient l’adresse MAC d’un client à son adresse IP attribuée par DHCP et utilisent ces informations pour filtrer les messages DHCP usurpés. Dans une topologie typique, une routeur de périphérie porteuse (également appelée « routeur de services à large bande » [BSR] dans cette fonction) connecte le serveur DHCP et le routeur MX Series (ou agrégateur de services à large bande [BSA]) qui effectue l’espionnage. Le routeur MX Series se connecte au client et au BSR.

L’écoute DHCP fonctionne comme suit dans la topologie de réseau mentionnée ci-dessus :

  1. Le client envoie un message de découverte DHCP pour obtenir une adresse IP du serveur DHCP.

  2. Le BSA intercepte le message et peut ajouter des informations de l’option 82 spécifiant l’emplacement, le port, VPI/VCI, etc.

  3. Le BSA envoie ensuite le message de découverte DHCP au BSR, qui le convertit en paquet unicast et l’envoie au serveur DHCP.

  4. Le serveur DHCP recherche l’adresse MAC du client et les informations de l’option 82 dans sa base de données. Une adresse IP est attribuée à un client valide, qui lui est renvoyée à l’aide d’un message d’offre DHCP. Le BSR et le BSA envoient tous deux ce message en amont au client.

  5. Le client examine l’offre DHCP et, si elle est acceptable, émet un message de demande DHCP qui est envoyé au serveur DHCP via le BSA et le BSR.

  6. Le serveur DHCP confirme que l’adresse IP est toujours disponible. Si c’est le cas, le serveur DHCP met à jour ses tables locales et envoie un message DHCP ACK au client.

  7. Le BSR reçoit le message DHCP ACK et le transmet au BSA.

  8. Le BSA crée un filtre anti-usurpation d’identité en liant l’adresse IP du message ACK à l’adresse MAC du client. Après ce point, tous les messages DHCP de cette adresse IP qui ne sont pas liés à l’adresse MAC du client sont abandonnés.

  9. Le BSA envoie le message ACK au client afin que le processus d’attribution d’une adresse IP puisse être terminé.

Pour configurer la surveillance DHCP, incluez dans un groupe DHCP les interfaces appropriées du BSA :

Dans un environnement VPLS, les requêtes DHCP sont transmises via des pseudowires. Vous pouvez configurer l’écoute DHCP sur VPLS au niveau de la [edit routing-instances routing-instance-name] hiérarchie.

La surveillance DHCP fonctionne par pont d’apprentissage dans les domaines de pont. Chaque domaine d’apprentissage doit disposer d’une interface en amont. Cette interface sert de port d’inondation pour les requêtes DHCP provenant du client. Les requêtes DHCP sont transférées entre les domaines d’apprentissage dans un domaine de pont. Vous pouvez configurer l’écoute DHCP sur les domaines de pont au niveau de la [edit routing-instances routing-instance-name bridge-domains bridge-domain-name] hiérarchie.

Documentation connexe