NESTA PÁGINA
Entendendo RPF (roteadores) unicast
Para interfaces que transportam tráfego IPv4 ou IPv6, você pode reduzir o impacto de ataques de negação de serviço (DoS) configurando o encaminhamento de caminho reverso (RPF) unicast. O RPF unicast ajuda a determinar a origem dos ataques e rejeita pacotes de endereços de origem inesperados em interfaces onde o RPF unicast está habilitado.
Você pode proteger uma rede aplicando o recurso de verificação RPF de unicast na borda (em interfaces voltadas para o cliente) da rede. Em um ambiente ISP, isso pode afetar a rede, o que pode impor uma configuração escalonada. Caso você já tenha protegido a borda da sua rede, um pacote com um endereço de origem IP falsificado nem mesmo apareceria em uma interface voltada para o núcleo. Nesse caso, a verificação de RPF de unicast não é necessária. Habilitar o recurso RPF de unicast pode afetar o desempenho do plano de controle, portanto, use-o onde for necessário. Portanto, é altamente recomendável não habilitar esse recurso nas interfaces principais (internas) da rede.
Atualmente, em plataformas PTX, a configuração da especificação de fluxo BGP (flowspec) cria um filtro implícito para definir a instância VRF. Em plataformas PTX, a pesquisa de filtro precede a pesquisa de IP de origem/destino. Portanto, a pesquisa de IP de origem e destino acontece dentro do contexto da instância VRF.
Atualmente, em plataformas PTX, quando o Unicast Reverse Path Forwrading (uRPF) e o encaminhamento com base em filtro (FBF) são configurados em uma interface, o comportamento padrão é que a pesquisa de endereço IP de origem de um pacote de entrada é feita pelo uRPF na instância de roteamento para a qual a interface aponta e a pesquisa de endereço IP de destino é feita na instância de roteamento especificada pelo filtro FBF. Você pode usar set forwarding-options no-rpf-fbf-handling para substituir esse comportamento padrão e, ao aplicar essa configuração, a pesquisa de endereço IP de origem de um pacote de entrada é feita pelo uRPF na instância de roteamento especificada pelo filtro FBF.
RPF unicast e rota padrão
Quando a rota ativa não pode ser escolhida entre as rotas em uma tabela de roteamento, o roteador escolhe uma rota padrão. Uma rota padrão é equivalente a um endereço IP de 0.0.0.0/0. Se você configurar uma rota padrão e configurar RPF unicast em uma interface que a rota padrão usa, o RPF unicast se comportará de maneira diferente do que de outra forma.
Para determinar se a rota padrão usa uma interface, insira o show route comando:
user@host> show route address
address é o endereço do próximo salto da rota padrão configurada. A rota padrão usa as interfaces mostradas na saída do show route comando.
As seções a seguir descrevem como o RPF unicast se comporta quando uma rota padrão usa uma interface e quando uma rota padrão não usa uma interface:
- Comportamento de RPF unicast com uma rota padrão
- Comportamento de RPF unicast sem uma rota padrão
- RPF unicast com assimetria de roteamento
Comportamento de RPF unicast com uma rota padrão
Em todos os roteadores, exceto aqueles com MPCs e o roteador MX80, o RPF unicast se comporta da seguinte maneira se você configurar uma rota padrão que usa uma interface configurada com RPF unicast:
Modo solto — Todos os pacotes são aceitos automaticamente. Por esse motivo, recomendamos que você não configure o modo loose RPF unicast em interfaces que a rota padrão usa.
Modo estrito — O pacote é aceito quando o endereço de origem do pacote corresponde a qualquer uma das rotas (padrão ou aprendidas) que podem ser alcançadas através da interface. Observe que as rotas podem ter vários destinos associados a elas; Portanto, se um dos destinos corresponder à interface de entrada do pacote, o pacote será aceito.
