Vérification du transfert de chemin inverse unicast pour les VPN
Comprendre le RPF unicast (commutateurs)
Pour vous protéger contre l’usurpation d’adresse IP et certains types d’attaques par déni de service (DoS) et par déni de service distribué (DDoS), le RPF (Reverse-Path Forwarding) unicast vérifie que les paquets arrivent à partir d’un chemin légitime. Pour ce faire, il vérifie l’adresse source de chaque paquet qui arrive sur une interface entrante non fiable et la compare à l’entrée de la table de transfert pour son adresse source. Si le paquet provient d’un chemin valide, c’est-à-dire un chemin que l’expéditeur utiliserait pour atteindre la destination, l’équipement transfère le paquet à l’adresse de destination. S’il ne provient pas d’un chemin valide, l’appareil rejette le paquet. À moins d’être protégée, l’usurpation d’adresse IP peut être un moyen efficace pour les intrus de transmettre des paquets IP à une destination en tant que trafic authentique, alors qu’en réalité, les paquets ne sont pas destinés à la destination.
Le RPF unicast est pris en charge pour les familles de protocoles IPv4 et IPv6, ainsi que pour la famille d’adresses de réseau privé virtuel (VPN). Le RPF unicast n’est pas pris en charge sur les interfaces configurées en tant que sources de tunnel. Cela n’affecte que les paquets de transit sortant du tunnel.
Il existe deux modes de RPF unicast, le mode strict et le mode lâche. La valeur par défaut est le mode strict, ce qui signifie que le commutateur transfère un paquet uniquement si l'interface de réception est le meilleur chemin de retour vers l'adresse source unicast du paquet. Le mode strict est particulièrement utile sur les interfaces non approuvées (où des utilisateurs ou des processus non approuvés peuvent placer des paquets sur le segment réseau) et pour les interfaces à routage symétrique (voir Quand activer le RPF unicast). Pour plus d’informations sur le RPF unicast strict, reportez-vous à la RFC 3704, Filtrage entrant pour les réseaux multirésidents au http://www.ietf.org/rfc/rfc3704.txt.
Pour activer le RPF unicast en mode strict sur une interface de périphérie client sélectionnée :
[Modifier les interfaces]user@switch# set interface-name unit 0 family inet rpf-check
L'autre mode est le mode lâche, ce qui signifie que le système vérifie si le paquet a une adresse source avec un préfixe correspondant dans la table de routage, mais il ne vérifie pas si l'interface de réception est le meilleur chemin de retour à l'adresse source unicast du paquet.
Pour activer le mode lâche RPF unicast, entrez :
[Modifier les interfaces]user@switch# set interface-name unit 0 family inet rpf-check mode loose
- Présentation du RPF unicast pour les commutateurs
- Implémentation RPF unicast
- Quand activer le RPF unicast ?
- Quand ne pas activer le RPF unicast
- Limitations de l’implémentation RPF unicast sur les commutateurs EX3200, EX4200 et EX4300
Présentation du RPF unicast pour les commutateurs
Le RPF unicast fonctionne comme un filtre d’entrée qui réduit le transfert de paquets IP susceptibles d’usurper une adresse. Par défaut, le RPF unicast est désactivé sur les interfaces du commutateur. Le commutateur ne prend en charge que la méthode des chemins actifs qui permet de déterminer le meilleur chemin de retour vers une adresse source unicast. La méthode des chemins actifs recherche la meilleure entrée de chemin inverse dans la table de transfert. Il ne prend pas en compte les itinéraires alternatifs spécifiés à l’aide de méthodes spécifiques au protocole de routage pour déterminer le meilleur chemin de retour.
Si la table de transfert indique l’interface de réception comme interface à utiliser pour renvoyer le paquet à sa source unicast, il s’agit de la meilleure interface de chemin de retour.
Implémentation RPF unicast
- Filtrage de paquets RPF unicast
- Requêtes BOOTP (Bootstrap Protocol) et DHCP
- Gestion des routes par défaut
Filtrage de paquets RPF unicast
Lorsque vous activez le RPF unicast sur le commutateur, celui-ci gère le trafic de la manière suivante :
Si le commutateur reçoit un paquet sur l’interface qui est le meilleur chemin de retour vers l’adresse source unicast de ce paquet, il transfère le paquet.
Si le meilleur chemin de retour entre le commutateur et l'adresse source unicast du paquet n'est pas l'interface de réception, le commutateur ignore le paquet.
Si le commutateur reçoit un paquet dont l’adresse IP source n’a pas d’entrée de routage dans la table de transfert, il rejette le paquet.
Requêtes BOOTP (Bootstrap Protocol) et DHCP
Les paquets de requêtes BOOTP (Bootstrap Protocol) et DHCP sont envoyés avec une adresse MAC de diffusion. Par conséquent, le commutateur n’effectue pas de vérifications RPF unicast sur ces paquets. Le commutateur transfère tous les paquets BOOTP et les paquets de requêtes DHCP sans effectuer de vérifications RPF unicast.
