Entendendo o Unicast RPF (roteadores)

No modo rigoroso, o RPF unicast verifica se o pacote de entrada tem um endereço fonte que corresponda a um prefixo na tabela de roteamento e se a interface espera receber um pacote com este prefixo de endereço de origem.

Quando o modo active-path é configurado, a lista de interface de saída da única rota ativa é criada. Qualquer pacote que venha nessas interfaces é considerado válido e processado.

Se o pacote de entrada falhar na verificação de RPF unicast, o pacote não será aceito na interface. Quando um pacote não é aceito em uma interface, o RPF unicast conta o pacote e o envia para um filtro de falha opcional. Se o filtro de falha não estiver configurado, a ação padrão é descartar silenciosamente o pacote.

O filtro de falha opcional permite aplicar um filtro a pacotes que falham na verificação de RPF unicast. Você pode definir o filtro de falha para realizar qualquer operação de filtro, incluindo aceitar, rejeitar, registrar, amostragem ou policiamento.

Quando o RPF unicast é habilitado em uma interface, os pacotes Bootstrap Protocol (BOOTP) e pacotes de protocolo dinâmico de configuração de host (DHCP) não são aceitos na interface. Para permitir que a interface aceite pacotes BOOTP e pacotes DHCP, você deve aplicar um filtro de falha que aceite todos os pacotes com um endereço de origem e um endereço de 0.0.0.0 destino para um exemplo de 255.255.255.255. configuração, veja Configurando o RPF unicast.

Para obter mais informações sobre a definição de filtros de falha, consulte as políticas de roteamento, filtros de firewall e o guia de usuário dos policiais de tráfego.

Para configurar o RPF unicast, inclua a rpf-check declaração:

Você pode incluir essa declaração nos seguintes níveis de hierarquia:

• [edit interfaces interface-name unit logical-unit-number family (inet | inet6)]

• [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family (inet | inet6)]

O uso de RPF unicast pode ter várias consequências quando implementado com filtros de tráfego:

• Os filtros de falha de RPF são avaliados após os filtros de entrada e antes dos filtros de saída.

• Se você configurar um contador de filtros para pacotes derrubados por um filtro de entrada e quiser saber o número total de pacotes perdidos, você também deve configurar um contador de filtros para pacotes descartados pela verificação do RPF.

• Para contar pacotes que falham na verificação de RPF e são aceitos pelo filtro de falha RPF, você deve configurar um contador de filtros.

• Se um filtro de entrada encaminhar pacotes em qualquer lugar que não seja as tabelas de roteamento inet.0 ou inet6.0, a verificação de RPF unicast não será realizada.

• Se um filtro de entrada encaminhar pacotes em qualquer outro lugar que não seja a instância de roteamento para a qual a interface de entrada esteja configurada, a verificação de RPF unicast não será realizada.

Nota:

Na lista supracitada, os primeiros, últimos e últimos pontos não são aplicáveis às plataformas MX porque nas plataformas MX o uRPF é processado antes da execução de filtros de firewall. A verificação do uRPF é processada para verificação de endereços de origem antes que qualquer ação de FBF (encaminhamento baseado em filtro) seja habilitada para interfaces estáticas e dinâmicas. Isso se aplica às famílias IPv4 e IPv6.

Nota:

Nos roteadores da Série ACX e MX:

• O filtro de falha uRPF é suportado em ACX1000, ACX2000, ACX4000 e ACX500, ACX5048 e ACX5096. O filtro não é suportado em ACX5448, ACX710, ACX7100-32C, ACX7100-48, ACX7509 e todos os roteadores da série ACX7000.

• O filtro de falha uRPF não pode combinar pacotes com falha na verificação da porta de entrada (modo rigoroso).
• O filtro de falha uRPF pode combinar pacotes com falha na pesquisa de IP de origem, mas não pode combinar pacotes com falhas na verificação da interface de entrada (modo rigoroso).
• O filtro de falha uRPF aplica-se apenas a instâncias específicas de interface do filtro de firewall.
• Os filtros de falha do uRPF não suportam ações de instâncias de rejeição e roteamento.

