Exemplo: Configuração do Unicast RPF (em um switch)
Este exemplo mostra como ajudar a defender interfaces de entrada contra ataques de negação de serviço (DoS) e negação de serviço distribuída (DDoS), configurando RPF unicast (uRPF) para filtrar o tráfego de entrada.
Requisitos
Este exemplo usa dois switches EX, referidos neste tópico como Switch A e Switch B. Certos modelos de switch EX permitem que você configure uRPF em interfaces individuais. Considerando que em determinados modelos de switch EX você não pode configurar interfaces individuais para uRPF — o switch aplica uRPF globalmente a todas as interfaces do switch.
-
Qualquer versão do Junos OS para switches EX, mas não antes do Junos OS Release 10.1
-
Dois switches EX que oferecem suporte à configuração uRPF em interfaces individuais.
Antes de começar, certifique-se de ter:
-
Conectou os dois switches por interfaces simétricas roteadas.
-
Certifique-se de que a interface na qual você configurará o RPF unicast é roteada simetricamente. Uma interface simétrica é uma interface que usa a mesma rota em ambas as direções entre a fonte e o destino. Não habilite o RPF unicast em interfaces assimétricas. Uma interface roteada assimétrica usa diferentes caminhos para enviar e receber pacotes entre a fonte e o destino.
-
Neste exemplo, se você estiver usando switches EX que aplicam uRPF globalmente a todas as interfaces, então garanta que todas as interfaces de switch sejam roteadas simetricamente antes de habilitar o RPF unicast em uma interface. Quando você habilita o RPF unicast em qualquer interface, ele é habilitado globalmente em todas as interfaces de switch. Não habilite o RPF unicast em interfaces assimétricas. Uma interface roteada assimétrica usa diferentes caminhos para enviar e receber pacotes entre a fonte e o destino.
Visão geral e topologia
Neste exemplo, o administrador de sistema de uma rede empresarial quer proteger o Switch A contra possíveis ataques do DoS e DDoS da Internet. O administrador configura RPF unicast na interface xe-0/0/4 no Switch A. Os pacotes que chegam na interface xe-0/0/4 no Switch A da fonte do Switch B também usam a interface de entrada xe-0/0/4 como o melhor caminho de retorno para enviar pacotes de volta à fonte. Nesta topologia, o Switch A e o Switch B são ambos conectados por interfaces simétricas.
-
O Switch A está na borda de uma rede empresarial. A interface xe-0/0/4 no Switch A se conecta à interface xe-0/0/5 no Switch B.
-
O Switch B está na borda da rede de provedores de serviços que conecta a rede empresarial à Internet.
Topologia
Configuração
Para habilitar o RPF unicast, execute essas tarefas:
Procedimento
Configuração rápida da CLI
Para configurar rapidamente o RPF unicast no Switch A, copie o seguinte comando e cole-o na janela de terminal do switch:
[edit interfaces] set xe-0/0/4 unit 0 family inet rpf-check
Procedimento passo a passo
Para configurar RPF unicast no Switch A:
-
Habilite o RPF unicast na interface xe-0/0/4:
[edit interfaces] user@switch# set xe-0/0/4 unit 0 family inet rpf-check
Resultados
Confira os resultados:
[edit interfaces]
user@switch# show
xe-0/0/4 {
unit 0 {
family inet {
rpf-check;
}
}
}
Desativação do RPF Unicast
Procedimento
Procedimento passo a passo
Verificação
O encaminhamento de caminho reverso (RPF) da Unicast pode ajudar a proteger sua LAN contra ataques de negação de serviço (DoS) e negação de serviço distribuído (DDoS) em interfaces não confiáveis. O RPF unicast filtra o tráfego com endereços de origem que não usam a interface de entrada como o melhor caminho de retorno de volta à fonte. Se a configuração de rede mudar para que uma interface que tenha RPF unicast habilitado se torne uma interface confiável ou se torne roteada assimétrica (a interface que recebe um pacote não é o melhor caminho de retorno para a fonte do pacote), desabiibiliza rPF unicast.
Para desabilitar o uRPF em switches EX que aplicam uRPF globalmente a todas as interfaces, você deve deletá-lo de todas as interfaces em que a configurou explicitamente. Se você não desativar o RPF unicast em todas as interfaces em que a habilitou explicitamente, ele permanecerá implícito habilitado em todas as interfaces. Se você tentar excluir o RPF unicast de uma interface na qual ele não estava explicitamente habilitado, a warning: statement not found mensagem será exibida. Se você não desabilitar RPF unicast em todas as interfaces em que a habilitou explicitamente, o RPF unicast permanece implícito habilitado em todas as interfaces.
Nos modelos de switch EX que permitem configurar uRPF em interfaces individuais, o switch não aplica RPF unicast a uma interface a menos que você habilite explicitamente essa interface para RPF unicast.
