Grundlegendes zu Unicast RPF (Router)
Für Schnittstellen, die IPv4- oder IPv6-Datenverkehr übertragen, können Sie die Auswirkungen von DoS-Angriffen (Denial of Service) reduzieren, indem Sie Unicast Reverse Path Forwarding (RPF) konfigurieren. Unicast RPF hilft bei der Bestimmung der Quelle von Angriffen und lehnt Pakete von unerwarteten Quelladressen auf Schnittstellen ab, auf denen Unicast-RPF aktiviert ist.
-
Sie können ein Netzwerk schützen, indem Sie die Unicast-RPF-Prüffunktion am Edge (auf kundenorientierten Schnittstellen) des Netzwerks anwenden. In einer ISP-Umgebung kann sich dies auf das Netzwerk auswirken, was wiederum ein skaliertes Setup beeinträchtigen kann. Für den Fall, dass Sie den Edge Ihres Netzwerks bereits geschützt haben, würde ein Paket mit einer gefälschten IP-Quelladresse nicht einmal in einer Core-Schnittstelle erscheinen. In diesem Fall ist eine Unicast-RPF-Prüfung nicht erforderlich. Die Aktivierung der Unicast-RPF-Funktion kann sich auf die Leistung der Steuerungsebene auswirken, daher sollten Sie sie dort einsetzen, wo sie erforderlich ist. Es wird daher dringend empfohlen, diese Funktion nicht auf den (internen) Netzwerk-Core-Schnittstellen zu aktivieren.
Derzeit wird auf PTX-Plattformen durch die Konfiguration der BGP-Flow-Spezifikation (flowspec) ein impliziter Filter zum Festlegen der VRF-Instanz erstellt. Auf PTX-Plattformen geht die Filtersuche der Quell-/Ziel-IP-Suche voraus. Daher erfolgt die Quell- und Ziel-IP-Suche im Kontext der VRF-Instanz.
Unicast-RPF und Standardroute
Wenn die aktive Route nicht aus den Routen in einer Routing-Tabelle ausgewählt werden kann, wählt der Router eine Standardroute aus. Eine Standardroute entspricht einer IP-Adresse von 0.0.0.0/0. Wenn Sie eine Standardroute konfigurieren und Unicast-RPF auf einer Schnittstelle konfigurieren, die von der Standardroute verwendet wird, verhält sich Unicast-RPF anders als sonst.
Um festzustellen, ob die Standardroute eine Schnittstelle verwendet, geben Sie den show route folgenden Befehl ein:
user@host> show route address
address ist die Next-Hop-Adresse der konfigurierten Standardroute. Die Standardroute verwendet die Schnittstellen, die in der show route Ausgabe des Befehls angezeigt werden.
In den folgenden Abschnitten wird beschrieben, wie sich Unicast-RPF verhält, wenn eine Standardroute eine Schnittstelle verwendet und wenn eine Standardroute keine Schnittstelle verwendet:
- Unicast-RPF-Verhalten mit einer Standardroute
- Unicast-RPF-Verhalten ohne Standardroute
- Unicast-RPF mit Routing-Asymmetrie
Unicast-RPF-Verhalten mit einer Standardroute
Auf allen Routern mit Ausnahme der Router mit MPCs und des MX80-Routers verhält sich Unicast-RPF wie folgt, wenn Sie eine Standardroute konfigurieren, die eine Schnittstelle verwendet, die mit Unicast-RPF konfiguriert ist:
Loose-Modus: Alle Pakete werden automatisch akzeptiert. Aus diesem Grund wird empfohlen, den losen Unicast-RPF-Modus nicht auf Schnittstellen zu konfigurieren, die von der Standardroute verwendet werden.
Strikter Modus: Das Paket wird akzeptiert, wenn die Quelladresse des Pakets mit einer der über die Schnittstelle erreichbaren Routen (entweder Standard oder erlernt) übereinstimmt. Beachten Sie, dass Routen mehrere Ziele zugeordnet haben können. Wenn also eines der Ziele mit der eingehenden Schnittstelle des Pakets übereinstimmt, wird das Paket akzeptiert.
Auf allen Routern mit MPCs und dem MX80-Router verhält sich Unicast-RPF wie folgt, wenn Sie eine Standardroute konfigurieren, die eine Schnittstelle verwendet, die mit Unicast-RPF konfiguriert ist:
Loose-Modus: Alle Pakete mit Ausnahme der Pakete, deren Quelle von der Standardroute gelernt wird, werden akzeptiert. Alle Pakete, deren Quelle von der Standardroute gelernt wird, werden von der Packet Forwarding Engine verworfen. Die Standardroute wird so behandelt, als ob die Route nicht vorhanden wäre.
