Grundlegendes zu Unicast RPF (Switches)
Zum Schutz vor IP-Spoofing und einigen Arten von Denial-of-Service- (DoS) und Distributed-Denial-of-Service-Angriffen (DDoS) überprüft Unicast Reverse-Path-Forwarding (RPF), ob Pakete von einem legitimen Pfad ankommen. Dies geschieht, indem die Quelladresse jedes Pakets, das auf einer nicht vertrauenswürdigen Eingangsschnittstelle eintrifft, überprüft und mit dem Weiterleitungstabelleneintrag für seine Quelladresse verglichen wird. Wenn das Paket von einem gültigen Pfad stammt, d. h. von einem Pfad, den der Absender verwenden würde, um das Ziel zu erreichen, leitet das Gerät das Paket an die Zieladresse weiter. Wenn es nicht aus einem gültigen Pfad stammt, verwirft das Gerät das Paket. Wenn IP-Spoofing nicht dagegen geschützt ist, kann es für Eindringlinge eine effektive Möglichkeit sein, IP-Pakete als echten Datenverkehr an ein Ziel weiterzuleiten, obwohl die Pakete eigentlich nicht für das Ziel bestimmt sind.
Unicast RPF wird für die IPv4- und IPv6-Protokollfamilien sowie für die VPN-Adressfamilie (Virtual Private Network) unterstützt. Unicast RPF wird auf Schnittstellen, die als Tunnelquellen konfiguriert sind, nicht unterstützt. Dies betrifft nur die Transitpakete, die den Tunnel verlassen.
Es gibt zwei Modi von Unicast-RPF, den strikten Modus und den losen Modus. Der Standardwert ist der strikte Modus, was bedeutet, dass der Switch ein Paket nur dann weiterleitet, wenn die empfangende Schnittstelle der beste Rückgabepfad zur Unicast-Quelladresse des Pakets ist. Der strikte Modus ist besonders nützlich für nicht vertrauenswürdige Schnittstellen (bei denen nicht vertrauenswürdige Benutzer oder Prozesse Pakete im Netzwerksegment platzieren können) und für symmetrisch geroutete Schnittstellen (siehe Wann sollte Unicast-RPF aktiviert werden?). Weitere Informationen zu striktem Unicast-RPF finden Sie unter RFC 3704, Ingress Filtering for Multihomed Networks at http://www.ietf.org/rfc/rfc3704.txt.
So aktivieren Sie Unicast-RPF im strikten Modus auf einer ausgewählten Kunden-Edge-Schnittstelle:
[Schnittstellen bearbeiten]user@switch# set interface-name unit 0 family inet rpf-check
Der andere Modus ist der lose Modus, was bedeutet, dass das System prüft, ob das Paket eine Quelladresse mit einem entsprechenden Präfix in der Routing-Tabelle hat, aber es prüft nicht, ob die empfangende Schnittstelle der beste Rückweg zur Unicast-Quelladresse des Pakets ist.
Geben Sie Folgendes ein, um den losen Unicast-RPF-Modus zu aktivieren:
[Schnittstellen bearbeiten]user@switch# set interface-name unit 0 family inet rpf-check mode loose
Überblick über Unicast RPF für Switches
Unicast RPF fungiert als Eingangsfilter, der die Weiterleitung von IP-Paketen reduziert, die möglicherweise eine Adresse fälschen. Standardmäßig ist Unicast-RPF auf den Switch-Schnittstellen deaktiviert. Der Switch unterstützt nur die aktive Pfadmethode zum Bestimmen des besten Rückgabepfads zurück zu einer Unicast-Quelladresse. Die aktive Pfadmethode sucht den besten umgekehrten Pfadeintrag in der Weiterleitungstabelle. Alternative Routen, die mit Routing-Protokoll-spezifischen Methoden angegeben wurden, werden bei der Bestimmung des besten Rückgabepfads nicht berücksichtigt.
Wenn in der Weiterleitungstabelle die Empfangsschnittstelle als Schnittstelle aufgeführt ist, die zum Zurückleiten des Pakets an die Unicastquelle verwendet werden soll, ist dies die beste Schnittstelle für den Rückkanal.
Unicast-RPF-Implementierung
- Unicast-RPF-Paketfilterung
- Bootstrap-Protokoll (BOOTP) und DHCP-Anforderungen
- Standard-Routenbehandlung
Unicast-RPF-Paketfilterung
Wenn Sie Unicast-RPF auf dem Switch aktivieren, verarbeitet der Switch den Datenverkehr auf folgende Weise:
Wenn der Switch ein Paket auf der Schnittstelle empfängt, das der beste Rückgabepfad zur Unicast-Quelladresse dieses Pakets ist, leitet der Switch das Paket weiter.
