Beispiel: Unicast RPF konfigurieren (auf einem Switch)
Dieses Beispiel zeigt, wie Sie Eingangsschnittstellen gegen Denial-of-Service- (DoS) und Distributed-Denial-of-Service- (DDoS) Angriffe schützen können, indem Sie Unicast-RPF (uRPF) so konfigurieren, dass eingehender Datenverkehr gefiltert wird.
Anforderungen
In diesem Beispiel werden zwei EX-Switches verwendet, die in diesem Thema als Switch A und Switch B bezeichnet werden. Bei bestimmten EX-Switch-Modellen können Sie uRPF auf einzelnen Schnittstellen konfigurieren. Bei bestimmten EX-Switch-Modellen können Sie keine einzelnen Schnittstellen für uRPF konfigurieren, sondern der Switch wendet uRPF global auf alle Schnittstellen auf dem Switch an.
-
Zwei EX-Switches, die die uRPF-Konfiguration auf einzelnen Schnittstellen unterstützen.
Bevor Sie beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:
-
Die beiden Switches wurden über symmetrisch geroutete Schnittstellen verbunden.
-
Es wurde sichergestellt, dass die Schnittstelle, auf der Sie Unicast-RPF konfigurieren, symmetrisch geroutet ist. Eine symmetrisch geroutete Schnittstelle ist eine Schnittstelle, die dieselbe Route in beide Richtungen zwischen der Quelle und dem Ziel verwendet. Aktivieren Sie Unicast-RPF nicht auf Schnittstellen mit asymmetrischem Routing. Eine asymmetrisch geroutete Schnittstelle verwendet verschiedene Pfade, um Pakete zwischen Quelle und Ziel zu senden und zu empfangen.
-
Wenn Sie in diesem Beispiel EX-Switches verwenden, die uRPF global auf alle Schnittstellen anwenden, stellen Sie sicher, dass alle Switch-Schnittstellen symmetrisch geroutet sind, bevor Sie Unicast-RPF auf einer Schnittstelle aktivieren. Wenn Sie Unicast-RPF auf einer beliebigen Schnittstelle aktivieren, wird es global auf allen Switch-Schnittstellen aktiviert. Aktivieren Sie Unicast-RPF nicht auf Schnittstellen mit asymmetrischem Routing. Eine asymmetrisch geroutete Schnittstelle verwendet verschiedene Pfade, um Pakete zwischen Quelle und Ziel zu senden und zu empfangen.
Übersicht und Topologie
In diesem Beispiel möchte der Systemadministrator eines Unternehmensnetzwerks Switch A vor potenziellen DoS- und DDoS-Angriffen aus dem Internet schützen. Der Administrator konfiguriert Unicast RPF auf der Schnittstelle xe-0/0/4 auf Switch A. Pakete, die an der Schnittstelle xe-0/0/4 auf Switch A von der Quelle von Switch B ankommen, verwenden ebenfalls die eingehende Schnittstelle xe-0/0/4 als besten Rückpfad, um Pakete zurück an die Quelle zu senden. In dieser Topologie sind Switch A und Switch B beide über symmetrisch geroutete Schnittstellen verbunden.
-
Switch A befindet sich am Edge eines Unternehmensnetzwerks. Die Schnittstelle xe-0/0/4 auf Switch A wird mit der Schnittstelle xe-0/0/5 auf Switch B verbunden.
-
Switch B befindet sich am Edge des Service Provider-Netzwerks, das das Unternehmensnetzwerk mit dem Internet verbindet.
