Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:DHCP ファイアウォールフィルターを構成してルーティングエンジンを保護する

この例は、適切な DHCP パケットが MX シリーズルーター上のルーティングエンジンに到達できるように、ファイアウォールフィルタを設定する方法を示しています。

要件

この構成例は、DHCP ローカルサーバーおよび DHCP リレーエージェントサービスがレガシー dhcpd プロセスまたは fud (UDP 転送) プロセスではなく jdhcpd プロセスによって提供されるルーターにのみ適用されます。MX シリーズルーター、M120 ルーター、M320 ルーターは、jdhcpd を使用しています。DHCP リレーでは、階層レベルで[edit forwarding-options dhcp-relay][edit forwarding-options helpers bootp]はなく、階層レベルでのみ構成が必要になります。

この機能を構成するには、デバイス初期化以外の特別な設定は不要です。

概要

ルーティングエンジンで DHCP パケットに対して何らかのアクションを実行するファイアウォールフィルター。適切な DHCP パケットのみを許可することによってルーティングエンジンを保護するには、ポート 67 (bootps) とポート 68 (bootps) の両方を送信元と宛先の両方として設定する必要があります。接続.

ラインカードで受信した DHCP パケットは jdhcpd によってカプセル化され、送信元と宛先のアドレスがポート68に設定されてから、ルーティングエンジンに転送されるようになります。Dhcp リレーと DHCP プロキシーの場合、ルーターから DHCP サーバーに送信されるパケットには、送信元と宛先の両方の UDP ポートが67に設定します。DHCP サーバーは、同じポートを使用して応答します。しかし、ラインカードはこれらの DHCP 応答パケットを受信すると、ポート番号を67から68に変更してから、パケットをルーティングエンジンに渡します。そのため、このフィルターは、クライアントからサーバーに送信されるパケットのポート67と、サーバーからクライアントへのパケットの中継ポート68を受け入れる必要があります。

この例では、2つのフィルター条件dhcp-client-acceptdhcp-server-accept構成します。一致条件としdhcp-client-acceptて、ブロードキャストパケットの送信元アドレスと宛先アドレス、DHCP パケットに使用される UDP プロトコル、およびブート pc (68) 発信元ポートを指定します。これらの条件に一致するパケットはカウントされ、受け付けられるようになっています。この用語は、ブート ps (67) 宛先ポートのマッチング条件を指定する必要はありません。以下に設定されているとおり、この用語は、パケット転送エンジンに渡される実際のパケット (ポート 68) とカプセル化パケット (ポート67が、jdhcpd によって68に変換された) の両方を処理して DHCP デーモンに到達することができます。

Match 条件は、 dhcp-server-accept DHCP パケットに使用される UDP プロトコル、および送信元ポートと宛先ポートの両方に対して、ポート67と68の両方を指定します。これらの条件に一致するパケットはカウントされ、受け付けられるようになっています。

注:

この例では、考えられる設定のすべてを示しているわけではありません。また、設定にフィルタがどのように適用されるかを示すものでもありません。この例は、動的なプロファイルを使用した動的なアプリケーションだけでなく、フィルタの静的アプリケーションにも適用されます。

構成

手順

CLI クイック構成

サンプルルーティングエンジン DHCP フィルタを迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除してから、コマンドをコピーして CLI に貼り付けます。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

ルーティングエンジンを保護するための DHCP ファイアウォールフィルターを構成するには、次のようにします。

  1. ファイアウォールフィルターを作成または指定します。

  2. クライアントのフィルタ用語を作成します。

  3. DHCP パケットの照合条件を指定します。

  4. 一致するパケットに対して実行するアクションを指定します。

  5. サーバーのフィルター条件を作成します。

  6. DHCP パケットの照合条件を指定します。

  7. 一致するパケットに対して実行するアクションを指定します。

結果

設定モードから、 show firewallコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

ルーティングエンジン DHCP 保護フィルターが DHCP パケットを正しく転送していることを確認するには、以下のタスクを実行します。

DHCP フィルタ操作の検証

目的

DHCP トラフィックがルーティングエンジンに渡されると、両方のカウンターが増加することを確認します。

アクション

動作モードから、 show firewall family inet filter RE-protectコマンドを入力します。

この出力には、構成済みのカウンター、dhcp-クライアント/許可、dhcp サーバー承認の両方が記載されています。このコマンドを複数回実行することで、バイトとパケットフィールドの両方が、トラフィックが受け付けられ、カウントされていることを示していることがわかります。