NESTA PÁGINA
RPF unicast em perfis dinâmicos para interfaces de assinantes
Configuração de RPF unicast em perfis dinâmicos para interfaces de assinantes
Configurando um filtro de falha para RPF unicast em perfis dinâmicos para interfaces de assinantes
Exemplo: configuração de RPF unicast em um perfil dinâmico em roteadores da Série MX
RPF unicast em perfis dinâmicos para interfaces de assinantes
RPF unicast em perfis dinâmicos para interfaces de assinantes
O encaminhamento de caminho reverso (RPF) unicast fornece uma maneira de reduzir o efeito dos ataques de negação de serviço (DoS) e negação de serviço distribuída (DDoS) em interfaces IPv4 e IPv6. Quando você configura o RPF unicast em uma interface, ele verifica o endereço de origem do pacote. Os pacotes que passam na verificação são encaminhados. Os pacotes que falham na verificação são descartados ou, se um filtro de falha estiver configurado, são passados para o filtro para avaliação adicional.
O RPF unicast tem dois modos comportamentais, estrito e solto. Quando você configura o RPF unicast em um perfil dinâmico, o modo estrito é o padrão. No modo estrito, o RPF unicast verifica se o endereço de origem do pacote de entrada corresponde a um prefixo na tabela de roteamento e se a interface espera receber um pacote com esse prefixo de endereço de origem. No modo solto, o RPF unicast verifica apenas se o endereço de origem tem uma correspondência na tabela de roteamento. Ele não verifica se a interface espera receber um pacote de um endereço de origem específico.
Para ambos os modos, quando um pacote de entrada falha na verificação RPF de unicast, o pacote não é aceito na interface. Em vez disso, o RPF unicast conta o pacote e o envia para um filtro de falha opcional, se presente. O filtro de falha determina qual ação adicional é executada no pacote. Na ausência de um filtro de falha, o pacote é descartado silenciosamente.
- O contador de pacotes não é suportado no Junos OS Evolved.
- No Junos OS Evolved, você não precisa de um filtro de falha, porque o sistema evita a queda de pacotes do Bootstrap Protocol (BOOTP) e pacotes do Dynamic Host Configuration Protocol (DHCP) durante a verificação do RPF.
O show interfaces statistics logical-interface-name detail comando exibe estatísticas de RPF unicast para interfaces lógicas dinâmicas quando ou rpf-check rpf-check mode loose está habilitado na interface. Nenhuma estatística adicional é exibida quando rpf-check fail-filter filter-name configurada na interface. O clear interfaces statistics logical-interface-name comando limpa as estatísticas de RPF.
Configuração de RPF unicast em perfis dinâmicos para interfaces de assinantes
O RPF unicast fornece uma maneira de reduzir o efeito de ataques de negação de serviço em interfaces IPv4 e IPv6, verificando o endereço IP de origem na tabela de roteamento. Os pacotes que não correspondem são descartados silenciosamente, a menos que um filtro de falha opcional seja configurado. O filtro de falha executa uma verificação adicional e direciona que alguma ação seja executada em determinados pacotes. As ações típicas incluem registrar os pacotes ou passá-los mesmo que eles tenham falhado na verificação de RPF.
Embora o filtro de falha seja tecnicamente opcional, para perfis dinâmicos em um ambiente DHCP, você deve configurar um filtro para passar pacotes DHCP. Por padrão, a verificação de RPF impede que pacotes DHCP sejam aceitos em interfaces protegidas pela verificação de RPF. O filtro de falha identifica os pacotes DHCP e os transmite.
Para configurar uma verificação de RPF de unicast em um perfil dinâmico:
Configurando um filtro de falha para RPF unicast em perfis dinâmicos para interfaces de assinantes
Este tópico descreve como configurar um filtro de falha no [edit firewall] nível de hierarquia que pode ser aplicado opcionalmente por RPF unicast para interfaces de assinantes em perfis dinâmicos em roteadores da Série MX.
Em contraste com os filtros de falha configurados estaticamente, os filtros de falha de verificação de RPF usados em um perfil dinâmico não podem ser específicos para uma interface específica.
Para configurar um filtro de falha de firewall:
Exemplo: configuração de RPF unicast em um perfil dinâmico em roteadores da Série MX
Este exemplo mostra como ajudar a defender as interfaces de entrada do roteador contra ataques de negação de serviço (DoS) e negação de serviço distribuída (DDoS) configurando o encaminhamento de caminho reverso (RPF) unicast em uma interface de borda do cliente para filtrar o tráfego de entrada. O RPF unicast verifica o endereço de origem unicast de cada pacote que chega em uma interface de entrada onde o RPF unicast está habilitado. Os pacotes que falham na verificação são descartados silenciosamente, a menos que um filtro de falha execute alguma outra ação neles.
