Verificação de encaminhamento de caminho reverso da Unicast para VPNs
A spoofing de IP pode ocorrer durante um ataque de negação de serviço (DoS). A falsificação de IP permite que um intruso passe pacotes IP para um destino como tráfego genuíno, quando, na verdade, os pacotes não são realmente destinados ao destino. Esse tipo de spoofing é prejudicial porque consome os recursos do destino.
A verificação do encaminhamento de caminho reverso (RPF) da Unicast é uma ferramenta para reduzir o encaminhamento de pacotes IP que podem estar falsificando um endereço. Uma verificação de RPF unicast executa uma olhada na tabela de roteamento no endereço de origem de um pacote IP e verifica a interface de entrada. O roteador determina se o pacote está chegando de um caminho que o remetente usaria para chegar ao destino. Se o pacote for de um caminho válido, o roteador encaminha o pacote para o endereço de destino. Se não for de um caminho válido, o roteador descarta o pacote. O Unicast RPF tem suporte para as famílias de protocolo IPv4 e IPv6, bem como para a família de endereços de rede privada virtual (VPN). Você também pode habilitar RPF unicast em uma instância de roteamento VPN.
Para habilitar a verificação do RPF unicast, inclua a unicast-reverse-path declaração:
unicast-reverse-path (active-paths | feasible-paths);
Para obter uma lista de níveis de hierarquia nos quais você pode configurar esta declaração, consulte a seção de resumo da declaração para esta declaração.
Para considerar apenas caminhos ativos durante a verificação de RPF unicast, inclua a opção active-paths . Para considerar todos os caminhos viáveis durante a verificação de RPF unicast, inclua a opção feasible-paths .
Para obter mais informações sobre como configurar a unicast-reverse-path declaração, consulte Exemplo: Configuração do Unicast RPF (On a Router) e .