Gestion des routes par défaut
Si le meilleur chemin de retour à la source est la route par défaut (0.0.0.0) et que la route par défaut pointe vers reject, le commutateur rejette les paquets. Si la route par défaut pointe vers une interface réseau valide, le commutateur effectue une vérification RPF unicast normale sur les paquets.
Sur l’EX4300, la route par défaut n’est pas utilisée lorsque le commutateur est configuré en mode strict RPF unicast.
Quand activer le RPF unicast ?
Activez le RPF unicast lorsque vous souhaitez vous assurer que le trafic arrivant sur une interface réseau provient d’une source qui réside sur un réseau que cette interface peut atteindre. Vous pouvez activer le RPF unicast sur les interfaces non approuvées pour filtrer les paquets usurpés. Par exemple, une application courante du RPF unicast est d’aider à défendre un réseau d’entreprise contre les attaques DoS/DDoS provenant d’Internet.
Activez le RPF unicast uniquement sur les interfaces à routage symétrique et aussi près que possible de la source de trafic pour stopper le trafic usurpé avant qu’il ne puisse proliférer ou atteindre les interfaces pour lesquelles le RPF unicast n’est pas activé. Étant donné que le RPF unicast est activé globalement sur les commutateurs EX3200, EX4200 et EX4300, assurez-vous que toutes les interfaces sont routées de manière symétrique avant d’activer le RPF unicast sur ces commutateurs, comme illustré sur la Figure 1. L’activation du RPF unicast sur des interfaces à routage asymétrique entraîne le filtrage des paquets provenant de sources légitimes. Une interface à routage symétrique utilise le même chemin dans les deux sens entre la source et la destination.
Le RPF unicast est activé globalement sur les commutateurs EX3200, EX4200 et EX4300. Pour ces appareils, assurez-vous que toutes les interfaces sont acheminées de manière symétrique avant d’activer le RPF unicast sur ces commutateurs. L’activation du RPF unicast sur des interfaces à routage asymétrique entraîne le filtrage des paquets provenant de sources légitimes.
à routage symétrique
Les interfaces de commutation suivantes sont plus susceptibles d’être routées symétriquement et sont donc candidates pour l’activation RPF unicast :
Le fournisseur de services Edge pour un client
De la périphérie client à un fournisseur de services
Un point d’accès unique hors du réseau (généralement sur le périmètre du réseau)
Un réseau de terminaux qui n’a qu’un seul lien
Sur les commutateurs EX3200, EX4200 et EX4300, nous vous recommandons d’activer explicitement le RPF unicast sur toutes les interfaces ou sur une seule interface. Pour éviter toute confusion, ne l’activez pas uniquement sur certaines interfaces :
L’activation explicite du RPF unicast sur une seule interface facilite la tâche si vous choisissez de le désactiver à l’avenir, car vous devez désactiver explicitement le RPF unicast sur chaque interface sur laquelle vous l’avez explicitement activé. Si vous activez explicitement le RPF unicast sur deux interfaces et que vous le désactivez sur une seule interface, le RPF unicast est toujours implicitement activé globalement sur le commutateur. L’inconvénient de cette approche est que le commutateur affiche l’indicateur qui indique que le RPF unicast est activé uniquement sur les interfaces sur lesquelles le RPF unicast est explicitement activé, de sorte que même si le RPF unicast est activé sur toutes les interfaces, cet état n’est pas affiché.
L’activation explicite du RPF unicast sur toutes les interfaces permet de savoir plus facilement si le RPF unicast est activé sur le commutateur, car chaque interface affiche l’état correct. (Seules les interfaces sur lesquelles vous activez explicitement le RPF unicast affichent l’indicateur qui indique que le RPF unicast est activé.) L’inconvénient de cette approche est que si vous souhaitez désactiver le RPF unicast, vous devez le désactiver explicitement sur chaque interface. Si le RPF unicast est activé sur n’importe quelle interface, il est implicitement activé sur toutes les interfaces.
Quand ne pas activer le RPF unicast
En règle générale, vous n’activerez pas le RPF unicast dans les cas suivants :
Les interfaces de commutation sont multirésidentes.
Les interfaces de commutation sont des interfaces de confiance.
BGP comporte des préfixes et certains de ces préfixes ne sont pas annoncés ou ne sont pas acceptés par le FAI en vertu de sa stratégie. (Dans ce cas, l’effet est le même que le filtrage d’une interface à l’aide d’une liste d’accès incomplète.)
Les interfaces de commutation sont orientées vers le cœur du réseau. Les interfaces orientées vers le cœur sont généralement acheminées de manière asymétrique.
