Protection DHCP contre les cycles courts
Protection DHCP contre les sessions client fréquentes brèves ou défaillantes
Dans les réseaux à grande échelle, un nombre important de négociations client DHCP échouent avant l’établissement de la session, ce qui entraîne une charge élevée sur le routeur et les serveurs d’authentification externes. Certains appareils CPE relancent automatiquement la négociation en cas d’échec, d’autres avec des intervalles de relance très courts. Un client malveillant peut lancer une attaque d’authentification en envoyant des demandes de connexion répétées et fréquentes. Ces événements peuvent entraîner une charge importante sur le routeur et le serveur d’authentification externe.
À partir de la version 18.2R1 de Junos OS, la protection contre les cycles courts DHCP, également appelée verrouillage de client DHCP, permet au routeur de réduire ces charges en identifiant et en bloquant temporairement les clients qui échouent continuellement en négociation et qui ont des cycles de négociation courts, ainsi que les clients qui terminent fréquemment des connexions mais se déconnectent peu de temps après s’être connectés.
Les clients identifiés sont bloqués temporairement pendant une période de verrouillage exponentielle. Le routeur abandonne la détection DHCP ou sollicite des messages de ces clients alors qu’ils sont verrouillés. Le routeur suit les clients grâce à l’identifiant client pour les clients DHCPv4 ou à l’identifiant unique DHCP (DUID) pour les clients DHCPv6. Les deux types d’identificateurs client peuvent être appelés clés client. La clé client permet au serveur DHCP d’associer un client à ses paramètres de bail et de configuration. L’utilisation de la clé client pour le suivi de la protection DHCP des cycles courts permet au routeur d’empêcher un client de négocier une session tout en permettant à d’autres clients utilisant la même interface logique de négocier avec succès des sessions.
La période de verrouillage initiale d’un client est courte. L’objectif ici est de ne pas affecter négativement les clients légitimes, par exemple, ceux qui échouent une seule fois ou qui se connectent périodiquement pour vérifier leur courrier électronique puis se déconnecter à nouveau. En ciblant les clients qui échouent continuellement en négociation ou qui se connectent et se déconnectent fréquemment à de courts intervalles, la protection à cycle court réduit à la fois la charge de traitement des connexions sur le routeur et la charge d’authentification sur les serveurs d’authentification externes. Elle a pour effet d’améliorer le débit en différant les sessions client qui ne progressent pas au profit des sessions qui se terminent.
- Conditions pouvant entraîner l’échec ou la brièveté des sessions client DHCP
- Comment fonctionne la protection DHCP contre les cycles courts
- Fin de la condition de verrouillage
- Avantages de l’utilisation de la protection DHCP contre les cycles courts
Conditions pouvant entraîner l’échec ou la brièveté des sessions client DHCP
Les conditions qui peuvent entraîner l’échec ou la courte durée d’une session client sont les suivantes :
Refus d’authentification provenant de serveurs AAA externes, tels que RADIUS ou Diameter, en raison de l’absence d’une entrée correspondante dans la base de données RADIUS ou en raison de tentatives de connexion incorrectes.
L’inaccessibilité du routeur ou du serveur d’authentification externe en raison d’une défaillance ou d’une mauvaise configuration du réseau.
Ressources mémoire insuffisantes pour créer une interface d’abonné dynamique.
Échecs de négociation de protocole avec le CPE.
Déconnexion du client peu de temps après une connexion réussie ; Cette action crée une session client entièrement négociée et configurée avant que la session ne soit interrompue.
Comment fonctionne la protection DHCP contre les cycles courts
La protection contre les cycles courts DHCP est désactivée par défaut sur le routeur. Lorsque vous l’activez en incluant l’instruction short-cycle-protection au niveau global, du groupe ou de l’interface, le routeur effectue les opérations suivantes pour les sessions DHCP sur des interfaces logiques statiques et dynamiques :
Détecte les sessions client de courte durée, également appelées événements à cycle court, et verrouille le client en fonction des événements suivants :
E0 : heure à laquelle jdhcpd déclare la session client active.
E1 : Heure à laquelle jdhcpd déclare que la session client doit être interrompue.
E2 : Temps pendant lequel jdhcpd supprime l’entrée de session client de la base de données.
