18.12.5.2. DHCP 스누핑
Ctrl_IP_LEARNING=dhcp (DHCP 스nooping)은 특히 신뢰할 수 있는 DHCP 서버만 IP 주소를 할당할 수 있도록 하는 필터와 결합된 경우 추가 방지 방지 보안을 제공합니다. 이를 활성화하려면 변수
DHCPSERVER 를 유효한 DHCP 서버의 IP 주소로 설정하고 이 변수를 사용하여 수신되는 DHCP 응답을 필터링하는 필터를 제공합니다.
DHCP 스누핑이 활성화되고 DHCP 리스가 만료되면 게스트 가상 머신이 DHCP 서버에서 유효한 새 리스를 얻을 때까지 더 이상 IP 주소를 사용할 수 없습니다. 게스트 가상 머신이 마이그레이션되는 경우 IP 주소를 사용하는 데 유효한 새로운 DHCP 리스가 있어야 합니다(예: VM 인터페이스를 작동 중단하고 다시 작동함).
참고
자동 DHCP 탐지는 게스트 가상 머신이 인프라의 DHCP 서버와 교환하는 DHCP 트래픽을 수신 대기합니다. libvirt에 대한 서비스 거부 공격을 방지하기 위해 해당 패킷의 평가는 속도가 제한됩니다. 즉, 인터페이스에서 초당 과도한 수의 DHCP 패킷을 보내는 게스트 가상 머신에는 해당 패킷이 평가되지 않으므로 필터가 조정되지 않을 수 있습니다. 일반 DHCP 클라이언트 동작은 초당 DHCP 패킷 수가 낮은 수를 보내는 것으로 가정합니다. 또한 인프라의 모든 게스트 가상 머신에 적절한 필터를 설정하여 DHCP 패킷을 보낼 수 없도록 하는 것이 중요합니다. 따라서 게스트 가상 머신은 UDP와 TCP 트래픽을 포트 68에서 포트 68로 전송할 수 없도록 해야 하며, 모든 게스트 가상 머신에서 DHCP 서버 메시지를 신뢰할 수 있는 DHCP 서버에서만 허용하도록 제한해야 합니다. 동시에 서브넷의 모든 게스트 가상 시스템에서 거부 방지를 활성화해야 합니다.
예 18.6. DHCP 스누핑을 위한 IP 활성화
다음 XML은 DHCP 스누핑 방법을 사용하여 IP 주소 학습의 활성화에 대한 예를 제공합니다.
<interface type='bridge'>
<source bridge='virbr0'/>
<filterref filter='clean-traffic'>
<parameter name='CTRL_IP_LEARNING' value='dhcp'/>
</filterref>
</interface>
