示例:配置单播 RPF(在交换机上)
此示例说明如何配置单播 RPF 以过滤传入流量,从而帮助保护入口接口免受拒绝服务 (DoS) 和分布式拒绝服务 (DDoS) 攻击。
要求
此示例使用两台 EX8200 交换机。在 EX3200 和 EX4200 交换机上,不能为单播 RPF 配置单个接口 — 交换机将全局应用单播 RPF 至交换机上的所有接口。
EX 系列交换机的 Junos OS 10.1 或更高版本
两台 EX8200 交换机
开始之前,请确保您已:
通过对称路由接口连接两台交换机。
确保将配置单播 RPF 的接口已对称路由。
在 EX8200、EX6200、QFX 系列交换机或 OCX 系列交换机上,确保在启用单播 RPF 之前对称路由所选交换机接口。对称路由接口是在源和目标之间的两个方向使用相同的路由的接口。不要在非对称路由接口上启用单播 RPF。非对称路由的接口使用不同的路径在源和目标之间发送和接收数据包。
在 EX3200、EX4200 或 EX4300 交换机上,请确保 所有 交换机接口均已对称路由,然后才能在接口上启用单播 RPF。在任何接口上启用单播 RPF 时,所有交换机接口上都会全局启用单播 RPF。不要在非对称路由接口上启用单播 RPF。非对称路由的接口使用不同的路径在源和目标之间发送和接收数据包。
概述和拓扑
在此示例中,企业网络的系统管理员希望保护交换机 A 免受来自互联网的潜在 DoS 和 DDoS 攻击。管理员在交换机 A 上的接口 xe-0/0/4上配置单播 RPF。从交换机 B 源到达接口 xe-0/0/4 的数据包也将传入接口 xe-0/0/4 用作将数据包发送回源的最佳返回路径。
此配置示例的拓扑结构使用两台 EX8200 交换机,交换机 A 和交换机 B,通过对称路由接口连接:
交换机 A 位于企业网络的边缘。交换机 A 上的接口 xe-0/0/4连接到交换机 B 上的接口 xe-0/0/5 。
交换机 B 位于服务提供商网络的边缘,用于将企业网络连接到互联网。
拓扑
配置
要启用单播 RPF,请执行以下任务:
程序
CLI 快速配置
要快速在交换机 A 上配置单播 RPF,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit interfaces] set xe-0/0/4 unit 0 family inet rpf-check
逐步过程
在交换机 A 上配置单播 RPF:
-
在接口 xe-0/0/4 上启用单播 RPF:
[edit interfaces] user@switch# set xe-0/0/4 unit 0 family inet rpf-check
结果
检查结果:
[edit interfaces]
user@switch# show
xe-0/0/4 {
unit 0 {
family inet {
rpf-check;
}
}
}
禁用单播 RPF
程序
逐步过程
验证
单播逆向路径转发 (RPF) 可以帮助保护您的 LAN 免受不受信任接口上的拒绝服务 (DoS) 和分布式拒绝服务 (DDoS) 攻击。单播 RPF 过滤流量,源地址不会将传入接口用作返回源的最佳路径。如果网络配置发生变化,使已启用单播 RPF 的接口成为可信接口或成为非对称路由(接收数据包的接口不是数据包源的最佳返回路径),请禁用单播 RPF。
要在 EX3200、EX4200 或 EX4300 交换机上禁用单播 RPF,必须将其从显式配置的每个接口中删除。如果不在显式启用它的每个接口上禁用单播 RPF,则所有接口上都会保持隐式启用状态。如果尝试从未显式启用单播 RPF 的接口中删除单播 RPF,将显示消息 warning: statement not found 。如果不在显式启用它的每个接口上禁用单播 RPF,则 EX3200、EX4200 或 EX4300 交换机的所有接口上的单播 RPF 均保持启用状态。
在 EX8200、EX6200、QFX 系列交换机和 OCX 系列交换机上,交换机不会将单播 RPF 应用于接口,除非您为单播 RPF 显式启用该接口。
要禁用单播 RPF,请从接口中删除其配置:
[编辑接口]user@switch# delete xe-0/0/4 unit 0 family inet rpf-check
验证交换机上是否启用了单播 RPF
目的
验证单播 RPF 是否已启用并在接口上工作。
行动
将其中 show interfaces interface-name 一个命令与 广泛的 或 详细 选项一起使用,验证交换机上是否启用了单播 RPF 并正常工作。以下示例显示命令的 show interfaces ge- extensive 输出。
user@switch> show interfaces xe-0/0/4.0 extensive
Physical interface: xe-0/0/4, Enabled, Physical link is Up