Un événement à cycle court se produit lorsque l’intervalle entre E0 et E1 est inférieur ou égal à 60 secondes. Lorsque l’intervalle est supérieur à 60 secondes, la déconnexion est considérée comme normale. Si le routeur déclare que la session est de courte durée, il ajoute le client à la base de données de verrouillage au moment E2.
Bloque temporairement le client DHCP spécifié en empêchant la connexion au routeur.
Pendant le verrouillage, le routeur abandonne les paquets de négociation (messages de découverte et de sollicitation DHCP) du client jusqu’à l’expiration de la période de verrouillage. À l’expiration de la période de verrouillage, le client peut reprendre la négociation normale de la connexion.
Vous pouvez définir une plage pour la période de verrouillage en spécifiant une durée minimale et maximale avec l’instruction
short-cycle-protection. Vous devez spécifier une valeur minimale et une valeur maximale.Suit le temps entre les événements à cycle court répétés d’un client pour déterminer s’il faut augmenter le temps de verrouillage pour un événement à cycle court ultérieur. L’intervalle entre les événements est comparé au seuil de temps de grâce. Par défaut, le seuil de temps de grâce est de 900 secondes, mais il est automatiquement défini sur le temps de verrouillage maximal si cette valeur est supérieure à 900 secondes.
Si aucune négociation ultérieure n’est tentée dans le délai de grâce, l’entrée client est supprimée de la base de données de verrouillage.
Si une négociation ultérieure est tentée avant que le seuil de grâce ne soit atteint, elle est traitée comme un autre événement à cycle court et la pénalité de verrouillage est augmentée. La pénalité est augmentée de manière exponentielle chaque fois que la négociation est tentée dans le délai de grâce.
La période de verrouillage initiale est basée sur la valeur minimale configurée. Les pénalités supplémentaires sont calculées comme suit, où n est le nombre d’événements consécutifs à cycle court qui se produisent au cours du délai de grâce :
Durée du cadenassage = (Durée minimale de cadenassage) x [2(n-1)]
Par exemple, avec une durée minimale de 1 seconde et une durée maximale de 300 secondes, la période de verrouillage initiale est de 1 seconde ; Les pénalités suivantes passent à 2 secondes, puis à 4 secondes, 8 secondes, 16 secondes, 32 secondes, 64 secondes, 128 secondes, 256 secondes et enfin 300 secondes. La période finale de verrouillage est de 300 secondes au lieu de 512 secondes car aucune pénalité ne peut dépasser la valeur maximale de la plage de cadenassage.
Si le temps de verrouillage atteint le maximum, il reste à cette valeur pour chaque période de verrouillage suivante jusqu’à ce que le temps entre les événements à cycle court soit supérieur au seuil de grâce.
Fin de la condition de verrouillage
Lorsqu’un client DHCP est verrouillé, la condition de verrouillage persiste jusqu’à l’expiration de tous les délais de verrouillage, sauf dans l’un des cas suivants :
Vous désactivez administrativement la condition de verrouillage en exécutant l’une des commandes opérationnelles suivantes :
clear dhcp relay lockout-entriesclear dhcp server lockout-entriesclear dhcpv6 relay lockout-entriesclear dhcpv6 server lockout-entries
Vous réinitialisez le FPC sur lequel la session client en cours de verrouillage est configurée.
Vous réinitialisez le moteur de routage.
Lorsque l’un de ces événements se produit, jdhcpd met fin au verrouillage et efface l’historique de verrouillage de toutes les sessions client concernées. Les clients libérés sont autorisés à négocier à nouveau. Comme il n’y a pas d’historique conservé, la période de verrouillage commence avec la valeur minimale si un événement à cycle court ultérieur se produit pour l’un de ces clients.
Lorsqu’un VLAN dynamique ou une interface logique VLAN démultiplexé est supprimé d’une interface physique sous-jacente configurée avec remove-when-no-subscribers, le verrouillage des clients affectés persiste jusqu’à l’expiration de tous les temporisateurs. Si l’interface logique est recréée avant l’expiration de tous les temporisateurs, l’état de verrouillage est appliqué aux interfaces logiques recréées.
Avantages de l’utilisation de la protection DHCP contre les cycles courts
Réduit la charge excessive du plan de contrôle sur le routeur et la charge d’authentification, d’autorisation et de provisionnement sur le serveur d’autorité externe.
Réduit les ressources nécessaires pour traiter les paquets de contrôle DHCP et pour négocier et résilier les connexions de courte durée.