Wenn der beste Rückgabepfad vom Switch zur Unicast-Quelladresse des Pakets nicht die Empfangsschnittstelle ist, verwirft der Switch das Paket.
Wenn der Switch ein Paket mit einer Quell-IP-Adresse empfängt, die keinen Routingeintrag in der Weiterleitungstabelle hat, verwirft der Switch das Paket.
Bootstrap-Protokoll (BOOTP) und DHCP-Anforderungen
Bootstrap-Protokoll (BOOTP)- und DHCP-Anforderungspakete werden mit einer Broadcast-MAC-Adresse gesendet, weshalb der Switch keine Unicast-RPF-Prüfungen für sie durchführt. Der Switch leitet alle BOOTP-Pakete und DHCP-Anforderungspakete weiter, ohne Unicast-RPF-Prüfungen durchzuführen.
Standard-Routenbehandlung
Wenn der beste Rückgabepfad zur Quelle die Standardroute (0.0.0.0) ist und die Standardroute auf rejectzeigt, verwirft der Switch die Pakete. Wenn die Standardroute auf eine gültige Netzwerkschnittstelle verweist, führt der Switch eine normale Unicast-RPF-Prüfung der Pakete durch.
Auf dem EX4300 wird die Standardroute nicht verwendet, wenn der Switch im strikten Unicast-RPF-Modus konfiguriert ist.
Wann sollte Unicast-RPF aktiviert werden?
Aktivieren Sie Unicast-RPF, wenn Sie sicherstellen möchten, dass der auf einer Netzwerkschnittstelle eingehende Datenverkehr von einer Quelle stammt, die sich in einem Netzwerk befindet, das von dieser Schnittstelle erreicht werden kann. Sie können Unicast-RPF auf nicht vertrauenswürdigen Schnittstellen aktivieren, um gefälschte Pakete zu filtern. Eine gängige Anwendung für Unicast-RPF ist beispielsweise die Verteidigung eines Unternehmensnetzwerks vor DoS/DDoS-Angriffen aus dem Internet.
Aktivieren Sie Unicast-RPF nur auf symmetrisch gerouteten Schnittstellen und so nah wie möglich an der Datenverkehrsquelle, um gefälschten Datenverkehr zu stoppen, bevor er sich ausbreiten oder Schnittstellen erreichen kann, für die Unicast-RPF nicht aktiviert ist. Da Unicast-RPF auf EX3200-, EX4200- und EX4300-Switches global aktiviert ist, stellen Sie sicher, dass alle Schnittstellen symmetrisch geroutet sind, bevor Sie Unicast-RPF auf diesen Switches aktivieren, wie in Abbildung 1 dargestellt. Die Aktivierung von Unicast-RPF auf asymmetrisch gerouteten Schnittstellen führt dazu, dass Pakete aus legitimen Quellen gefiltert werden. Eine symmetrisch geroutete Schnittstelle verwendet in beide Richtungen die gleiche Route zwischen der Quelle und dem Ziel.
Unicast RPF ist global auf EX3200-, EX4200- und EX4300-Switches aktiviert, sodass Sie bei diesen Geräten sicherstellen können, dass alle Schnittstellen symmetrisch geroutet sind, bevor Sie Unicast-RPF auf diesen Switches aktivieren. Die Aktivierung von Unicast-RPF auf asymmetrisch gerouteten Schnittstellen führt dazu, dass Pakete aus legitimen Quellen gefiltert werden.
Die folgenden Switch-Schnittstellen sind am ehesten symmetrisch geroutet und daher Kandidaten für die Unicast-RPF-Aktivierung:
Der Service Provider Edge zu einem Kunden
Der Kundenvorteil für einen Service Provider
Ein einzelner Access Point außerhalb des Netzwerks (in der Regel am Netzwerkrand)
Ein Terminalnetzwerk mit nur einer Verbindung
Auf EX3200-, EX4200- und EX4300-Switches wird empfohlen, Unicast-RPF explizit auf allen Schnittstellen oder nur auf einer Schnittstelle zu aktivieren. Um mögliche Verwechslungen zu vermeiden, aktivieren Sie es nicht nur auf einigen Schnittstellen:
Die explizite Aktivierung von Unicast-RPF auf nur einer Schnittstelle macht es einfacher, wenn Sie es in Zukunft deaktivieren möchten, da Sie Unicast-RPF auf jeder Schnittstelle, auf der Sie es explizit aktiviert haben, explizit deaktivieren müssen. Wenn Sie Unicast-RPF explizit auf zwei Schnittstellen aktivieren und nur auf einer Schnittstelle deaktivieren, wird Unicast-RPF weiterhin implizit global auf dem Switch aktiviert. Der Nachteil dieses Ansatzes besteht darin, dass der Switch das Flag anzeigt, das angibt, dass Unicast-RPF nur auf Schnittstellen aktiviert ist, auf denen Unicast-RPF explizit aktiviert ist, sodass dieser Status nicht angezeigt wird, obwohl Unicast-RPF auf allen Schnittstellen aktiviert ist.
