Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

예를 들면 다음과 같습니다. 네트워크 보호를 위한 DHCP 방화벽 필터 라우팅 엔진

이 예에서는 적절한 DHCP 패킷이 MX 시리즈 라우터의 액세스에 도달할 수 있도록 방화벽 필터를 라우팅 엔진 방법을 보여줍니다.

요구 사항

이 구성 예는 DHCP 로컬 서버 및 DHCP 릴레이 에이전트 서비스가 레거시 dhcpd 프로세스 또는 UDP 포워드(UDP 포워드) 프로세스 대신 jdhcpd 프로세스에 의해 제공되는 라우터에만 적용됩니다. MX 시리즈 라우터, M120 라우터 및 M320 라우터는 jdhcpd를 사용하며, DHCP 릴레이의 경우, 구성은 계층 수준이 아닌 계층 수준에서만 [edit forwarding-options dhcp-relay][edit forwarding-options helpers bootp] 구성이 필요하다는 뜻입니다.

이 기능을 구성하기 전에 장비 초기화 이외에는 특별한 구성이 필요하지 않습니다.

개요

적절한 DHC 라우팅 엔진P 패킷만 허용하여 라우팅 엔진 필터와 같이 네트워크에서 DHCP 패킷에 대한 일부 조치를 수행하는 방화벽 필터는 소스 및 대상 포트 모두로 포트 67(부팅)과 포트 68(부팅pc)을 구성해야 합니다.

라인 카드에서 수신되는 DHCP 패킷은 소스 및 대상 주소가 포트 68로 설정된 새로운 UDP 헤더와 함께 jdhcpd에 의해 캡슐화되어 라우팅 엔진. DHCP 릴레이 및 DHCP 프록시의 경우 라우터에서 DHCP 서버로 전송되는 패킷은 소스 및 대상 UDP 포트 모두 67로 설정됩니다. DHCP 서버는 동일한 포트를 사용하여 응답합니다. 그러나 라인 카드가 이러한 DHCP 응답 패킷을 수신하면 패킷을 패킷을 전송하기 전에 포트 번호를 67에서 68로 라우팅 엔진. 따라서 필터는 클라이언트에서 서버로 릴레이되는 패킷에 대해 포트 67을 허용하고 서버에서 클라이언트로 릴레이되는 패킷의 포트 68을 허용해야 합니다.

이 예에서는 2개의 필터 용어와 dhcp-client-acceptdhcp-server-accept 를 구성합니다. 브로드캐스트 패킷에 대한 소스 주소 및 대상 주소, DHCP 패킷에 사용되는 dhcp-client-accept UDP 프로토콜, 부트pc(68) 소스 포트를 지정하기 위한 일치 조건 이러한 조건에 일치하는 패킷은 계산 및 승인됩니다. 이 용어는 Boot ps (67) 대상 포트에 대한 일치 조건을 지정할 필요가 없습니다. 아래에서 구성한 따라, 이 용어는 DHCP 데몬에 도달하는 패킷 전달 엔진 패킷(포트 67이 jdhcpd로 변환)과 캡슐화 패킷(포트 67개로 변환)을 모두 처리할 수 있습니다.

DHCP 패킷에 사용되는 UDP 프로토콜과 소스 포트 및 대상 포트 모두에서 포트 dhcp-server-accept 67 및 68을 지정하기 위한 일치 조건을 지정합니다. 이러한 조건에 일치하는 패킷은 계산 및 승인됩니다.

주:

이 예에서는 가능한 모든 구성 선택을 표시하지 않으며 필터가 구성에 어떻게 적용되는지도 보여지지도 않습니다. 이 예는 필터의 정적 애플리케이션뿐만 아니라 동적 프로파일을 적용하는 동적 애플리케이션에도 적용됩니다.

구성

절차

CLI 빠른 구성

DHCP 필터와 같은 샘플을 라우팅 엔진 빠르게 구성하려면 다음 명령을 복사하고, 텍스트 파일에 붙여 넣은 다음 라인 브레이크를 제거한 다음, 명령어를 복제하여 CLI.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 Configuration Mode의 CLI 를 참조하십시오.

방화벽을 보호하기 위해 DHCP 방화벽 필터를 라우팅 엔진:

  1. 방화벽 필터를 생성하거나 지정합니다.

  2. 클라이언트에 대한 필터 용어를 생성합니다.

  3. DHCP 패킷에 대한 일치 조건을 지정합니다.

  4. 일치된 패킷에 대해 취할 조치를 지정합니다.

  5. 서버에 대한 필터 용어를 생성합니다.

  6. DHCP 패킷에 대한 일치 조건을 지정합니다.

  7. 일치된 패킷에 대해 취할 조치를 지정합니다.

결과

구성 모드에서 명령을 입력하여 구성을 show firewall 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

확인

DHCP 라우팅 엔진 필터가 DHCP 패킷을 올바르게 통과하는지 확인하려면 다음 작업을 수행합니다.

DHCP 필터 작동 검증

목적

DHCP 트래픽이 서버로 전달되면 두 카운터 모두 증가하는지 라우팅 엔진.

실행

작동 모드에서 명령어를 show firewall family inet filter RE-protect 입력합니다.

의미

출력에는 구성된 카운터, dhcp-클라이언트 허용 및 dhcp-server 수용이 모두 나열됩니다. 명령을 두 번 이상 발행하면 byte 및 패킷 필드가 모두 트래픽이 허용되고 카운트를 표시하는 것을 볼 수 있습니다.