Para desativar o RPF unicast, exclua sua configuração da interface:
[editar interfaces]user@switch# delete xe-0/0/4 unit 0 family inet rpf-check
Verificando se o Unicast RPF está habilitado no switch
Propósito
Verifique se o RPF unicast está habilitado e funcionando na interface.
Ação
Use um dos show interfaces interface-name comandos com as opções extensas ou detalhadas para verificar se o RPF unicast está habilitado e trabalhando no switch. O exemplo abaixo exibe a saída do show interfaces ge- extensive comando.
user@switch> show interfaces xe-0/0/4.0 extensive
Physical interface: xe-0/0/4, Enabled, Physical link is Up
Interface index: 147, SNMP ifIndex: 659
Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Speed: 10Gbps, BPDU Error: None, Loop Detect PDU Error: None, Ethernet-Switching Error: None,
MAC-REWRITE Error: None, Loopback: None, Source filtering: Disabled, Flow control: Enabled, Speed Configuration: Auto
Device flags : Present Running
Interface flags: SNMP-Traps Internal: 0x4000
Link flags : None
CoS queues : 8 supported, 8 maximum usable queues
Current address: 84:c1:c1:7b:a8:04, Hardware address: 84:c1:c1:7b:a8:04
Last flapped : 2023-04-04 10:34:13 PDT (00:01:29 ago)
Input rate : 0 bps (0 pps)
Output rate : 0 bps (0 pps)
Active alarms : None
Active defects : None
PCS statistics Seconds
Bit errors 2
Errored blocks 2
Link Degrade :
Link Monitoring : Disable
Interface transmit statistics: Disabled
Logical interface xe-0/0/4.0 (Index 335) (SNMP ifIndex 696)
Flags: Up SNMP-Traps 0x4004000 Encapsulation: ENET2
Input packets : 0
Output packets: 1
Protocol inet, MTU: 1500
Max nh cache: 100000, New hold nh limit: 100000, Curr nh cnt: 0, Curr new hold cnt: 0, NH drop cnt: 0
Flags: Sendbcast-pkt-to-re, uRPF
Addresses, Flags: Is-Preferred Is-Primary
Destination: 10.0.1/24, Local: 10.0.1.1, Broadcast: 10.0.1.255
Protocol multiservice, MTU: Unlimited
Flags: Is-Primary
Significado
O show interfaces xe-0/0/4 extensive comando (e o show interfaces xe-0/0/4 detail comando) exibe informações aprofundadas sobre a interface. As Bandeiras: campo de saída perto da parte inferior do display relata o status de RPF unicast. Se o RPF unicast não tiver sido habilitado, a bandeira uRPF não será exibida.
Em switches EX que aplicam uRPF globalmente a todas as interfaces, o uRPF está implícito habilitado em todas as interfaces de switch, incluindo interfaces Ethernet agregadas (também referidas como grupos de agregação de links ou LAGs) e interfaces VLAN roteadas (RVIs) quando você habilita uRPF em uma única interface. No entanto, o status do uRPF é mostrado como habilitado apenas em interfaces para as quais você configurou explicitamente o uRPF. Assim, a bandeira uRPF não é exibida em interfaces para as quais você não configurou explicitamente uRPF, embora o uRPF esteja implícito em todas as interfaces.
Solução de problemas do Unicast RPF
Pacotes legítimos são descartados
Problema
O switch filtra pacotes válidos de fontes legítimas, o que resulta em pacotes de descarte do switch que devem ser encaminhados.
Solução
A interface ou as interfaces nas quais os pacotes legítimos são descartados são interfaces assimétricas. Uma interface roteada assimétrica usa caminhos diferentes para enviar e receber pacotes entre a fonte e o destino, de modo que a interface que recebe um pacote não é a mesma interface que o switch usa para responder à fonte do pacote.
O RPF unicast funciona corretamente apenas em interfaces simétricas roteadas. Uma interface simétrica é uma interface que usa a mesma rota em ambas as direções entre a fonte e o destino. O Unicast RPF filtra pacotes verificando a tabela de encaminhamento para obter o melhor caminho de retorno à fonte de um pacote de entrada. Se o melhor caminho de retorno usar a mesma interface que a interface que recebeu o pacote, o switch encaminha o pacote. Se o melhor caminho de retorno usar uma interface diferente da interface que recebeu o pacote, o switch descarta o pacote.
Em switches EX que aplicam uRPF globalmente a todas as interfaces, o uRPF funciona corretamente apenas se todas as interfaces de switch — incluindo interfaces Ethernet agregadas (também referidas como grupos de agregação de links ou LAGs), interfaces integradas de roteamento e ponte (IRB) e interfaces VLAN roteadas (RVIs) — forem roteadas simetricamente, porque o RPF unicast é habilitado globalmente em todas as interfaces de switch.