Wenn Sie Unicast-RPF explizit auf allen Schnittstellen aktivieren, können Sie leichter feststellen, ob Unicast-RPF auf dem Switch aktiviert ist, da jede Schnittstelle den richtigen Status anzeigt. (Nur Schnittstellen, auf denen Sie Unicast-RPF explizit aktivieren, zeigen das Flag an, das angibt, dass Unicast-RPF aktiviert ist.) Der Nachteil dieses Ansatzes besteht darin, dass Sie Unicast-RPF explizit auf jeder Schnittstelle deaktivieren müssen, wenn Sie es deaktivieren möchten. Wenn Unicast-RPF auf einer Schnittstelle aktiviert ist, wird es implizit auf allen Schnittstellen aktiviert.
Wann Unicast RPF nicht aktiviert werden sollte
In der Regel aktivieren Sie Unicast-RPF nicht, wenn:
Switch-Schnittstellen sind mehrfach vernetzt.
Switch-Schnittstellen sind vertrauenswürdige Schnittstellen.
BGP trägt Präfixe, und einige dieser Präfixe werden nicht angekündigt oder vom ISP gemäß seiner Richtlinie nicht akzeptiert. (Der Effekt ist in diesem Fall derselbe wie beim Filtern einer Schnittstelle mithilfe einer unvollständigen Zugriffsliste.)
Switch-Schnittstellen sind dem Netzwerkkern zugewandt. Core-seitige Schnittstellen sind in der Regel asymmetrisch geroutet.
Eine asymmetrisch geroutete Schnittstelle verwendet unterschiedliche Pfade zum Senden und Empfangen von Paketen zwischen der Quelle und dem Ziel, wie in Abbildung 2 dargestellt. Das heißt, wenn eine Schnittstelle ein Paket empfängt, stimmt diese Schnittstelle nicht mit dem Eintrag in der Weiterleitungstabelle als bestem Rückgabepfad zurück zur Quelle überein. Wenn die Empfangsschnittstelle nicht der beste Rückgabepfad zur Quelle eines Pakets ist, bewirkt Unicast-RPF, dass der Switch das Paket verwirft, obwohl es von einer gültigen Quelle stammt.
Aktivieren Sie Unicast-RPF nicht auf EX3200-, EX4200- und EX4300-Switches, wenn Switch-Schnittstellen asymmetrisch geroutet sind, da Unicast-RPF global auf allen Schnittstellen dieser Switches aktiviert ist. Alle Switch-Schnittstellen müssen symmetrisch geroutet sein, damit Sie Unicast-RPF aktivieren können, ohne dass die Gefahr besteht, dass der Switch den Datenverkehr verwirft, den Sie weiterleiten möchten.
Einschränkungen der Unicast-RPF-Implementierung auf EX3200-, EX4200- und EX4300-Switches
Auf EX3200-, EX4200- und EX4300-Switches implementiert der Switch Unicast-RPF auf globaler Basis. Sie können Unicast-RPF nicht für jede Schnittstelle einzeln aktivieren. Unicast-RPF ist standardmäßig global deaktiviert.
Wenn Sie Unicast-RPF auf einer beliebigen Schnittstelle aktivieren, wird es automatisch auf allen Switch-Schnittstellen aktiviert, einschließlich Link Aggregation Groups (LAGs), IRB-Schnittstellen (Integrated Routing and Bridging) und Routing-VLAN-Schnittstellen (RVIs).
Wenn Sie Unicast-RPF auf der Schnittstelle (oder den Schnittstellen) deaktivieren, auf der/denen Sie Unicast-RPF aktiviert haben, wird es automatisch auf allen Switch-Schnittstellen deaktiviert.
Sie müssen Unicast-RPF auf jeder Schnittstelle, auf der es explizit aktiviert wurde, explizit deaktivieren, da Unicast-RPF sonst auf allen Switch-Schnittstellen aktiviert bleibt.
QFX-Switches, OCX-Switches und EX3200- und EX4200-Switches führen keine Unicast-RPF-Filterung für ECMP-Datenverkehr (Equal-Cost Multipath) durch. Bei der Unicast-RPF-Prüfung wird nur ein bester Rückgabepfad zur Paketquelle untersucht, aber beim ECMP-Datenverkehr wird ein Adressblock verwendet, der aus mehreren Pfaden besteht. Die Verwendung von Unicast-RPF zum Filtern des ECMP-Datenverkehrs auf diesen Switches kann dazu führen, dass der Switch Pakete verwirft, die Sie weiterleiten möchten, da der Unicast-RPF-Filter nicht den gesamten ECMP-Adressblock untersucht.