Strikter Modus: Das Paket wird akzeptiert, wenn die Quelladresse des Pakets mit einer der über die Schnittstelle erreichbaren Routen (entweder Standard oder erlernt) übereinstimmt. Beachten Sie, dass Routen mehrere Ziele zugeordnet haben können. Wenn also eines der Ziele mit der eingehenden Schnittstelle des Pakets übereinstimmt, wird das Paket akzeptiert.
Auf allen Routern wird das Paket nicht akzeptiert, wenn eine der folgenden Bedingungen zutrifft:
Die Quelladresse des Pakets stimmt nicht mit einem Präfix in der Routing-Tabelle überein.
Die Schnittstelle erwartet nicht, ein Paket mit diesem Quelladresspräfix zu empfangen.
Unicast-RPF-Verhalten ohne Standardroute
Wenn Sie keine Standardroute konfigurieren oder wenn die Standardroute keine Schnittstelle verwendet, die mit Unicast-RPF konfiguriert ist, verhält sich Unicast-RPF wie unter Konfigurieren des strikten Unicast-RPF-Modus und Konfigurieren des Unicast-RPF-Losemodus beschrieben. Zusammenfassend lässt sich sagen, dass sich Unicast-RPF ohne Standardroute wie folgt verhält:
Strikter Modus: Das Paket wird nicht akzeptiert, wenn eine der folgenden Bedingungen zutrifft:
Das Paket hat eine Quelladresse, die nicht mit einem Präfix in der Routing-Tabelle übereinstimmt.
Die Schnittstelle erwartet nicht, ein Paket mit diesem Quelladresspräfix zu empfangen.
Loose-Modus: Das Paket wird nicht akzeptiert, wenn das Paket eine Quelladresse hat, die nicht mit einem Präfix in der Routing-Tabelle übereinstimmt.
Unicast-RPF mit Routing-Asymmetrie
Im Allgemeinen wird empfohlen, Unicast-RPF nicht für netzwerkinterne Schnittstellen zu aktivieren, da interne Schnittstellen wahrscheinlich Routingasymmetrie aufweisen. Routing-Asymmetrie bedeutet, dass die Ausgangs- und Rückwege eines Pakets unterschiedlich sind. Router im Core des Netzwerks haben mit höherer Wahrscheinlichkeit asymmetrische Reverse-Paths als Router am Kunden- oder Provider-Edge. Abbildung 1 zeigt Unicast-RPF in einer Umgebung mit Routing-Asymmetrie.
Wenn Sie in Abbildung 1 Unicast-RPF auf der Schnittstelle so-0/0/0aktivieren, wird der für Router A bestimmte Datenverkehr nicht zurückgewiesen. Wenn Sie Unicast-RPF auf der Schnittstelle so-1/0/1aktivieren, wird der Datenverkehr von Router A zurückgewiesen.
Wenn Sie Unicast-RPF in einer asymmetrischen Routingumgebung aktivieren müssen, können Sie Fehlerfilter verwenden, damit der Router eingehende Pakete akzeptieren kann, von denen bekannt ist, dass sie über bestimmte Pfade eintreffen. Ein Beispiel für einen Fehlerfilter, der Pakete mit einer bestimmten Quell- und Zieladresse akzeptiert, finden Sie unter Konfigurieren von Unicast-RPF.
Konfigurieren des strikten Unicast-RPF-Modus
Im strikten Modus überprüft Unicast-RPF, ob das eingehende Paket eine Quelladresse hat, die mit einem Präfix in der Routing-Tabelle übereinstimmt, und ob die Schnittstelle erwartet, ein Paket mit diesem Quelladresspräfix zu empfangen.
Wenn der Modus für den aktiven Pfad konfiguriert ist, wird eine Liste der ausgehenden Schnittstellen erstellt, die nur die aktive Route enthält. Jedes Paket, das über diese Schnittstellen eingeht, wird als gültig betrachtet und verarbeitet.
Wenn das eingehende Paket die Unicast-RPF-Prüfung nicht besteht, wird das Paket auf der Schnittstelle nicht akzeptiert. Wenn ein Paket auf einer Schnittstelle nicht akzeptiert wird, zählt Unicast-RPF das Paket und sendet es an einen optionalen Fehlerfilter. Wenn der Fehlerfilter nicht konfiguriert ist, besteht die Standardaktion darin, das Paket im Hintergrund zu verwerfen.
Mit dem optionalen Fehlerfilter können Sie einen Filter auf Pakete anwenden, die die Unicast-RPF-Prüfung nicht bestehen. Sie können den Fehlerfilter so definieren, dass er einen beliebigen Filtervorgang ausführt, einschließlich Akzeptieren, Ablehnen, Protokollieren, Stichproben oder Überwachen.