Reporte temporairement les tentatives ultérieures pour les clients dont les sessions client ont échoué ou de courte durée en faveur des sessions qui peuvent se terminer avec succès et durer plus d’une courte durée.
Réduit les ressources nécessaires pour authentifier et mettre fin à ces connexions sur les serveurs d’authentification externes, tels que RADIUS et Diameter.
Permet de verrouiller une session DHCP unique ayant échoué ou de courte durée sans interrompre les autres sessions DHCP sur la même interface.
Étant donné que la protection DHCP des cycles courts identifie chaque session client par son ID client unique, le routeur peut verrouiller uniquement le client DHCP incriminé tout en permettant à d’autres clients DHCP sur la même interface de négocier correctement la connexion.
Configuration de la protection DHCP contre les cycles courts
Dans les réseaux à grande échelle, un nombre important de négociations client DHCP échouent avant l’établissement de la session, ce qui entraîne une charge élevée sur le routeur et les serveurs d’authentification externes. Vous pouvez activer la protection DHCP contre les cycles courts sur le routeur pour identifier les clients DHCP qui se connectent fréquemment et brièvement ou qui échouent continuellement à se connecter, puis verrouiller l’accès des clients et abandonner les demandes ultérieures de ces clients jusqu’à l’expiration d’un délai de verrouillage. Pour les clients qui se connectent fréquemment et brièvement à plusieurs reprises, le temps de verrouillage initial est suffisamment court pour n’avoir aucun impact notable. Au fur et à mesure que ces brèves connexions se poursuivent, la période de verrouillage augmente de façon exponentielle. En ciblant les clients qui échouent continuellement à la négociation ou qui se connectent et se déconnectent fréquemment à de courts intervalles, la protection à cycle court réduit la charge de traitement des connexions sur le routeur et la charge d’authentification, d’autorisation et de provisionnement sur les serveurs d’authentification externes.
Vous pouvez configurer la plage pour la période de verrouillage pour le relais DHCPv4, le relais DHCPv6, le serveur local DHCPv4 et le serveur local DHCPv6. Vous pouvez configurer la période globalement pour toutes les interfaces de l’agent de relais ou du serveur local, pour un groupe d’interfaces ou pour des interfaces spécifiques au sein d’un groupe. Pour le relais DHCPv4 et le serveur local, vous pouvez également configurer le verrouillage pour un groupe à double pile.
Lorsque vous activez la protection contre les cycles courts, vous devez spécifier la durée minimale et maximale de la période de verrouillage.
Pour configurer la plage de verrouillage de l’agent de relais DHCPv4 :
Spécifiez les durées de verrouillage minimale et maximale.
Pour tous les agents de relais DHCPv4 :
[edit forwarding-options dhcp-relay] user@host# set short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Pour un groupe spécifique d’interfaces de relais DHCPv4 :
[edit forwarding-options dhcp-relay] user@host# set group group-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Pour une interface spécifique au sein d’un groupe spécifié d’interfaces de relais DHCPv4 :
[edit forwarding-options dhcp-relay] user@host# set group group-name interface interface-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Pour un groupe à double pile de relais DHCPv4 :
[edit forwarding-options dhcp-relay] user@host# set dual-stack-group dual-stack-group-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds
Pour configurer la plage de verrouillage de l’agent de relais DHCPv6 :
Spécifiez les durées de verrouillage minimale et maximale.
Pour tous les agents de relais DHCPv6 :
[edit forwarding-options dhcp-relay dhcpv6] user@host# set short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Pour un groupe spécifique d’interfaces de relais DHCPv6 :
[edit forwarding-options dhcp-relay dhcpv6] user@host# set group group-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Pour une interface spécifique au sein d’un groupe spécifié d’interfaces de relais DHCPv6 :
[edit forwarding-options dhcp-relay dhcpv6] user@host# set group group-name interface interface-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Pour configurer la plage de verrouillage pour le serveur local DHCPv4 :
Spécifiez les durées de verrouillage minimale et maximale.
Pour tous les serveurs locaux DHCPv4 :
[edit system services dhcp-local-server] user@host# set short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Pour un groupe spécifique d’interfaces de serveur local DHCPv4 :
[edit system services dhcp-local-server] user@host# set group group-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Pour une interface spécifique au sein d’un groupe spécifié d’interfaces de serveur local DHCPv4 :
[edit system services dhcp-local-server] user@host# set group group-name interface interface-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Pour un groupe à double pile de serveur local DHCPv4 :
[edit system services dhcp-local-server] user@host# set dual-stack-group dual-stack-group-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Pour configurer la plage de verrouillage pour le serveur local DHCPv6 :
Spécifiez les durées de verrouillage minimale et maximale.