Em todos os roteadores com MPCs e o roteador MX80, o RPF unicast se comporta da seguinte maneira se você configurar uma rota padrão que usa uma interface configurada com RPF unicast:
Modo solto — Todos os pacotes, exceto os pacotes cuja origem é aprendida da rota padrão, são aceitos. Todos os pacotes cuja origem é aprendida da rota padrão são descartados no Mecanismo de Encaminhamento de Pacotes. A rota padrão é tratada como se a rota não existisse.
Modo estrito — O pacote é aceito quando o endereço de origem do pacote corresponde a qualquer uma das rotas (padrão ou aprendidas) que podem ser alcançadas através da interface. Observe que as rotas podem ter vários destinos associados a elas; Portanto, se um dos destinos corresponder à interface de entrada do pacote, o pacote será aceito.
Em todos os roteadores, o pacote não é aceito quando uma das seguintes situações é verdadeira:
O endereço de origem do pacote não corresponde a um prefixo na tabela de roteamento.
A interface não espera receber um pacote com esse prefixo de endereço de origem.
Comportamento de RPF unicast sem uma rota padrão
Se você não configurar uma rota padrão, ou se a rota padrão não usar uma interface configurada com RPF unicast, o RPF unicast se comportará conforme descrito em Configurando o modo estrito de RPF unicast e Configurando o modo solto de RPF unicast. Para resumir, o RPF unicast sem uma rota padrão se comporta da seguinte maneira:
Modo estrito — O pacote não é aceito quando uma das seguintes condições é verdadeira:
O pacote tem um endereço de origem que não corresponde a um prefixo na tabela de roteamento.
A interface não espera receber um pacote com esse prefixo de endereço de origem.
Modo solto — o pacote não é aceito quando o pacote tem um endereço de origem que não corresponde a um prefixo na tabela de roteamento.
RPF unicast com assimetria de roteamento
Em geral, recomendamos que você não habilite o RPF unicast em interfaces internas à rede, pois as interfaces internas provavelmente terão assimetria de roteamento. A assimetria de roteamento significa que os caminhos de saída e retorno de um pacote são diferentes. Os roteadores no núcleo da rede são mais propensos a ter caminhos reversos assimétricos do que os roteadores na borda do cliente ou provedor. A Figura 1 mostra RPF unicast em um ambiente com assimetria de roteamento.
de roteamento
Na Figura 1, se você habilitar o RPF unicast na interface so-0/0/0, o tráfego destinado ao Roteador A não será rejeitado. Se você habilitar o RPF unicast na interface so-1/0/1, o tráfego do Roteador A será rejeitado.
Se você precisar habilitar o RPF unicast em um ambiente de roteamento assimétrico, poderá usar filtros de falha para permitir que o roteador aceite pacotes de entrada que são conhecidos por estarem chegando por caminhos específicos. Para obter um exemplo de um filtro de falha que aceita pacotes com um endereço de origem e destino específicos, consulte Configuração de RPF Unicast.
Configuração do modo estrito RPF unicast
No modo estrito, o RPF unicast verifica se o pacote de entrada tem um endereço de origem que corresponde a um prefixo na tabela de roteamento e se a interface espera receber um pacote com esse prefixo de endereço de origem.
Quando o modo de caminho ativo é configurado, a lista de interface de saída da única rota ativa é criada. Qualquer pacote que venha nessas interfaces é considerado válido e processado.
Se o pacote de entrada falhar na verificação RPF de unicast, o pacote não será aceito na interface. Quando um pacote não é aceito em uma interface, o RPF unicast conta o pacote e o envia para um filtro de falha opcional. Se o filtro de falha não estiver configurado, a ação padrão será descartar silenciosamente o pacote.
O filtro de falha opcional permite que você aplique um filtro a pacotes que falham na verificação de RPF de unicast. Você pode definir o filtro de falha para executar qualquer operação de filtro, incluindo aceitação, rejeição, registro, amostragem ou policiamento.
Quando o RPF unicast é habilitado em uma interface, os pacotes BOOTP (Bootstrap Protocol) e os pacotes DHCP (Dynamic Host Configuration Protocol) não são aceitos na interface. Para permitir que a interface aceite pacotes BOOTP e pacotes DHCP, você deve aplicar um filtro de falha que aceite todos os pacotes com um endereço de origem e um endereço de destino de Para obter um exemplo de 0.0.0.0 255.255.255.255. configuração, consulte Configurando RPF Unicast.
