Juniper EX交换机配置RE-Protect后,不能透传DHCP协议数据包

2023-11-11 02:40
文章标签 配置 协议 数据包 不能 交换机 re dhcp ex 透传 juniper protect

本文主要是介绍Juniper EX交换机配置RE-Protect后,不能透传DHCP协议数据包,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

TOP:
Juniper EX交换机配置RE-Protect后,不能透传DHCP协议数据包

MX作为DHCP Server,为终端用户分配IP地址,EX汇聚和EX接入交换机二层透传DHCP数据包给DHCP Server。

EX汇聚和EX接口因为某些***流量,导致交换机的CPU的使用100%,为了过滤异常流量,我开始在EX交换机上部署RE-Protech。因为二层交换机,不承载三层业务,只需要管理交换机即可。

RE保护配置如下:
/ 开启交换机上的telnet管理功能 /
set firewall family inet filter Protect-RE term telnet from protocol tcp
set firewall family inet filter Protect-RE term telnet from destination-port 23
set firewall family inet filter Protect-RE term telnet then accept
/ 开启交换机上的icmp功能 /
set firewall family inet filter Protect-RE term icmp from protocol icmp
set firewall family inet filter Protect-RE term icmp then accept
/ 开启交换机上的ftp功能 /
set firewall family inet filter Protect-RE term ftp from protocol tcp
set firewall family inet filter Protect-RE term ftp from destination-port ftp
set firewall family inet filter Protect-RE term ftp from destination-port ftp-data
set firewall family inet filter Protect-RE term ftp then accept
/ 其它所有的功能,视为不可信流量,全部丢弃/
set firewall family inet filter Protect-RE term deny-all then discard

注:低端交换的RE保护不能配置,count,log等辅助功能;

/在loopback接口调用RE保护,在junos中lo0是PFE与RE之间的通道/
set interfaces lo0 unit 0 family inet filter input Protect-RE

以上配置完成后,交换机的管理和业务测试正常。但是,过了半小时后,接到报障,所有DHCP的用户不能获取IP地址,也不能完成时间续租。

经过排查,因为EX交换机开启了DHCP Snooping的检测机制,交换机需要对DHCP数据包进行分析,RE保护中没有放行DHCP流量,导致用户无法DHCP协商。

修改如下配置,开启交换机对DHCP数据包的处理。
set firewall family inet filter Protect-RE term dhcp from protocol udp
set firewall family inet filter Protect-RE term dhcp from destination-port
set firewall family inet filter Protect-RE term dhcp from destination-port 67
set firewall family inet filter Protect-RE term dhcp from destination-port 68
set firewall family inet filter Protect-RE term dhcp then accept

set firewall family inet filter Protect-RE term boot from protocol udp
set firewall family inet filter Protect-RE term boot from destination-port bootpc
set firewall family inet filter Protect-RE term boot then accept
set firewall family inet filter Protect-RE term boots from destination-port bootps
set firewall family inet filter Protect-RE term boots then accept

严谨的配置方式:
set firewall family inet filter RE-protect term dhcp-client-accept from source-address 0.0.0.0/32
set firewall family inet filter RE-protect term dhcp-client-accept from destination-address 255.255.255.255/32
set firewall family inet filter RE-protect term dhcp-client-accept from protocol udp
set firewall family inet filter RE-protect term dhcp-client-accept from source-port 68
set firewall family inet filter RE-protect term dhcp-client-accept from destination-port 67
set firewall family inet filter RE-protect term dhcp-client-accept then count dhcp-client-accept
set firewall family inet filter RE-protect term dhcp-client-accept then accept

set firewall family inet filter RE-protect term dhcp-server-accept from protocol udp
set firewall family inet filter RE-protect term dhcp-server-accept from source-port 67
set firewall family inet filter RE-protect term dhcp-server-accept from source-port 68
set firewall family inet filter RE-protect term dhcp-server-accept from destination-port 67
set firewall family inet filter RE-protect term dhcp-server-accept from destination-port 68
set firewall family inet filter RE-protect term dhcp-server-accept then count dhcp-server-accept
set firewall family inet filter RE-protect term dhcp-server-accept then accept

配置增加后,DHCP用户可以从MX路由器上获取IP地址,正常的访问Internet。

EX交换机上查看DHCP Snooping状态:
{master:0}
admin@EX2200> show dhcp snooping binding
DHCP Snooping Information:
MAC address IP address Lease (seconds) Type VLAN Interface
40:62:31:04:0A:40 10.33.81.227 542 dynamic vlan851 ge-0/0/45.0
08:10:75:D8:E9:E2 10.33.83.44 496 dynamic vlan853 ge-0/0/19.0
1C:39:47:C9:78:92 10.33.83.71 33 dynamic vlan853 ge-0/0/25.0
1C:AF:F7:D1:4E:AE 10.33.83.222 536 dynamic vlan853 ge-0/0/37.0
34:17:EB:DF:7F:5D 10.33.83.211 549 dynamic vlan853 ge-0/0/23.0
38:A2:8C:D9:FC:43 10.33.83.75 273 dynamic vlan853 ge-0/0/20.0
50:9A:4C:0D:28:17 10.33.83.100 322 dynamic vlan853 ge-0/0/4.0
58:D9:D5:47:01:08 10.33.83.68 554 dynamic vlan853 ge-0/0/5.0
98:90:96:AC:A4:3E 10.33.83.59 375 dynamic vlan853 ge-0/0/2.0
98:EE:CB:45:24:2E 10.33.83.50 490 dynamic vlan853 ge-0/0/6.0
98:EE:CB:69:EB:7D 10.33.83.243 315 dynamic vlan853 ge-0/0/7.0
A4:93:3F:5B:0B:54 10.33.83.74 192 dynamic vlan853 ge-0/0/25.0
FC:4D:D4:D7:D3:36 10.33.83.20 450 dynamic vlan853 ge-0/0/13.0