Wenn Unicast-RPF auf einer Schnittstelle aktiviert ist, werden BOOTP-Pakete (Bootstrap Protocol) und DHCP-Pakete (Dynamic Host Configuration Protocol) auf der Schnittstelle nicht akzeptiert. Damit die Schnittstelle BOOTP- und DHCP-Pakete akzeptieren kann, müssen Sie einen Fehlerfilter anwenden, der alle Pakete mit der Quelladresse und 0.0.0.0 der Zieladresse akzeptiert 255.255.255.255. Ein Konfigurationsbeispiel finden Sie unter Konfigurieren von Unicast-RPF.
Weitere Informationen zum Definieren von Fehlerfiltern finden Sie im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Datenverkehrsrichtlinien.
Um Unicast-RPF zu konfigurieren, fügen Sie die rpf-check Anweisung ein:
rpf-check <fail-filter filter-name>;
Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:
-
[edit interfaces interface-name unit logical-unit-number family (inet | inet6)] -
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family (inet | inet6)]
Die Verwendung von Unicast-RPF kann mehrere Konsequenzen haben, wenn es mit Datenverkehrsfiltern implementiert wird:
-
RPF-Fehlerfilter werden nach Eingangsfiltern und vor Ausgabefiltern ausgewertet.
-
Wenn Sie einen Filterzähler für Pakete konfigurieren, die von einem Eingabefilter verworfen wurden, und Sie die Gesamtzahl der verworfenen Pakete ermitteln möchten, müssen Sie auch einen Filterzähler für Pakete konfigurieren, die von der RPF-Prüfung verworfen wurden.
-
Um Pakete zu zählen, die die RPF-Prüfung nicht bestehen und vom RPF-Fehlerfilter akzeptiert werden, müssen Sie einen Filterzähler konfigurieren.
-
Wenn ein Eingabefilter Pakete an eine andere Stelle als die Routingtabellen inet.0 oder inet6.0 weiterleitet, wird die Unicast-RPF-Prüfung nicht ausgeführt.
-
Wenn ein Eingabefilter Pakete an eine andere Stelle als die Routing-Instanz weiterleitet, für die die Eingabeschnittstelle konfiguriert ist, wird die Unicast-RPF-Prüfung nicht ausgeführt.
In der oben genannten Aufzählung gelten der erste, vorletzte und letzte Punkt nicht für MX-Plattformen, da auf MX-Plattformen uRPF vor der Ausführung von Firewall-Filtern verarbeitet wird. Die uRPF-Prüfung wird für die Prüfung der Quelladresse verarbeitet, bevor FBF-Aktionen (filterbasierte Weiterleitung) für statische und dynamische Schnittstellen aktiviert werden. Dies gilt sowohl für die IPv4- als auch für die IPv6-Familien.
Auf Routern der ACX- und MX-Serie:
-
Der uRPF-Fehlerfilter wird auf ACX1000, ACX2000, ACX4000 und ACX500, ACX5048 und ACX5096 unterstützt. Der Filter wird auf ACX5448, ACX710, ACX7100-32C, ACX7100-48, ACX7509 und allen Routern der ACX7000-Serie nicht unterstützt.
- Der uRPF-Fehlerfilter kann keine Pakete abgleichen, die bei der Eingangsportprüfung fehlgeschlagen sind (strikter Modus).
- Der uRPF-Fehlerfilter kann Pakete abgleichen, bei denen die Quell-IP-Suche fehlschlägt, aber nicht Pakete, die die Eingabeschnittstellenprüfung nicht bestehen (strikter Modus).
- Der uRPF-Fehlerfilter gilt nur für schnittstellenspezifische Instanzen des Firewall-Filters.
- Die uRPF-Fehlerfilter unterstützen keine Ablehnungs- und Routinginstanzaktionen.
Konfigurieren Sie den strikten Unicast-RPF-Modus, und wenden Sie einen Fehlerfilter an, der es der Schnittstelle ermöglicht, BOOTP- und DHCP-Pakete zu akzeptieren. Der Filter akzeptiert alle Pakete mit der Quelladresse und der Zieladresse .0.0.0.0 255.255.255.255
So konfigurieren Sie Unicast-RPF im strikten Modus:
Konfigurieren des Unicast-RPF-Modus "Loose"
Standardmäßig verwendet Unicast-RPF den strikten Modus. Der lose Unicast-RPF-Modus ähnelt dem strikten Unicast-RPF-Modus und weist die gleichen Konfigurationseinschränkungen auf. Die einzige Prüfung im losen Modus besteht darin, ob das Paket eine Quelladresse mit einem entsprechenden Präfix in der Routing-Tabelle hat. Im losen Modus wird nicht überprüft, ob die Schnittstelle den Empfang eines Pakets mit einem bestimmten Quelladresspräfix erwartet. Wenn kein entsprechendes Präfix gefunden wird, akzeptiert der Unicast-RPF-Loose-Modus das Paket nicht. Wie im strikten Modus zählt auch im losen Modus das fehlgeschlagene Paket und leitet es optional an einen Fehlerfilter weiter, der das Paket entweder annimmt, ablehnt, protokolliert, abtastet oder überwacht.