Para obter mais informações sobre como definir filtros de falha, consulte o Guia do usuário de políticas de roteamento, filtros de firewall e policiais de tráfego.
Para configurar o RPF unicast, inclua a rpf-check declaração:
rpf-check <fail-filter filter-name>;
Você pode incluir essa instrução nos seguintes níveis de hierarquia:
[edit interfaces interface-name unit logical-unit-number family (inet | inet6)][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family (inet | inet6)]
O uso de RPF unicast pode ter várias consequências quando implementado com filtros de tráfego:
Os filtros de falha de RPF são avaliados após os filtros de entrada e antes dos filtros de saída.
Se você configurar um contador de filtro para pacotes descartados por um filtro de entrada e quiser saber o número total de pacotes descartados, também deverá configurar um contador de filtro para pacotes descartados pela verificação de RPF.
Para contar pacotes que falham na verificação de RPF e são aceitos pelo filtro de falha de RPF, você deve configurar um contador de filtro.
Se um filtro de entrada encaminhar pacotes para qualquer lugar que não seja as tabelas de roteamento inet.0 ou inet6.0, a verificação RPF de unicast não será executada.
Se um filtro de entrada encaminhar pacotes para qualquer lugar que não seja a instância de roteamento para a qual a interface de entrada está configurada, a verificação de RPF de unicast não será executada.
Na lista com marcadores mencionada acima, o primeiro, o penúltimo e o último pontos não são aplicáveis para plataformas MX porque, em plataformas MX, o uRPF é processado antes da execução de filtros de firewall. A verificação de uRPF é processada para verificação de endereço de origem antes que qualquer ação de FBF (encaminhamento baseado em filtro) seja habilitada para interfaces estáticas e dinâmicas. Isso se aplica às famílias IPv4 e IPv6.
Nos roteadores da Série MX e ACX:
O filtro de falha uRPF tem suporte em ACX1000, ACX2000, ACX4000 e ACX500, ACX5048 e ACX5096. O filtro não é suportado em ACX5448, ACX710, ACX7100-32C, ACX7100-48, ACX7509 e todos os roteadores da série ACX7000.
- O filtro de falha uRPF não pode corresponder a pacotes com falha na verificação da porta de entrada (modo estrito).
- O filtro de falha uRPF pode corresponder a pacotes com falha na pesquisa de IP de origem, mas não pode corresponder a pacotes com falha na verificação da interface de entrada (modo estrito).
- O filtro de falha uRPF se aplica apenas a instâncias específicas da interface do filtro de firewall.
- Os filtros de falha uRPF não oferecem suporte a ações de rejeição e instância de roteamento.
- A opção feasible-paths não é suportada em ACX7000 série.
Configure o modo estrito RPF unicast e aplique um filtro de falha que permita que a interface aceite pacotes BOOTP e pacotes DHCP. O filtro aceita todos os pacotes com um endereço de origem e um endereço de 0.0.0.0 destino de 255.255.255.255.
Para configurar o RPF unicast no modo estrito:
Configurando o modo solto de RPF unicast
Por padrão, o RPF unicast usa o modo estrito. O modo solto de RPF unicast é semelhante ao modo estrito de RPF de unicast e tem as mesmas restrições de configuração. A única verificação no modo solto é se o pacote tem um endereço de origem com um prefixo correspondente na tabela de roteamento; O modo solto não verifica se a interface espera receber um pacote com um prefixo de endereço de origem específico. Se um prefixo correspondente não for encontrado, o modo loose RPF unicast não aceitará o pacote. Como no modo estrito, o modo solto conta o pacote com falha e, opcionalmente, o encaminha para um filtro de falha, que aceita, rejeita, registra, amostras ou policia o pacote.
Quando o modo de caminhos viáveis é configurado, a lista de interfaces de saída de rotas ativas e inativas é criada. Qualquer pacote que venha nessas interfaces é considerado válido e processado.
