Habilitando a verificação de encaminhamento de caminho reverso unicast para VPNs
A falsificação de IP pode ocorrer durante um ataque de negação de serviço (DoS). A falsificação de IP permite que um invasor passe pacotes de IP para um destino como tráfego genuíno, quando na verdade os pacotes não são realmente destinados ao destino. Esse tipo de spoofing é prejudicial porque consome os recursos do destino.
A verificação de encaminhamento de caminho reverso (RPF) unicast é uma ferramenta para reduzir o encaminhamento de pacotes IP que podem estar falsificando um endereço. Uma verificação RPF unicast executa uma pesquisa de tabela de rotas no endereço de origem de um pacote IP e verifica a interface de entrada. O roteador determina se o pacote está chegando de um caminho que o remetente usaria para chegar ao destino. Se o pacote for de um caminho válido, o roteador encaminha o pacote para o endereço de destino. Se não for de um caminho válido, o roteador descarta o pacote. O RPF unicast é compatível com as famílias de protocolos IPv4 e IPv6, bem como com a família de endereços de rede virtual privada (VPN). Você também pode habilitar o RPF unicast em uma instância de roteamento VPN.
Para habilitar a verificação de RPF de unicast, inclua a unicast-reverse-path declaração:
unicast-reverse-path (active-paths | feasible-paths);
Para obter uma lista de níveis de hierarquia nos quais você pode configurar essa declaração, consulte a seção de resumo da declaração para essa declaração.
Para considerar apenas caminhos ativos durante a verificação de RPF de unicast, inclua a active-paths opção. Para considerar todos os caminhos viáveis durante a verificação de RPF de unicast, inclua a feasible-paths opção.
Para obter mais informações sobre como configurar a unicast-reverse-path declaração, consulte Exemplo: Configuração de RPF unicast (em um roteador) e .