当Juniper设备配置了RE保护后,每开启一个新的协调,需要在RE保护中也放行,RE保护默认新增的策略最在最后,需要使用insert命令,结合after,before的调整每个term项的顺序。

转载于:https://blog.51cto.com/ciscosyh/2370777

这篇关于Juniper EX交换机配置RE-Protect后,不能透传DHCP协议数据包的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!

原文地址:https://blog.csdn.net/weixin_34290096/article/details/92262623
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.chinasem.cn/article/386974

相关文章

浅谈配置MMCV环境,解决报错,版本不匹配问题

浅谈配置MMCV环境,解决报错,版本不匹配问题

《浅谈配置MMCV环境,解决报错,版本不匹配问题》:本文主要介绍浅谈配置MMCV环境,解决报错,版本不匹配问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录配置MMCV环境,解决报错,版本不匹配错误示例正确示例总结配置MMCV环境,解决报错,版本不匹配在col
阅读更多...
Nginx中配置HTTP/2协议的详细指南

Nginx中配置HTTP/2协议的详细指南

《Nginx中配置HTTP/2协议的详细指南》HTTP/2是HTTP协议的下一代版本,旨在提高性能、减少延迟并优化现代网络环境中的通信效率,本文将为大家介绍Nginx配置HTTP/2协议想详细步骤,需... 目录一、HTTP/2 协议概述1.HTTP/22. HTTP/2 的核心特性3. HTTP/2 的优
阅读更多...
Python 安装和配置flask, flask_cors的图文教程

Python 安装和配置flask, flask_cors的图文教程

《Python安装和配置flask,flask_cors的图文教程》:本文主要介绍Python安装和配置flask,flask_cors的图文教程,本文通过图文并茂的形式给大家介绍的非常详细,... 目录一.python安装:二,配置环境变量,三:检查Python安装和环境变量,四:安装flask和flas
阅读更多...
关于WebSocket协议状态码解析

关于WebSocket协议状态码解析

《关于WebSocket协议状态码解析》:本文主要介绍关于WebSocket协议状态码的使用方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录WebSocket协议状态码解析1. 引言2. WebSocket协议状态码概述3. WebSocket协议状态码详解3
阅读更多...
SpringCloud动态配置注解@RefreshScope与@Component的深度解析

SpringCloud动态配置注解@RefreshScope与@Component的深度解析

《SpringCloud动态配置注解@RefreshScope与@Component的深度解析》在现代微服务架构中,动态配置管理是一个关键需求,本文将为大家介绍SpringCloud中相关的注解@Re... 目录引言1. @RefreshScope 的作用与原理1.1 什么是 @RefreshScope1.
阅读更多...
SpringBoot日志配置SLF4J和Logback的方法实现

SpringBoot日志配置SLF4J和Logback的方法实现

《SpringBoot日志配置SLF4J和Logback的方法实现》日志记录是不可或缺的一部分,本文主要介绍了SpringBoot日志配置SLF4J和Logback的方法实现,文中通过示例代码介绍的非... 目录一、前言二、案例一:初识日志三、案例二:使用Lombok输出日志四、案例三:配置Logback一
阅读更多...
springboot security之前后端分离配置方式

springboot security之前后端分离配置方式

《springbootsecurity之前后端分离配置方式》:本文主要介绍springbootsecurity之前后端分离配置方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的... 目录前言自定义配置认证失败自定义处理登录相关接口匿名访问前置文章总结前言spring boot secu
阅读更多...
一文详解SpringBoot响应压缩功能的配置与优化

一文详解SpringBoot响应压缩功能的配置与优化

《一文详解SpringBoot响应压缩功能的配置与优化》SpringBoot的响应压缩功能基于智能协商机制,需同时满足很多条件,本文主要为大家详细介绍了SpringBoot响应压缩功能的配置与优化,需... 目录一、核心工作机制1.1 自动协商触发条件1.2 压缩处理流程二、配置方案详解2.1 基础YAML
阅读更多...
springboot简单集成Security配置的教程

springboot简单集成Security配置的教程

《springboot简单集成Security配置的教程》:本文主要介绍springboot简单集成Security配置的教程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,... 目录集成Security安全框架引入依赖编写配置类WebSecurityConfig(自定义资源权限规则
阅读更多...
SpringBoot中封装Cors自动配置方式

SpringBoot中封装Cors自动配置方式

《SpringBoot中封装Cors自动配置方式》:本文主要介绍SpringBoot中封装Cors自动配置方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录SpringBoot封装Cors自动配置背景实现步骤1. 创建 GlobalCorsProperties
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2