MXシリーズ5GユニバーサルルーティングプラットフォームでのDHCPスプーフィングの防止
DHCP で時々発生する問題は、 DHCP スプーフィングです。信頼できないクライアントがネットワークにDHCPメッセージを殺到する。多くの場合、これらの攻撃は送信元IPアドレスのなりすましを利用して、攻撃の真の送信元を隠します。
DHCP スヌーピングは、DHCP メッセージをコントロール プレーンにコピーし、パケット内の情報を使用してアンチ スプーフィング フィルタを作成することにより、DHCP スプーフィングを防止します。スプーフィング対策フィルターは、クライアントの MAC アドレスを DHCP によって割り当てられた IP アドレスにバインドし、この情報を使用してスプーフィングされた DHCP メッセージをフィルタリングします。一般的なトポロジーでは、キャリアエッジルーター(この機能ではブロードバンドサービスルーター[BSR]とも呼ばれます)は、DHCPサーバーとスヌーピングを実行するMXシリーズルーター(またはブロードバンドサービスアグリゲータ[BSA])を接続します。MX シリーズ ルーターは、クライアントと BSR に接続します。
DHCPスヌーピングは、上記のネットワークトポロジでは次のように機能します。
クライアントは、DHCP 検出メッセージを送信して、DHCP サーバーから IP アドレスを取得します。
BSA はメッセージを代行受信し、スロット、ポート、VPI/VCI などを指定するオプション 82 の情報を追加する場合があります。
その後、BSA は DHCP ディスカバリー メッセージを BSR に送信し、BSR はそれをユニキャスト パケットに変換して DHCP サーバに送信します。
DHCP サーバーは、データベースのでクライアントの MAC アドレスとオプション 82 の情報を検索します。有効なクライアントには IP アドレスが割り当てられ、DHCP オファー メッセージを使用してクライアントに返されます。BSR と BSA の両方が、このメッセージをアップストリームからクライアントに送信します。
クライアントは DHCP オファーを調べ、許容できる場合は、BSA および BSR を介して DHCP サーバに送信される DHCP 要求メッセージを発行します。
DHCP サーバーは、IP アドレスがまだ使用可能であることを確認します。その場合、DHCP サーバーはローカル テーブルを更新し、DHCP ACK メッセージをクライアントに送信します。
BSR は DHCP ACK メッセージを受信し、そのメッセージを BSA に渡します。
BSA は、ACK メッセージ内の IP アドレスをクライアントの MAC アドレスにバインドすることにより、スプーフィング対策フィルターを作成します。この時点を過ぎると、この IP アドレスからの DHCP メッセージのうち、クライアントの MAC アドレスにバインドされていないものはすべてドロップされます。
BSA は、IP アドレスを割り当てるプロセスを完了できるように、ACK メッセージをクライアントに送信します。
DHCP スヌーピングを設定するには、DHCP グループ内に BSA の適切なインターフェイスを含めます。
[edit routing-instances routing-instance-name bridge-domains bridge-domain-name forwarding-options dhcp-relay group group-name] interface interface-name;
VPLS 環境では、DHCP リクエストは擬似回線を介して転送されます。階層レベルで VPLS を介した DHCP スヌーピングを設定できます [edit routing-instances routing-instance-name] 。
DHCP スヌーピングは、ブリッジ ドメイン内のラーニング ブリッジ単位で機能します。各学習ドメインには、アップストリーム インターフェイスが設定されている必要があります。このインターフェイスは、クライアント側からの DHCP 要求のフラッディング ポートとして機能します。DHCP リクエストは、ブリッジ ドメイン内のラーニング ドメイン間で転送されます。階層レベルでブリッジ ドメインで DHCP ス [edit routing-instances routing-instance-name bridge-domains bridge-domain-name] ヌーピングを設定できます。