示例:配置单播 RPF(在交换机上)
此示例说明如何通过配置单播 RPF (uRPF) 来过滤传入流量,帮助保护入口接口免受拒绝服务 (DoS) 和分布式拒绝服务 (DDoS) 攻击。
要求
此示例使用两台 EX 交换机,在本主题中称为交换机 A 和交换机 B。某些 EX 交换机型号允许您在各个接口上配置 uRPF。而在某些 EX 交换机型号上,您无法为 uRPF 配置单个接口 – 交换机会将 uRPF 全局应用于交换机上的所有接口。
-
适用于 EX 交换机但不早于 Junos OS 10.1 版的任何 Junos OS 版本
-
两台 EX 交换机,支持在各个接口上进行 uRPF 配置。
开始之前,请确保您已:
-
通过对称路由接口连接两台交换机。
-
已确保配置单播 RPF 的接口是对称路由的。对称路由接口是在源和目标之间的两个方向上使用相同的路由的接口。请勿在非对称路由接口上启用单播 RPF。非对称路由接口使用不同的路径在源和目标之间发送和接收数据包。
-
在此示例中,如果您使用的是将 uRPF 全局应用于所有接口的 EX 交换机,则在接口上启用单播 RPF 之前,请确保所有交换机接口都是对称路由的。在任何接口上启用单播 RPF 时,将在所有交换机接口上全局启用该 RPF。请勿在非对称路由接口上启用单播 RPF。非对称路由接口使用不同的路径在源和目标之间发送和接收数据包。
概述和拓扑
在此示例中,企业网络的系统管理员希望保护交换机 A 免受来自互联网的潜在 DoS 和 DDoS 攻击。管理员在交换机 A 上的接口 xe-0/0/4 上配置单播 RPF。从交换机 B 源到达交换机 A 上的接口 xe-0/0/4 的数据包也会使用传入接口 xe-0/0/4 作为将数据包发送回源的最佳返回路径。在此拓扑中,交换机 A 和交换机 B 均通过对称路由接口连接。
-
交换机 A 位于企业网络的边缘。交换机 A 上的接口 xe-0/0/4 连接到交换机 B 上的接口 xe-0/0/5 。
-
交换机 B 位于将企业网络连接到互联网的服务提供商网络的边缘。
拓扑学
配置
要启用单播 RPF,请执行以下任务:
程序
CLI 快速配置
要在交换机 A 上快速配置单播 RPF,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit interfaces] set xe-0/0/4 unit 0 family inet rpf-check
分步过程
要在交换机 A 上配置单播 RPF,请执行以下操作:
-
在接口 xe-0/0/4 上启用单播 RPF:
[edit interfaces] user@switch# set xe-0/0/4 unit 0 family inet rpf-check
结果
检查结果:
[edit interfaces]
user@switch# show
xe-0/0/4 {
unit 0 {
family inet {
rpf-check;
}
}
}
禁用单播 RPF
程序
分步过程
验证
单播反向路径转发 (RPF) 有助于保护您的 LAN 免受不受信任接口上的拒绝服务 (DoS) 和分布式拒绝服务 (DDoS) 攻击。单播 RPF 过滤源地址不使用传入接口作为返回源的最佳返回路径的流量。如果网络配置发生更改,使启用了单播 RPF 的接口成为可信接口或实现非对称路由(接收数据包的接口不是数据包源的最佳返回路径),请禁用单播 RPF。
要在将 uRPF 全局应用于所有接口的 EX 交换机上禁用 uRPF,必须将其从显式配置的每个接口中删除。如果未在显式启用单播 RPF 的每个接口上禁用单播 RPF,则在所有接口上仍会隐式启用单播 RPF。如果尝试从未显式启用单播 RPF 的接口中删除单播 RPF,则会显示该 warning: statement not found 消息。如果未在显式启用单播 RPF 的每个接口上禁用单播 RPF,则单播 RPF 将在所有接口上保持隐式启用状态。
在允许您在各个接口上配置 uRPF 的 EX 交换机型号上,除非您明确为接口启用单播 RPF,否则交换机不会将单播 RPF 应用于该接口。
要禁用单播 RPF,请从接口中删除其配置:
[编辑界面]user@switch# delete xe-0/0/4 unit 0 family inet rpf-check
验证交换机上是否启用了单播 RPF
目的
验证单播 RPF 已启用并在接口上正常工作。
行动
使用带有扩展或详细选项的命令之一show interfaces interface-name来验证单播 RPF 是否已启用并在交换机上正常工作。下面的示例显示了命令show interfaces ge- extensive的输出。
user@switch> show interfaces xe-0/0/4.0 extensive