Wenn der Modus "Machbare Pfade " konfiguriert ist, wird eine Liste der aktiven und inaktiven Routen für die ausgehende Schnittstelle erstellt. Jedes Paket, das über diese Schnittstellen eingeht, wird als gültig betrachtet und verarbeitet.
Um den losen Unicast-RPF-Modus zu konfigurieren, schließen Sie Folgendes modeein:
Konfigurieren des Unicast-RPF-Modus "Loose" mit der Möglichkeit, Pakete zu verwerfen
Der lose Unicast-RPF-Modus hat die Fähigkeit, Pakete zu verwerfen, deren Quelladresse auf die Verwerfungsschnittstelle verweist. Die Verwendung des losen Unicast-RPF-Modus in Verbindung mit der remote ausgelösten Nullroutenfilterung bietet eine effiziente Möglichkeit, Pakete aus bekannten Angriffsquellen zu verwerfen. BGP-Richtlinien in Edge-Routern stellen sicher, dass der nächste Hop für Pakete mit nicht vertrauenswürdigen Quelladressen auf eine Verwerfungsroute festgelegt wird. Wenn ein Paket mit einer nicht vertrauenswürdigen Quelladresse beim Router eintrifft, führt Unicast-RPF eine Routensuche der Quelladresse durch. Da die Route der Quelladresse auf einen verworfenen nächsten Hop verweist, wird das Paket verworfen und ein Zähler inkrementiert. Diese Funktion wird sowohl für IPv4 (inet) als auch für IPv6 (inet6) Adressfamilien unterstützt.
Um den losen Unicast-RPF-Modus mit der Möglichkeit zum Verwerfen von Paketen zu konfigurieren, fügen Sie die Anweisung rpf-loose-mode-discard family (inet | inet6) auf der [edit forwarding-options] Hierarchieebene ein:
rpf-loose-mode-discard {
family {
inet;
}
}
In diesem Beispiel ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Konfigurieren Sie den losen Unicast-RPF-Modus, und wenden Sie einen Fehlerfilter an, der es der Schnittstelle ermöglicht, BOOTP- und DHCP-Pakete zu akzeptieren. Der Filter akzeptiert alle Pakete mit der Quelladresse und der Zieladresse .0.0.0.0 255.255.255.255
So konfigurieren Sie den losen Unicast-RPF-Modus mit der Möglichkeit, Pakete zu verwerfen:
Konfigurieren von Unicast RPF in einem VPN
Sie können Unicast-RPF auf einer VPN-Schnittstelle konfigurieren, indem Sie Unicast-RPF auf der Schnittstelle aktivieren und die interface Anweisung auf Hierarchieebene [edit routing-instances routing-instance-name] einschließen.
Sie können Unicast-RPF nur auf den Schnittstellen konfigurieren, die Sie in der Routinginstanz angeben. Das bedeutet folgendes:
-
Für Layer 3-VPNs wird Unicast-RPF auf der CE-Routerschnittstelle unterstützt.
-
Unicast RPF wird auf Core-Schnittstellen nicht unterstützt.
-
Für Routinginstanzen mit virtuellen Routern wird Unicast-RPF auf allen Schnittstellen unterstützt, die Sie in der Routinginstanz angeben.
-
Wenn ein Eingabefilter Pakete an eine andere Stelle als die Routing-Instanz weiterleitet, für die die Eingabeschnittstelle konfiguriert ist, wird die Unicast-RPF-Prüfung nicht ausgeführt.
Konfigurieren von Unicast-RPF auf einer Layer 3-VPN-Schnittstelle:
[edit interfaces]
so-0/0/0 {
unit 0 {
family inet {
rpf-check;
}
}
}
[edit routing-instance]
VPN-A {
interface so-0/0/0.0;
}
Konfigurieren von Unicast-RPF
Konfigurieren Sie den strikten Unicast-RPF-Modus, und wenden Sie einen Fehlerfilter an, der es der Schnittstelle ermöglicht, BOOTP- und DHCP-Pakete zu akzeptieren. Der Filter akzeptiert alle Pakete mit der Quelladresse und der Zieladresse .0.0.0.0 255.255.255.255
[edit firewall]
filter rpf-special-case-dhcp-bootp {
term allow-dhcp-bootp {
from {
source-address {
0.0.0.0/32;
}
address {
255.255.255.255/32;
}
}
then {
count rpf-dhcp-bootp-traffic;
accept;
}
}
term default {
then {
log;
reject;
}
}
}
[edit]
interfaces {
so-0/0/0 {
unit 0 {
family inet {
rpf-check fail-filter rpf-special-case-dhcp-bootp;
}
}
}
}