Para configurar o modo loose RPF unicast, inclua o mode:
Configuração do modo solto de RPF unicast com capacidade de descartar pacotes
O modo loose RPF unicast tem a capacidade de descartar pacotes com o endereço de origem apontando para a interface de descarte. O uso do modo solto RPF unicast, juntamente com a filtragem de rota nula acionada remotamente, fornece uma maneira eficiente de descartar pacotes provenientes de fontes de ataque conhecidas. As políticas de BGP em roteadores de borda garantem que os pacotes com endereços de origem não confiáveis tenham seu próximo salto definido para uma rota de descarte. Quando um pacote chega ao roteador com um endereço de origem não confiável, o RPF de unicast executa uma pesquisa de rota do endereço de origem. Como a rota do endereço de origem aponta para um próximo salto de descarte, o pacote é descartado e um contador é incrementado. Esse recurso é compatível com as famílias de endereços IPv4 (inet) e IPv6 (inet6).
Para configurar o modo loose RPF unicast com a capacidade de descartar pacotes, inclua a rpf-loose-mode-discard family (inet | inet6) declaração no nível da [edit forwarding-options] hierarquia:
rpf-loose-mode-discard {
family {
inet;
}
}
Neste exemplo, nenhuma configuração especial além da inicialização do dispositivo é necessária.
Configure o modo loose RPF unicast e aplique um filtro de falha que permite que a interface aceite pacotes BOOTP e pacotes DHCP. O filtro aceita todos os pacotes com um endereço de origem e um endereço de 0.0.0.0 destino de 255.255.255.255.
Para configurar o modo solto RPF unicast com a capacidade de descartar pacotes:
Configuração de RPF unicast em uma VPN
Você pode configurar o RPF unicast em uma interface VPN habilitando o RPF unicast na interface e incluindo a interface declaração no nível da [edit routing-instances routing-instance-name] hierarquia.
Você pode configurar RPF unicast somente nas interfaces especificadas na instância de roteamento. Isso significa o seguinte:
Para VPNs de Camada 3, o RPF unicast é suportado na interface do roteador CE.
O RPF unicast não é suportado em interfaces voltadas para o núcleo.
Para instâncias de roteamento de roteador virtual, o RPF unicast é suportado em todas as interfaces especificadas na instância de roteamento.
Se um filtro de entrada encaminhar pacotes para qualquer lugar que não seja a instância de roteamento para a qual a interface de entrada está configurada, a verificação de RPF de unicast não será executada.
Configure o RPF unicast em uma interface VPN de Camada 3:
[edit interfaces]
so-0/0/0 {
unit 0 {
family inet {
rpf-check;
}
}
}
[edit routing-instance]
VPN-A {
interface so-0/0/0.0;
}
Configuração de RPF unicast
Configure o modo estrito RPF unicast e aplique um filtro de falha que permita que a interface aceite pacotes BOOTP e pacotes DHCP. O filtro aceita todos os pacotes com um endereço de origem e um endereço de 0.0.0.0 destino de 255.255.255.255.
[edit firewall]
filter rpf-special-case-dhcp-bootp {
term allow-dhcp-bootp {
from {
source-address {
0.0.0.0/32;
}
address {
255.255.255.255/32;
}
}
then {
count rpf-dhcp-bootp-traffic;
accept;
}
}
term default {
then {
log;
reject;
}
}
}
[edit]
interfaces {
so-0/0/0 {
unit 0 {
family inet {
rpf-check fail-filter rpf-special-case-dhcp-bootp;
}
}
}
}
Veja também
Comportamento específico da plataforma
Use o Explorador de Recursos para confirmar o suporte à plataforma e à versão para recursos específicos.
Use a tabela a seguir para analisar o comportamento específico da sua plataforma:
Plataforma |
Diferença |
|---|---|
Roteadores da Série ACX no Junos OS Evolved |
Quando o IP de origem é resolvido por meio de um grupo ECMP, o RPF funciona no modo solto, substituindo a configuração uRPF estrita da interface na qual o pacote entrou. |