Interface index: 147, SNMP ifIndex: 659
Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Speed: 10Gbps, BPDU Error: None, Loop Detect PDU Error: None, Ethernet-Switching Error: None,
MAC-REWRITE Error: None, Loopback: None, Source filtering: Disabled, Flow control: Enabled, Speed Configuration: Auto
Device flags : Present Running
Interface flags: SNMP-Traps Internal: 0x4000
Link flags : None
CoS queues : 8 supported, 8 maximum usable queues
Current address: 84:c1:c1:7b:a8:04, Hardware address: 84:c1:c1:7b:a8:04
Last flapped : 2023-04-04 10:34:13 PDT (00:01:29 ago)
Input rate : 0 bps (0 pps)
Output rate : 0 bps (0 pps)
Active alarms : None
Active defects : None
PCS statistics Seconds
Bit errors 2
Errored blocks 2
Link Degrade :
Link Monitoring : Disable
Interface transmit statistics: Disabled
Logical interface xe-0/0/4.0 (Index 335) (SNMP ifIndex 696)
Flags: Up SNMP-Traps 0x4004000 Encapsulation: ENET2
Input packets : 0
Output packets: 1
Protocol inet, MTU: 1500
Max nh cache: 100000, New hold nh limit: 100000, Curr nh cnt: 0, Curr new hold cnt: 0, NH drop cnt: 0
Flags: Sendbcast-pkt-to-re, uRPF
Addresses, Flags: Is-Preferred Is-Primary
Destination: 10.0.1/24, Local: 10.0.1.1, Broadcast: 10.0.1.255
Protocol multiservice, MTU: Unlimited
Flags: Is-Primary
意义
命令 show interfaces xe-0/0/4 extensive (和 show interfaces xe-0/0/4 detail 命令)显示有关接口的深入信息。显示底部附近的 标志: 输出字段报告单播 RPF 状态。如果未启用单播 RPF,则不会显示 uRPF 标志。
在 EX3200 和 EX4200 交换机上, 所有 交换机接口都会隐式启用单播 RPF,包括聚合以太网接口(也称为链路聚合组或 LAG)和路由 VLAN 接口 (RVI)。但是,仅在您明确配置了单播 RPF 的接口上,单播 RPF 状态才会显示为已启用。因此,即使您在 EX3200 和 EX4200 交换机上的所有接口上都已隐式启用单播 RPF,您尚未显式配置单播 RPF 的接口上也不会显示 uRPF 标记。
单播 RPF 故障排除
合法数据包被丢弃
问题
交换机会过滤来自合法来源的有效数据包,从而导致交换机丢弃应转发的数据包。
解决 方案
丢弃合法数据包的接口是非对称路由的接口。非对称路由的接口使用不同的路径在源和目标之间发送和接收数据包,因此接收数据包的接口与交换机用于回复数据包源的接口不同。
单播 RPF 仅在对称路由接口上工作正常。对称路由接口是在源和目标之间的两个方向使用相同的路由的接口。单播 RPF 通过检查转发表来过滤数据包,了解传入数据包源的最佳返回路径。如果最佳返回路径使用的接口与接收数据包的接口相同,交换机将转发数据包。如果最佳返回路径使用的接口与接收数据包的接口不同,交换机将丢弃数据包。
在 EX3200、EX4200 和 EX4300 交换机上,单播 RPF 仅在所有交换机接口(包括聚合以太网接口(也称为链路聚合组或 LAG)、集成路由和桥接 (IRB) 接口以及路由 VLAN 接口 (RVI) ))均以对称方式路由时工作正常,因为所有交换机接口上都全面启用单播 RPF。