Topologie
Konfiguration
Führen Sie die folgenden Aufgaben aus, um Unicast-RPF zu aktivieren:
Vorgehensweise
CLI-Schnellkonfiguration
Um Unicast-RPF auf Switch A schnell zu konfigurieren, kopieren Sie den folgenden Befehl, und fügen Sie ihn in das Switch-Terminal-Fenster ein:
[edit interfaces] set xe-0/0/4 unit 0 family inet rpf-check
Schritt-für-Schritt-Anleitung
So konfigurieren Sie Unicast-RPF auf Switch A:
-
Aktivieren Sie Unicast-RPF auf der Schnittstelle xe-0/0/4:
[edit interfaces] user@switch# set xe-0/0/4 unit 0 family inet rpf-check
Ergebnisse
Überprüfen Sie die Ergebnisse:
[edit interfaces]
user@switch# show
xe-0/0/4 {
unit 0 {
family inet {
rpf-check;
}
}
}
Deaktivieren von Unicast RPF
Vorgehensweise
Schritt-für-Schritt-Anleitung
Verifizierung
Unicast Reverse Path Forwarding (RPF) kann dazu beitragen, Ihr LAN vor Denial-of-Service- (DoS) und Distributed-Denial-of-Service- (DDoS) Angriffen auf nicht vertrauenswürdige Schnittstellen zu schützen. Unicast RPF filtert Datenverkehr mit Quelladressen, die die eingehende Schnittstelle nicht als besten Rückweg zur Quelle verwenden. Wenn sich die Netzwerkkonfiguration ändert, sodass eine Schnittstelle, für die Unicast-RPF aktiviert ist, zu einer vertrauenswürdigen Schnittstelle wird oder asymmetrisch geroutet wird (die Schnittstelle, die ein Paket empfängt, ist nicht der beste Rückgabepfad zur Quelle des Pakets), deaktivieren Sie Unicast-RPF.
Um uRPF auf EX-Switches zu deaktivieren, die uRPF global auf alle Schnittstellen anwenden, müssen Sie es von allen Schnittstellen löschen, auf denen Sie es explizit konfiguriert haben. Wenn Sie Unicast-RPF nicht auf jeder Schnittstelle deaktivieren, auf der Sie es explizit aktiviert haben, bleibt es implizit auf allen Schnittstellen aktiviert. Wenn Sie versuchen, Unicast RPF von einer Schnittstelle zu löschen, auf der es nicht explizit aktiviert wurde, wird die warning: statement not found Meldung angezeigt. Wenn Sie Unicast-RPF nicht auf jeder Schnittstelle deaktivieren, auf der Sie es explizit aktiviert haben, bleibt Unicast-RPF implizit auf allen Schnittstellen aktiviert.
Bei EX-Switch-Modellen, mit denen Sie uRPF auf einzelnen Schnittstellen konfigurieren können, wendet der Switch kein Unicast-RPF auf eine Schnittstelle an, es sei denn, Sie aktivieren diese Schnittstelle explizit für Unicast-RPF.
Um Unicast-RPF zu deaktivieren, löschen Sie die Konfiguration von der Schnittstelle:
[Schnittstellen bearbeiten]user@switch# delete xe-0/0/4 unit 0 family inet rpf-check
Überprüfen, ob Unicast RPF auf dem Switch aktiviert ist
Zweck
Stellen Sie sicher, dass Unicast-RPF aktiviert ist und auf der Schnittstelle funktioniert.
Aktion
Verwenden Sie einen der show interfaces interface-name Befehle mit den Optionen "Auslieferung " oder "Detail", um zu überprüfen, ob Unicast-RPF aktiviert ist und auf dem Switch funktioniert. Im folgenden Beispiel wird die Ausgabe des show interfaces ge- extensive Befehls angezeigt.
