예: 라우팅 엔진 보호를 위한 DHCP 방화벽 필터 구성

이 구성 예는 DHCP 로컬 서버 및 DHCP 릴레이 에이전트 서비스가 레거시 dhcpd 프로세스 또는 fud(UDP 전달) 프로세스가 아닌 프로세스에 의해 jdhcpd제공되는 라우터에만 적용됩니다. MX 시리즈 라우터, M120 라우터 및 M320 라우터는 jdhcpd를 사용합니다. DHCP 릴레이는 계층 수준이 [edit forwarding-options dhcp-relay] 아닌 [edit forwarding-options helpers bootp] 계층 수준에서 구성해야 합니다.

이 기능을 구성하기 위해 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.

라우팅 엔진에서 DHCP 패킷을 처리하는 방화벽 필터는 DHCP 서버 트래픽을 위한 UDP 포트 67(bootps)과 DHCP 클라이언트 트래픽을 위한 UDP 포트 68(bootpc)을 모두 적절히 고려해야 합니다. 이러한 포트는 DHCP 작업의 기본이며 방화벽 필터 구성에서 올바르게 처리되어야 합니다.

Junos OS는 관리자가 이해해야 하는 특정 DHCP 패킷 처리 동작을 나타냅니다. 패킷이 라인 카드에서 수신되면 jdhcpd 프로세스는 캡슐화를 수행하고 UDP 헤더를 수정하여 라우팅 엔진으로 포워딩하기 전에 소스 및 대상 포트를 모두 68로 설정합니다. 이러한 포트 재작성은 주니퍼 DHCP 구현의 중요한 측면입니다.

DHCP 릴레이 및 프록시 시나리오에서 트래픽 플로우는 특정 포트 패턴을 따릅니다. 서버로 이동하는 클라이언트 생성 패킷은 처음에 소스 포트 68 및 대상 포트 67을 사용합니다. 서버가 응답할 때 소스 및 대상 포트 67을 사용하지만, 라인 카드는 또 다른 수정을 수행하여 라우팅 엔진에 전달하기 전에 포트 68에 다시 씁니다.

이러한 동작은 방화벽에 중요한 영향을 미칩니다. 적절한 DHCP 작동을 보장하려면 포트 67과 68을 모두 허용하도록 방화벽 필터를 구성해야 합니다. 이 이중 포트 요구 사항은 원래 클라이언트 요청(포트 68에서 67 사용)과 다시 작성된 서버 응답(포트 67에서 68로 변환)을 모두 수용합니다. 필터는 이러한 유연성을 유지하여 모든 합법적인 DHCP 트래픽 시나리오를 처리하는 동시에 라우팅 엔진에 의도된 보호 기능을 제공해야 합니다.

라우팅 엔진 DHCP 보호 필터가 DHCP 패킷을 제대로 전달하는지 확인하려면 다음 작업을 수행합니다.