Exemple : Configuration d’un RPF unicast (sur un commutateur)
Cet exemple montre comment protéger les interfaces entrantes contre les attaques par déni de service (DoS) et par déni de service distribué (DDoS) en configurant le RPF unicast (uRPF) pour filtrer le trafic entrant.
Exigences
Cet exemple utilise deux commutateurs EX, désignés dans cette rubrique comme commutateur A et commutateur B. Certains modèles de commutateurs EX vous permettent de configurer uRPF sur des interfaces individuelles. Alors que sur certains modèles de commutateurs EX, il n’est pas possible de configurer des interfaces individuelles pour uRPF, le commutateur applique uRPF de manière globale à toutes les interfaces du commutateur.
-
Toute version de Junos OS pour les commutateurs EX, mais pas antérieure à Junos OS version 10.1
-
Deux commutateurs EX qui prennent en charge la configuration uRPF sur des interfaces individuelles.
Avant de commencer, assurez-vous d’avoir :
-
Connectez les deux commutateurs par des interfaces à routage symétrique - effectué.
-
Assurez-vous que l’interface sur laquelle vous allez configurer le RPF unicast est acheminée symétriquement - effectué. Une interface à routage symétrique est une interface qui utilise le même chemin dans les deux sens entre la source et la destination. N’activez pas le RPF unicast sur les interfaces à routage asymétrique. Une interface à routage asymétrique utilise des chemins différents pour envoyer et recevoir des paquets entre la source et la destination.
-
Dans cet exemple, si vous utilisez des commutateurs EX qui appliquent uRPF globalement à toutes les interfaces, assurez-vous que toutes les interfaces de commutateur sont acheminées symétriquement avant d’activer le RPF unicast sur une interface. Lorsque vous activez le RPF unicast sur n’importe quelle interface, il est activé globalement sur toutes les interfaces de commutateur. N’activez pas le RPF unicast sur les interfaces à routage asymétrique. Une interface à routage asymétrique utilise des chemins différents pour envoyer et recevoir des paquets entre la source et la destination.
Vue d’ensemble et topologie
Dans cet exemple, l'administrateur système d'un réseau d'entreprise souhaite protéger le commutateur A contre d'éventuelles attaques DoS et DDoS provenant d'Internet. L’administrateur configure le RPF unicast sur l’interface xe-0/0/4 sur le commutateur A. Les paquets arrivant sur l’interface xe-0/0/4 sur le commutateur A à partir de la source du commutateur B utilisent également l’interface entrante xe-0/0/4 comme meilleur chemin de retour pour renvoyer les paquets à la source. Dans cette topologie, les commutateurs A et B sont tous deux connectés par des interfaces à routage symétrique.
-
Le commutateur A se trouve à la périphérie d’un réseau d’entreprise. L’interface xe-0/0/4 sur le commutateur A se connecte à l’interface xe-0/0/5 sur le commutateur B.
-
Le commutateur B se trouve à la périphérie du réseau du fournisseur de services qui connecte le réseau d’entreprise à Internet.
Topologie
Configuration
Pour activer le RPF unicast, effectuez les tâches suivantes :
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement le RPF unicast sur le commutateur A, copiez la commande suivante et collez-la dans la fenêtre du terminal du commutateur :
[edit interfaces] set xe-0/0/4 unit 0 family inet rpf-check
Procédure étape par étape
Pour configurer le RPF unicast sur le commutateur A :
-
Activer le RPF unicast sur l’interface xe-0/0/4 :
[edit interfaces] user@switch# set xe-0/0/4 unit 0 family inet rpf-check
Résultats
Vérifiez les résultats :
[edit interfaces]
user@switch# show
xe-0/0/4 {
unit 0 {
family inet {
rpf-check;
}
}
}
Désactivation du RPF unicast
Procédure
Procédure étape par étape
Vérification
Le transfert inverse (RPF) unicast peut vous aider à protéger votre réseau local contre les attaques par déni de service (DoS) et par déni de service distribué (DDoS) sur les interfaces non approuvées. Le RPF de monodiffusion filtre le trafic dont les adresses sources n’utilisent pas l’interface entrante comme meilleur chemin de retour à la source. Si la configuration réseau change de sorte qu’une interface sur laquelle le RPF unicast est activé devient une interface sécurisée ou devient asymétriquement routée (l’interface qui reçoit un paquet n’est pas le meilleur chemin de retour à la source du paquet), désactivez le RPF unicast.
Pour désactiver uRPF sur les commutateurs EX qui appliquent uRPF globalement à toutes les interfaces, vous devez le supprimer de toutes les interfaces sur lesquelles vous l’avez explicitement configuré. Si vous ne désactivez pas le RPF unicast sur toutes les interfaces sur lesquelles vous l’avez explicitement activé, il reste implicitement activé sur toutes les interfaces. Si vous tentez de supprimer le RPF unicast à partir d’une interface sur laquelle il n’a pas été explicitement activé, le message s’affiche warning: statement not found . Si vous ne désactivez pas le RPF unicast sur toutes les interfaces sur lesquelles vous l’avez explicitement activé, le RPF unicast reste implicitement activé sur toutes les interfaces.