Requerimentos
Este exemplo usa os seguintes componentes de software e hardware:
Uma Plataforma de roteamento universal 5G da Série MX
Antes de começar:
Configure o perfil dinâmico que você pretende usar para aplicar a verificação de RPF.
Consulte Configurando um Perfil Dinâmico Básico.
Visão geral
Grandes quantidades de tráfego não autorizado — como tentativas de inundar uma rede com solicitações de serviço falsas em um ataque de negação de serviço (DoS) — podem consumir recursos da rede e negar serviço a usuários legítimos. Uma maneira de ajudar a evitar ataques de DoS e negação de serviço distribuída (DDoS) é verificar se o tráfego de entrada se origina de fontes de rede legítimas.
O RPF unicast ajuda a garantir que uma fonte de tráfego seja legítima (autorizada) comparando o endereço de origem de cada pacote que chega em uma interface com a entrada da tabela de encaminhamento para seu endereço de origem. Se o roteador usar a mesma interface em que o pacote chegou para responder à origem do pacote, isso verifica se o pacote se originou de uma fonte autorizada e o roteador encaminha o pacote. Se o roteador não usar a mesma interface em que o pacote chegou para responder à origem do pacote, o pacote pode ter se originado de uma fonte não autorizada e o roteador descarta o pacote ou o passa para um filtro de falha.
O filtro de falha permite que você defina critérios para pacotes que você deseja que sejam passados, apesar de falhar na verificação de RPF, como pacotes DHCP, que são descartados por padrão.
Nos roteadores da Série MX, você pode configurar o RPF unicast em um perfil dinâmico para aplicar a configuração a uma ou mais interfaces de assinante. Veja como entender o RPF (roteadores) unicast para obter mais informações sobre o comportamento e as limitações do RPF unicast em roteadores da Série MX.
Neste exemplo, você configura o roteador para proteger contra possíveis ataques DoS e DDoS da Internet perpetrados por meio de pacotes IPv4 que chegam em interfaces de demux VLAN criadas dinamicamente. O perfil dinâmico, vlan-demux-prof, estabelece que as interfaces VLAN demux são criadas automaticamente para os assinantes. O RPF unicast é habilitado nas interfaces dinâmicas pelo termo rpf-check.
Por padrão, o RPF unicast impede que pacotes DHCP (Dynamic Host Configuration Protocol) sejam aceitos em interfaces às quais ele se aplica. Quando os pacotes DHCP são descartados, nenhum novo assinante pode ser criado pelo perfil dinâmico. Para permitir que as interfaces aceitem pacotes DHCP, você deve aplicar um filtro de falha que classifique corretamente os pacotes que falham na verificação e identifique os pacotes DHCP. Neste exemplo, você configura o allow-dhcp termo no filtro rpf-pass-dhcp. Esse termo corresponde, conta e aceita pacotes IPv4 destinados à porta DHCP e a qualquer endereço. Ele default term descarta todos os outros pacotes que falham na verificação de RPF.
Este exemplo não mostra todas as opções de configuração possíveis.
Topologia
Configuração
Para habilitar o RPF de unicast com um filtro de falha em um perfil dinâmico, execute estas tarefas:
- Configurando o perfil dinâmico para aplicar a verificação de RPF a interfaces dinâmicas de VLAN Demux
- Configurando o filtro de falha de verificação de RPF
Configurando o perfil dinâmico para aplicar a verificação de RPF a interfaces dinâmicas de VLAN Demux
Configuração rápida da CLI
Para configurar rapidamente o perfil dinâmico para aplicar RPF unicast a interfaces de demux VLAN criadas dinamicamente, copie os comandos a seguir, cole-os em um arquivo de texto, remova quaisquer quebras de linha e, em seguida, copie e cole os comandos na CLI.
edit dynamic-profiles vlan-demux-prof interfaces demux0 edit unit $junos-interface-unit set demux-options underlying-interface $junos-interface-ifd-name set vlan-id $junos-vlan-id edit family inet set unnumbered-address lo0.0 set rpf-check fail-filter rpf-pass-dhcp
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Usando o Editor de CLI no Modo de Configuração.
Para configurar o RPF unicast no roteador:
Crie um perfil dinâmico.
[edit] user@host# edit dynamic-profiles vlan-demux-prof
Especifique que o perfil VLAN dinâmico use a interface demux.