Configure o modo RPF unicast rigoroso e aplique um filtro de falha que permite que a interface aceite pacotes BOOTP e pacotes DHCP. O filtro aceita todos os pacotes com um endereço de origem e um endereço de 0.0.0.0 destino de 255.255.255.255.

Para configurar o RPF unicast em modo rigoroso:

Por padrão, o RPF unicast usa um modo rigoroso. O modo RPF frouxo unicast é semelhante ao modo rígido RPF unicast e tem as mesmas restrições de configuração. A única verificação no modo folgado é se o pacote tem um endereço de origem com um prefixo correspondente na tabela de roteamento; o modo frouxo não verifica se a interface espera receber um pacote com um prefixo de endereço de origem específico. Se um prefixo correspondente não for encontrado, o modo RPF frouxo unicast não aceita o pacote. Como no modo rigoroso, o modo frouxo conta o pacote com falha e o encaminha opcionalmente para um filtro de falha, que aceita, rejeita, registra, amostra ou policia o pacote.

Quando o modo de caminhos viáveis é configurado, uma lista de interface de saída de rotas ativas e inativas é criada. Qualquer pacote que venha nessas interfaces é considerado válido e processado.

Para configurar o modo RPF solto unicast, inclua:mode

O modo RPF solto unicast tem a capacidade de descartar pacotes com o endereço de origem apontando para a interface de descarte. O uso do modo RPF frouxo unicast, juntamente com a filtragem de rota nul acionada remotamente, fornece uma maneira eficiente de descartar pacotes vindos de fontes de ataque conhecidas. As políticas BGP em roteadores de borda garantem que os pacotes com endereços de origem não confiáveis tenham seu próximo salto definido para uma rota de descarte. Quando um pacote chega ao roteador com um endereço de origem não confiável, o RPF unicast realiza uma busca de rota do endereço de origem. Como a rota de endereço de origem aponta para um próximo salto de descarte, o pacote é descartado e um contador é incrementado. Esse recurso é compatível com as famílias de endereços IPv4 (inet) e IPv6 (inet6).

Para configurar o modo RPF frouxo unicast com a capacidade de descartar pacotes, inclua a rpf-loose-mode-discard family (inet | inet6) declaração no nível de [edit forwarding-options] hierarquia:

Neste exemplo, nenhuma configuração especial além da inicialização do dispositivo é necessária.

Configure o modo RPF solto unicast e aplique um filtro de falha que permite que a interface aceite pacotes BOOTP e pacotes DHCP. O filtro aceita todos os pacotes com um endereço de origem e um endereço de 0.0.0.0 destino de 255.255.255.255.

Para configurar o modo RPF frouxo unicast com a capacidade de descartar pacotes:

Você pode configurar RPF unicast em uma interface VPN, permitindo RPF unicast na interface e incluindo a interface declaração no nível hierárquico [edit routing-instances routing-instance-name] .

Você pode configurar RPF unicast apenas nas interfaces que você especifica na instância de roteamento. Isso significa o seguinte:

• Para VPNs de Camada 3, o RPF unicast é suportado na interface do roteador CE.

• O RPF unicast não é suportado em interfaces voltadas para o núcleo.

• Para instâncias de roteamento de roteador virtual, o RPF unicast é suportado em todas as interfaces que você especifica na instância de roteamento.

• Se um filtro de entrada encaminhar pacotes em qualquer outro lugar que não seja a instância de roteamento para a qual a interface de entrada esteja configurada, a verificação de RPF unicast não será realizada.

Configure RPF unicast em uma interface VPN de Camada 3:

Configure o modo RPF unicast rigoroso e aplique um filtro de falha que permite que a interface aceite pacotes BOOTP e pacotes DHCP. O filtro aceita todos os pacotes com um endereço de origem e um endereço de 0.0.0.0 destino de 255.255.255.255.