Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

DHCPファイアウォールフィルターのポート番号に対する要件

適切なDHCPパケットのみを許可してルーティングエンジンを保護するなど、ルーティングエンジンでDHCPパケットに対する何らかのアクションを実施するためにファイアウォールフィルターを設定する場合には、送信元と宛先の双方で、ポート67(bootps)とポート68(bootpc)の両方を指定する必要があります。ファイアウォールフィルターは、ラインカードとルーティングエンジンの両方で動作します。

この要件の適用対象はDHCPローカルサーバーとDHCPリレー双方ですが、jdhcpdプロセスがDHCPを提供する場合のみに適用されます。MXシリーズのルーターはjdhcpdを使用します。つまり、DHCPリレーでは、設定は[edit forwarding-options dhcp-relay]階層レベルでのみ設定が必要で、[edit forwarding-options helpers bootp]階層レベルでは必要ありません。

ラインカードで受信されたDHCPパケットは、jdhcpdが新しいUDPヘッダーでカプセル化し、ルーティングエンジンに転送される前に送信元と宛先アドレスがポート68に設定されます。

DHCPリレーとDHCPプロキシでは、ルーターからDHCPサーバーに送信されたパケットは送信元と宛先のUDPポートが双方とも67に設定されます。DHCPサーバーは同じポートを使用して応答します。ただし、ラインカードがこれらのDHCP応答パケットを受信すると、ルーティングエンジンにパケットをパスする前に双方のポート番号を67から68に変更します。このため、フィルターは、クライアントからサーバーにリレーされたパケットではポート67を受け入れ、サーバーからクライアントにリレーされたパケットではポート68を受け入れる必要があります。

ここで説明したとおりにポート67とポート68の双方を含めないと、ほとんどのDHCPパケットが受け入れられない結果となります。

ファイアウォールフィルターの一般的な設定に関する詳細情報については、ルーティングデバイスに対するJunos OSルーティングポリシー、ファイアウォールフィルタ、よよびトラフィックポリサーユーザーガイドを参照してください。

関連項目