[edit dynamic-profiles vlan-demux-prof] user@host# edit interfaces demux0
Especifique que o perfil dinâmico aplica o valor da unidade de interface demux às VLANs dinâmicas.
[edit dynamic-profiles vlan-demux-prof interfaces demux0] user@host# edit unit $junos-interface-unit
Especifique a interface lógica subjacente para as VLANs dinâmicas.
[edit dynamic-profiles vlan-demux-prof interfaces demux0 unit $junos-interface-unit] user@host# set demux-options underlying-interface $junos-interface-ifd-name
Configure a variável que resulta em IDs de VLAN criadas dinamicamente.
[edit dynamic-profiles vlan-demux-prof interfaces demux0 unit $junos-interface-unit] user@host# set vlan-id $junos-vlan-id
Configure a família de endereços IPv4 para as interfaces demux.
[edit dynamic-profiles vlan-demux-prof interfaces demux0 unit $junos-interface-unit] user@host# edit family inet
Configure o endereço não numerado para a família.
[edit dynamic-profiles vlan-demux-prof interfaces demux0 unit $junos-interface-unit family inet] user@host# set unnumbered-address lo0.0
Configure o RPF de unicast e especifique o filtro de falha aplicado aos pacotes de entrada que falham na verificação.
[edit dynamic-profiles vlan-demux-prof interfaces demux0 unit $junos-interface-unit family inet] user@host# set fail-filter fail-filter rpf-pass-dhcp
Configurando o filtro de falha de verificação de RPF
Configuração rápida da CLI
Para configurar rapidamente o filtro de falha de verificação de RPF de unicast, copie os comandos a seguir, cole-os em um arquivo de texto, remova quaisquer quebras de linha e, em seguida, copie e cole os comandos na CLI.
edit firewall family inet filter rpf-pass-dhcp edit term allow-dhcp set from destination-port dhcp set from destination-address 255.255.255.255/32 set then count rpf-dhcp-traffic set then accept up edit term default set then discard
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Usando o Editor de CLI no Modo de Configuração.
Para configurar o filtro de falha RPF-check:
Crie o filtro de falha.
[edit firewall] user@host# edit family inet filter rpf-pass-dhcp
Defina o termo de filtro que identifica os pacotes DHCP com base na porta de destino DHCP e, em seguida, conta e passa os pacotes.
[edit firewall family inet filter rpf-pass-dhcp] user@host# edit term allow-dhcp user@host# set from destination-port dhcp user@host# set from destination-address 255.255.255.255/32 user@host# set then count rpf-dhcp-traffic user@host# set then accept
Defina o termo de filtro que descarta todos os outros pacotes com falha.
[edit firewall filter rpf-pass-dhcp] user@host# edit term default user@host# set then discard
Resultados
No modo de configuração, confirme a configuração do RPF de unicast digitando o show dynamic-profiles comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show dynamic-profiles
vlan-demux-prof {
interfaces {
demux0 {
unit "$junos-interface-unit" {
vlan-id "$junos-vlan-id";
demux-options {
underlying-interface "$junos-interface-ifd-name";
}
family inet {
unnumbered-address lo0.0;
rpf-check {
fail-filter rpf-pass-dhcp;
}
}
}
}
}
}
No modo de configuração, confirme a configuração do filtro de falha inserindo o show firewall comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show firewall
family inet {
filter rpf-pass-dhcp {
term allow-dhcp {
from {
destination-address {
255.255.255.255/32;
}
destination-port dhcp;
}
then {
count rpf-dhcp-traffic;
accept;
}
}
term default {
then {
discard;
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar se a configuração está correta, execute estas tarefas:
Verificando se o RPF unicast está habilitado no roteador
Finalidade
Verifique se o RPF de unicast está habilitado.
Ação
Verifique se o RPF de unicast está habilitado usando o show subscribers extensive comando.
user@host> show subscribers extensive
Type: VLAN
Logical System: default
Routing Instance: default
Interface: ae0.1073741824
Interface type: Dynamic
Dynamic Profile Name: vlan-demux-prof
State: Active
Session ID: 9
VLAN Id: 100
Login Time: 2011-08-26 08:17:00 PDT
IPv4 rpf-check Fail Filter Name: rpf-pass-dhcp
Significado
O campo IPv4 rpf-check Fail Filter Name exibe rpf-pass-dhcp, o nome do filtro de falha aplicado pelo perfil dinâmico para pacotes IPv4 que falham na verificação de RPF.
Tabela de histórico de alterações
A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.
show interfaces statistics logical-interface-name detail comando exibe estatísticas de RPF unicast para interfaces lógicas dinâmicas quando OR
rpf-check
rpf-check mode loose está habilitado na interface.