Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

DHCP 방화벽 필터에 대한 포트 번호 요구 사항

라우팅 엔진에서 DHCP 패킷에 대한 적절한 DHCP 패킷만 허용함으로써 라우팅 라우팅 엔진을 보호하는 등의 일부 작업을 수행하도록 방화벽 필터를 구성할 경우 소스 및 대상 모두에 대해 포트 67(bootps)과 포트 68(bootpc)을 모두 지정해야 합니다. 방화벽 필터는 라인 카드와 라우팅 엔진 모두에서 작동합니다.

이 요구 사항은 DHCP 로컬 서버 및 DHCP 릴레이 모두에 적용되지만 jdhcpd 프로세스에 의해 DHCP가 제공될 때만 적용됩니다. MX 시리즈 라우터는 jdhcpd를 사용합니다. DHCP 릴레이의 경우, 이는 구성이 [edit forwarding-options helpers bootp] 계층 수준이 아닌 [edit forwarding-options dhcp-relay] 계층 수준에서만 요구된다는 것을 의미합니다.

라인 카드에 수신된 DHCP 패킷은 라우팅 엔진으로 포워딩되기 전에 소스 및 대상 주소가 포트 68로 설정된 새로운 UDP 헤더와 함께 jdhcpd에 의해 캡슐화됩니다.

DHCP 릴레이 및 DHCP 프록시의 경우 라우터에서 DHCP 서버로 전송된 패킷의 소스 및 대상 UDP 포트는 모두 67로 설정됩니다. DHCP 서버는 동일한 포트를 사용하여 응답합니다. 그러나 라인 카드가 이러한 DHCP 응답 패킷을 수신하면 패킷이 라우팅 엔진에 전달되기 전에 두 포트 번호가 67에서 68로 변경됩니다. 따라서 필터는 클라이언트에서 서버로 릴레이되는 패킷에 대한 포트 67을, 서버에서 클라이언트로 릴레이되는 패킷에 대한 포트 68을 허용해야 합니다.

여기에 설명된 대로 포트 67과 포트 68을 모두 포함하지 않을 경우 대부분의 DHCP 패킷이 허용되지 않습니다.

방화벽 필터 구성에 대한 자세한 정보는 Junos OS 라우팅 정책, 방화벽 필터 및 라우팅 디바이스용 트래픽 폴리서 사용자 가이드를 참조하십시오.