Pour tous les serveurs locaux DHCPv6 :
[edit system services dhcp-local-server dhcpv6] user@host# set short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Pour un groupe spécifique d’interfaces de serveur local DHCPv6 :
[edit system services dhcp-local-server dhcpv6] user@host# set group group-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Pour une interface spécifique au sein d’un groupe spécifié d’interfaces de serveur local DHCPv6 :
[edit system services dhcp-local-server dhcpv6] user@host# set group group-name interface interface-name short-cycle-protection <lockout-max-time seconds> <lockout-min-time seconds>
Vérification et gestion de la protection DHCP contre les cycles courts
Objet
Afficher ou effacer des informations sur les opérations de protection DHCP à cycle court.
Utilisez les commandes supported show and pour clear gérer et afficher des informations sur les opérations de protection à cycle court pour l’agent de relais DHCP et le serveur local DHCP. Vous pouvez afficher des informations sur toutes les entrées verrouillées ou uniquement sur les entrées individuelles identifiées par leur numéro d’index de base de données.
Mesures à prendre
Pour afficher des informations de protection contre les cycles courts pour l’agent de relais DHCPv4 ou DHCPv6 :
user@host> show dhcp relay lockout-entries (all | index index) user@host> show dhcpv6 relay lockout-entries (all | index index)
Pour effacer les informations de protection contre les cycles courts pour l’agent de relais DHCPv4 ou DHCPv6 :
user@host> clear dhcp relay lockout-entries (all | index index) user@host> clear dhcpv6 relay lockout-entries (all | index index)
Pour afficher les informations de protection contre les cycles courts pour le serveur local DHCPv4 ou DHCPv6 :
user@host> show dhcp server lockout-entries (all | index index) user@host> show dhcpv6 server lockout-entries (all | index index)
Pour effacer les informations de protection contre les cycles courts pour le serveur local DHCPv4 ou DHCPv6 :
user@host> clear dhcp server lockout-entries (all | index index) user@host> clear dhcpv6 server lockout-entries (all | index index)
Signification
Lorsque vous incluez l’option all avec ces show commandes, des informations sont fournies pour chaque entrée client dans la base de données de verrouillage, telles que le numéro d’index correspondant à l’entrée dans la base de données, la clé d’identification du client, l’état du verrouillage, le nombre de secondes avant la fin de l’état actuel, la durée de l’état actuel, et le nombre de fois consécutives que le client a été verrouillé.
Lorsque vous souhaitez supprimer des informations de la base de données de verrouillage pour un client particulier, vous devez d’abord exécuter la commande correspondante show avec l’option all permettant de déterminer l’index de l’entrée client. Ensuite, vous pouvez spécifier cet index avec la clear commande.
Dans l’exemple suivant, vous affichez toutes les entrées client verrouillées pour que l’agent de relais DHCPv4 recherche le numéro d’index d’un client particulier, puis vous effacez uniquement cette entrée et vérifiez qu’elle est supprimée :
user@host> show dhcp relay lockout-entries all Index Key State Expires(s) Elapsed(s) Count 1 00:00:5E:00:53:00 LT 30 5200 2 2 00:00:5E:00:53:11 GT 120 780 2 3 00:00:5E:00:53:22 LT 180 2300 1 user@host> clear dhcp relay lockout-entries index 2 user@host> show dhcp relay lockout-entries all Index Key State Expires(s) Elapsed(s) Count 1 00:00:5E:00:53:00 LT 30 5200 2 3 00:00:5E:00:53:22 LT 180 2300 1
Dans l’exemple suivant, vous affichez toutes les entrées client verrouillées pour le serveur local DHCPv6, puis vous effacez toutes les entrées et vérifiez qu’elles sont supprimées :
user@host> show dhcp relay lockout-entries all Index Key State Expires(s) Elapsed(s) Count 1 00:00:5E:00:53:00 LT 30 5200 2 2 00:00:5E:00:53:11 GT 120 780 2 3 00:00:5E:00:53:22 LT 180 2300 1 user@host> clear dhcp relay lockout-entries all user@host> show dhcp relay lockout-entries all
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.