Sur les modèles de commutateurs EX qui vous permettent de configurer uRPF sur des interfaces individuelles, le commutateur n’applique pas de RPF unicast à une interface, sauf si vous activez explicitement cette interface pour le RPF unicast.
Pour désactiver le RPF unicast, supprimez sa configuration de l’interface :
[Modifier les interfaces]user@switch# delete xe-0/0/4 unit 0 family inet rpf-check
Vérification de l’activation du RPF unicast sur le commutateur
But
Vérifiez que le RPF unicast est activé et fonctionne sur l’interface.
Action
Utilisez l’une des show interfaces interface-name commandes avec les options étendues ou détaillées pour vérifier que le RPF unicast est activé et fonctionne sur le commutateur. L’exemple ci-dessous affiche la sortie de la show interfaces ge- extensive commande.
user@switch> show interfaces xe-0/0/4.0 extensive
Physical interface: xe-0/0/4, Enabled, Physical link is Up
Interface index: 147, SNMP ifIndex: 659
Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Speed: 10Gbps, BPDU Error: None, Loop Detect PDU Error: None, Ethernet-Switching Error: None,
MAC-REWRITE Error: None, Loopback: None, Source filtering: Disabled, Flow control: Enabled, Speed Configuration: Auto
Device flags : Present Running
Interface flags: SNMP-Traps Internal: 0x4000
Link flags : None
CoS queues : 8 supported, 8 maximum usable queues
Current address: 84:c1:c1:7b:a8:04, Hardware address: 84:c1:c1:7b:a8:04
Last flapped : 2023-04-04 10:34:13 PDT (00:01:29 ago)
Input rate : 0 bps (0 pps)
Output rate : 0 bps (0 pps)
Active alarms : None
Active defects : None
PCS statistics Seconds
Bit errors 2
Errored blocks 2
Link Degrade :
Link Monitoring : Disable
Interface transmit statistics: Disabled
Logical interface xe-0/0/4.0 (Index 335) (SNMP ifIndex 696)
Flags: Up SNMP-Traps 0x4004000 Encapsulation: ENET2
Input packets : 0
Output packets: 1
Protocol inet, MTU: 1500
Max nh cache: 100000, New hold nh limit: 100000, Curr nh cnt: 0, Curr new hold cnt: 0, NH drop cnt: 0
Flags: Sendbcast-pkt-to-re, uRPF
Addresses, Flags: Is-Preferred Is-Primary
Destination: 10.0.1/24, Local: 10.0.1.1, Broadcast: 10.0.1.255
Protocol multiservice, MTU: Unlimited
Flags: Is-Primary
Signification
La show interfaces xe-0/0/4 extensive commande (et la show interfaces xe-0/0/4 detail commande) affiche des informations détaillées sur l’interface. Le champ de sortie Flags : situé en bas de l’écran indique l’état du RPF en monodiffusion. Si le RPF unicast n’a pas été activé, l’indicateur uRPF ne s’affiche pas.
Sur les commutateurs EX qui appliquent uRPF globalement à toutes les interfaces, uRPF est implicitement activé sur toutes les interfaces de commutateur, y compris les interfaces Ethernet agrégées (également appelées groupes d’agrégation de liens ou LAG) et les interfaces VLAN routées (RVI) lorsque vous activez uRPF sur une seule interface. Toutefois, l’état uRPF s’affiche comme activé uniquement sur les interfaces pour lesquelles vous avez explicitement configuré uRPF. Ainsi, l’indicateur uRPF ne s’affiche pas sur les interfaces pour lesquelles vous n’avez pas explicitement configuré uRPF, même si uRPF est implicitement activé sur toutes les interfaces.
Dépannage du RPF unicast
Les paquets légitimes sont éliminés
Problème
Le commutateur filtre les paquets valides provenant de sources légitimes, ce qui entraîne le rejet par le commutateur des paquets qui doivent être transférés.
Solution
L’interface ou les interfaces sur lesquelles les paquets légitimes sont rejetés sont des interfaces à routage asymétrique. Une interface à routage asymétrique utilise des chemins différents pour envoyer et recevoir des paquets entre la source et la destination, de sorte que l'interface qui reçoit un paquet n'est pas la même que celle utilisée par le commutateur pour répondre à la source du paquet.
Le RPF unicast ne fonctionne correctement que sur les interfaces à routage symétrique. Une interface à routage symétrique est une interface qui utilise le même chemin dans les deux sens entre la source et la destination. Unicast RPF filtre les paquets en consultant la table de transfert pour trouver le meilleur chemin de retour à la source d’un paquet entrant. Si le meilleur chemin de retour utilise la même interface que l’interface qui a reçu le paquet, le commutateur transfère le paquet. Si le meilleur chemin de retour utilise une interface différente de celle qui a reçu le paquet, le commutateur ignore le paquet.
Sur les commutateurs EX qui appliquent uRPF globalement à toutes les interfaces, l’uRPF ne fonctionne correctement que si toutes les interfaces de commutateur, y compris les interfaces Ethernet agrégées (également appelées groupes d’agrégation de liens ou LAG), les interfaces de routage et de pontage intégrées (IRB) et les interfaces VLAN routées (RVI), sont acheminées symétriquement, car le RPF unicast est activé globalement sur toutes les interfaces de commutateur.