Physical interface: xe-0/0/4, Enabled, Physical link is Up
Interface index: 147, SNMP ifIndex: 659
Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Speed: 10Gbps, BPDU Error: None, Loop Detect PDU Error: None, Ethernet-Switching Error: None,
MAC-REWRITE Error: None, Loopback: None, Source filtering: Disabled, Flow control: Enabled, Speed Configuration: Auto
Device flags : Present Running
Interface flags: SNMP-Traps Internal: 0x4000
Link flags : None
CoS queues : 8 supported, 8 maximum usable queues
Current address: 84:c1:c1:7b:a8:04, Hardware address: 84:c1:c1:7b:a8:04
Last flapped : 2023-04-04 10:34:13 PDT (00:01:29 ago)
Input rate : 0 bps (0 pps)
Output rate : 0 bps (0 pps)
Active alarms : None
Active defects : None
PCS statistics Seconds
Bit errors 2
Errored blocks 2
Link Degrade :
Link Monitoring : Disable
Interface transmit statistics: Disabled
Logical interface xe-0/0/4.0 (Index 335) (SNMP ifIndex 696)
Flags: Up SNMP-Traps 0x4004000 Encapsulation: ENET2
Input packets : 0
Output packets: 1
Protocol inet, MTU: 1500
Max nh cache: 100000, New hold nh limit: 100000, Curr nh cnt: 0, Curr new hold cnt: 0, NH drop cnt: 0
Flags: Sendbcast-pkt-to-re, uRPF
Addresses, Flags: Is-Preferred Is-Primary
Destination: 10.0.1/24, Local: 10.0.1.1, Broadcast: 10.0.1.255
Protocol multiservice, MTU: Unlimited
Flags: Is-Primary
意义
命令 show interfaces xe-0/0/4 extensive (和 show interfaces xe-0/0/4 detail 命令)显示有关接口的详细信息。显示屏底部附近的 Flags: 输出字段报告单播 RPF 状态。如果未启用单播 RPF,则不会显示 uRPF 标志。
在将 uRPF 全局应用于所有接口的 EX 交换机上,当您在单个接口上启用 uRPF 时,将在 所有 交换机接口上隐式启用 uRPF,包括聚合以太网接口(也称为链路聚合组或 LAG)和路由 VLAN 接口 (RVI)。但是,uRPF 状态仅在您明确配置 uRPF 的接口上显示为已启用。因此, uRPF 标志不会显示在未显式配置 uRPF 的接口上,即使在所有接口上隐式启用了 uRPF。
单播 RPF 故障排除
合法数据包被丢弃
问题
交换机过滤来自合法来源的有效数据包,从而导致交换机丢弃应转发的数据包。
溶液
丢弃合法数据包的一个或多个接口是非对称路由接口。非对称路由接口使用不同的路径在源和目标之间发送和接收数据包,因此接收数据包的接口与交换机用于回复数据包源的接口不同。
单播 RPF 仅在对称路由接口上正常工作。对称路由接口是在源和目标之间的两个方向上使用相同的路由的接口。单播 RPF 通过检查转发表以获取传入数据包源的最佳返回路径来过滤数据包。如果最佳返回路径使用的接口与接收数据包的接口相同,交换机将转发数据包。如果最佳返回路径使用的接口与接收数据包的接口不同,交换机将丢弃数据包。
在将 uRPF 全局应用于所有接口的 EX 交换机上,uRPF 只有在所有交换机接口(包括聚合以太网接口(也称为链路聚合组或 LAG)、集成路由和桥接 (IRB) 接口以及路由 VLAN 接口 (RVI))都对称路由时才能正常工作,因为单播 RPF 在所有交换机接口上全局启用。