예: 라우팅 엔진 보호를 위한 DHCP 방화벽 필터 구성

이 컨피그레이션 예는 DHCP 로컬 서버 및 DHCP 릴레이 에이전트 서비스가 레거시 dhcpd 프로세스 또는 fud(UDP 포워딩) 프로세스가 아닌 jdhcpd 프로세스에 의해 제공되는 라우터에만 적용됩니다. MX 시리즈 라우터, M120 라우터 및 M320 라우터는 jdhcpd를 사용합니다. DHCP 릴레이의 경우, 이는 구성이 [edit forwarding-options helpers bootp] 계층 수준이 아닌 [edit forwarding-options dhcp-relay] 계층 수준에서만 요구된다는 것을 의미합니다.

이 기능을 구성하기 위해 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.

적절한 DHCP 패킷만 허용하여 라우팅 엔진을 보호하는 필터와 같이 라우팅 엔진에서 DHCP 패킷에 대해 일부 작업을 수행하는 방화벽 필터는 포트 67(bootps)과 포트 68(bootpc)이 모두 소스 및 대상 포트로 구성되어야 합니다.

라인 카드에 수신된 DHCP 패킷은 라우팅 엔진으로 포워딩되기 전에 소스 및 대상 주소가 포트 68로 설정된 새로운 UDP 헤더와 함께 jdhcpd에 의해 캡슐화됩니다. DHCP 릴레이 및 DHCP 프록시의 경우 라우터에서 DHCP 서버로 전송된 패킷의 소스 및 대상 UDP 포트는 모두 67로 설정됩니다. DHCP 서버는 동일한 포트를 사용하여 응답합니다. 그러나 라인 카드가 이러한 DHCP 응답 패킷을 수신하면 패킷이 라우팅 엔진에 전달되기 전에 두 포트 번호가 67에서 68로 변경됩니다. 따라서 필터는 클라이언트에서 서버로 릴레이되는 패킷에 대한 포트 67을, 서버에서 클라이언트로 릴레이되는 패킷에 대한 포트 68을 허용해야 합니다.

이 예에서는 두 개의 필터 용어와 를 구성합니다.dhcp-client-acceptdhcp-server-accept 에 대한 일치 조건은 브로드캐스트 패킷의 소스 주소와 대상 주소, DHCP 패킷에 사용되는 UDP 프로토콜, bootpc(68) 소스 포트를 지정합니다.dhcp-client-accept 이러한 조건과 일치하는 패킷은 카운트되고 수락됩니다. 이 용어는 부트 ps(67) 대상 포트에 대한 일치 조건을 지정할 필요가 없습니다. 아래에 구성된 대로 이 용어는 패킷 전달 엔진으로 전달되는 실제 패킷(포트 68)과 DHCP 데몬에 도달하는 캡슐화된 패킷(jdhcpd에 의해 68로 변환된 포트 67)을 모두 처리할 수 있습니다.

에 대한 일치 조건은 DHCP 패킷에 사용되는 UDP 프로토콜을 지정하고 소스 포트와 대상 포트 모두에 대해 포트 67과 68을 지정합니다.dhcp-server-accept 이러한 조건과 일치하는 패킷은 카운트되고 수락됩니다.

라우팅 엔진 DHCP 보호 필터가 DHCP 패킷을 제대로 전달하는지 확인하려면 다음 작업을 수행합니다.