user@switch> show interfaces xe-0/0/4.0 extensive
Physical interface: xe-0/0/4, Enabled, Physical link is Up
Interface index: 147, SNMP ifIndex: 659
Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Speed: 10Gbps, BPDU Error: None, Loop Detect PDU Error: None, Ethernet-Switching Error: None,
MAC-REWRITE Error: None, Loopback: None, Source filtering: Disabled, Flow control: Enabled, Speed Configuration: Auto
Device flags : Present Running
Interface flags: SNMP-Traps Internal: 0x4000
Link flags : None
CoS queues : 8 supported, 8 maximum usable queues
Current address: 84:c1:c1:7b:a8:04, Hardware address: 84:c1:c1:7b:a8:04
Last flapped : 2023-04-04 10:34:13 PDT (00:01:29 ago)
Input rate : 0 bps (0 pps)
Output rate : 0 bps (0 pps)
Active alarms : None
Active defects : None
PCS statistics Seconds
Bit errors 2
Errored blocks 2
Link Degrade :
Link Monitoring : Disable
Interface transmit statistics: Disabled
Logical interface xe-0/0/4.0 (Index 335) (SNMP ifIndex 696)
Flags: Up SNMP-Traps 0x4004000 Encapsulation: ENET2
Input packets : 0
Output packets: 1
Protocol inet, MTU: 1500
Max nh cache: 100000, New hold nh limit: 100000, Curr nh cnt: 0, Curr new hold cnt: 0, NH drop cnt: 0
Flags: Sendbcast-pkt-to-re, uRPF
Addresses, Flags: Is-Preferred Is-Primary
Destination: 10.0.1/24, Local: 10.0.1.1, Broadcast: 10.0.1.255
Protocol multiservice, MTU: Unlimited
Flags: Is-Primary
Bedeutung
Der show interfaces xe-0/0/4 extensive Befehl (und der show interfaces xe-0/0/4 detail Befehl) zeigt detaillierte Informationen über die Schnittstelle an. Das Ausgabefeld Flags: am unteren Rand des Displays meldet den Unicast-RPF-Status. Wenn Unicast-RPF nicht aktiviert wurde, wird das uRPF-Flag nicht angezeigt.
Auf EX-Switches, die uRPF global auf alle Schnittstellen anwenden, wird uRPF implizit auf allen Switch-Schnittstellen aktiviert, einschließlich aggregierter Ethernet-Schnittstellen (auch als Link Aggregation Groups oder LAGs bezeichnet) und gerouteter VLAN-Schnittstellen (RVIs), wenn Sie uRPF auf einer einzelnen Schnittstelle aktivieren. Der uRPF-Status wird jedoch nur auf Schnittstellen als aktiviert angezeigt, für die Sie uRPF explizit konfiguriert haben. Daher wird das uRPF-Flag nicht auf Schnittstellen angezeigt, für die Sie uRPF nicht explizit konfiguriert haben, obwohl uRPF implizit auf allen Schnittstellen aktiviert ist.
Fehlerbehebung bei Unicast RPF
Legitime Pakete werden verworfen
Problemstellung
Der Switch filtert gültige Pakete aus legitimen Quellen, was dazu führt, dass der Switch Pakete verwirft, die weitergeleitet werden sollten.
Lösung
Die Schnittstelle(n), auf der/denen legitime Pakete verworfen werden, sind asymmetrisch geroutete Schnittstellen. Eine asymmetrisch geroutete Schnittstelle verwendet unterschiedliche Pfade zum Senden und Empfangen von Paketen zwischen Quelle und Ziel, sodass die Schnittstelle, die ein Paket empfängt, nicht dieselbe Schnittstelle ist, über die der Switch der Paketquelle antwortet.
Unicast RPF funktioniert nur auf symmetrisch gerouteten Schnittstellen ordnungsgemäß. Eine symmetrisch geroutete Schnittstelle ist eine Schnittstelle, die dieselbe Route in beide Richtungen zwischen der Quelle und dem Ziel verwendet. Unicast RPF filtert Pakete, indem es in der Weiterleitungstabelle nach dem besten Rückgabepfad zur Quelle eines eingehenden Pakets sucht. Wenn der beste Rückgabepfad dieselbe Schnittstelle verwendet wie die Schnittstelle, die das Paket empfangen hat, leitet der Switch das Paket weiter. Wenn der beste Rückgabepfad eine andere Schnittstelle verwendet als die Schnittstelle, die das Paket empfangen hat, verwirft der Switch das Paket.
Auf EX-Switches, die uRPF global auf alle Schnittstellen anwenden, funktioniert uRPF nur dann ordnungsgemäß, wenn alle Switch-Schnittstellen – einschließlich aggregierter Ethernet-Schnittstellen (auch als Link Aggregation Groups oder LAGs bezeichnet), integrierter Routing- und Bridging-Schnittstellen (IRB) und gerouteter VLAN-Schnittstellen (RVIs) – symmetrisch geroutet werden, da Unicast-RPF global auf allen Switch-Schnittstellen aktiviert ist.