Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

DHCP ファイアウォールフィルターのポート番号の要件

ルーティングエンジンを保護して DHCP パケットのみを許可するなど、DHCP ルーティングエンジンパケットに対して何らかのアクションを実行するようにファイアウォールフィルターを構成する場合、送信元とユーザーの両方に対して、ポート 67 (ブート ps) とポート 68 (bootps) の両方を指定する必要があります。保存. ファイアウォールフィルターはラインカードとルーティングエンジンの両方で動作します。

この要件は DHCP ローカルサーバーと DHCP リレーの両方に適用されますが、jdhcpd プロセスによって DHCP が提供されている場合にのみ適用されることになります。MX シリーズルーターは jdhcpd を使用しています。DHCP リレーでは、階層レベルで[edit forwarding-options dhcp-relay][edit forwarding-options helpers bootp]はなく、階層レベルでのみ構成が必要になります。

ラインカードで受信した DHCP パケットは jdhcpd によってカプセル化され、送信元と宛先のアドレスがポート68に設定されてから、ルーティングエンジンに転送されるようになります。

Dhcp リレーと DHCP プロキシーの場合、ルーターから DHCP サーバーに送信されるパケットには、送信元と宛先の両方の UDP ポートが67に設定します。DHCP サーバーは、同じポートを使用して応答します。しかし、ラインカードはこれらの DHCP 応答パケットを受信すると、ポート番号を67から68に変更してから、パケットをルーティングエンジンに渡します。そのため、このフィルターは、クライアントからサーバーに送信されるパケットのポート67と、サーバーからクライアントへのパケットの中継ポート68を受け入れる必要があります。

ここで説明するように、ポート67とポート68の両方を含めることができなかった場合、ほとんどの DHCP パケットが受け付けられなくなります。

ファイアウォール フィルターの設定の全般的な詳細については、「 ルーティング ポリシー Junos OS ファイアウォール フィルター、トラフィック ポリサー ユーザー ガイド 」を 参照してください