Une interface à routage asymétrique utilise des chemins différents pour envoyer et recevoir des paquets entre la source et la destination, comme illustré sur la Figure 2. Cela signifie que si une interface reçoit un paquet, cette interface ne correspond pas à l’entrée de la table de transfert comme meilleur chemin de retour à la source. Si l’interface de réception n’est pas le meilleur chemin de retour à la source d’un paquet, le RPF unicast entraîne le rejet du paquet par le commutateur, même s’il provient d’une source valide.
à routage asymétrique
N’activez pas le RPF unicast sur les commutateurs EX3200, EX4200 et EX4300 si des interfaces de commutateur sont acheminées de manière asymétrique, car le RPF unicast est activé globalement sur toutes les interfaces de ces commutateurs. Toutes les interfaces des commutateurs doivent être acheminées symétriquement pour que vous puissiez activer le RPF unicast sans que le commutateur ne rejette le trafic que vous souhaitez transférer.
Limitations de l’implémentation RPF unicast sur les commutateurs EX3200, EX4200 et EX4300
Sur les commutateurs EX3200, EX4200 et EX4300, le commutateur implémente le RPF unicast à l’échelle mondiale. Il n’est pas possible d’activer le RPF unicast par interface. Le RPF unicast est globalement désactivé par défaut.
Lorsque vous activez le RPF unicast sur n’importe quelle interface, il est automatiquement activé sur toutes les interfaces de commutateur, y compris les groupes d’agrégation de liens (LAG), les interfaces IRB (Integrated Routing and Bridging) et les interfaces VLAN routées (RVI).
Lorsque vous désactivez le RPF unicast sur la ou les interfaces sur lesquelles vous avez activé le RPF unicast, il est automatiquement désactivé sur toutes les interfaces du commutateur.
Vous devez désactiver explicitement le RPF unicast sur chaque interface sur laquelle il a été explicitement activé, sinon le RPF unicast reste activé sur toutes les interfaces du commutateur.
Les commutateurs QFX, les commutateurs OCX et les commutateurs EX3200 et EX4200 n’effectuent pas de filtrage RPF unicast sur le trafic ECMP (Equal-cost Multi-Path). La vérification RPF unicast n’examine qu’un seul chemin de retour vers la source du paquet, mais le trafic ECMP utilise un bloc d’adresses composé de plusieurs chemins. L’utilisation d’un RPF unicast pour filtrer le trafic ECMP sur ces commutateurs peut entraîner le rejet par le commutateur des paquets que vous souhaitez transférer, car le filtre RPF unicast n’examine pas l’intégralité du bloc d’adresses ECMP.
Voir aussi
Exemple : configuration du RPF unicast (sur un routeur)
Cet exemple montre comment défendre les interfaces entrantes contre les attaques par déni de service (DoS) et par déni de service distribué (DDoS) en configurant le RPF unicast sur une interface de périphérie client pour filtrer le trafic entrant.
Exigences
Aucune configuration particulière au-delà de l’initialisation de l’appareil n’est requise.
Aperçu
Dans cet exemple, l’équipement A utilise OSPF pour annoncer un préfixe pour le lien qui se connecte à l’équipement D. L’équipement B a configuré le RPF unicast. OSPF est activé sur les liaisons entre l’équipement B et l’équipement C et les liaisons entre l’équipement A et l’équipement C, mais pas sur les liaisons entre l’équipement A et l’équipement B. Par conséquent, l’équipement B apprend l’itinéraire vers l’équipement D via l’équipement C.
Si le filtrage entrant est utilisé dans un environnement où DHCP ou BOOTP est utilisé, il convient de s’assurer que les paquets dont l’adresse source est 0.0.0.0 et l’adresse de destination 255.255.255.255 sont autorisés à atteindre l’agent de relais dans les routeurs, le cas échéant.
Cet exemple inclut également un filtre d’échec. Lorsqu’un paquet échoue à la vérification RPF unicast, le filtre d’échec est évalué pour déterminer si le paquet doit tout de même être accepté. Dans cet exemple, le filtre d’échec permet aux interfaces de l’équipement B d’accepter des paquets DHCP (Dynamic Host Configuration Protocol). Le filtre accepte tous les paquets dont l’adresse source est 0.0.0.0 et l’adresse de destination 255.255.255.255.
Configuration
- Configuration rapide de la CLI
- Configuration de l’appareil A
- Configuration de l’équipement B
- Résultats
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
Appareil A
set interfaces fe-1/2/0 unit 1 family inet address 10.0.0.1/30 set interfaces fe-0/0/2 unit 5 family inet address 10.0.0.5/30 set interfaces fe-0/0/1 unit 17 family inet address 10.0.0.17/30 set interfaces fe-0/1/1 unit 25 family inet address 10.0.0.25/30 set interfaces fe-1/1/1 unit 29 family inet address 10.0.0.29/30 set protocols ospf export send-direct set protocols ospf area 0.0.0.0 interface fe-0/1/1.25 set protocols ospf area 0.0.0.0 interface fe-1/1/1.29 set policy-options policy-statement send-direct from protocol direct set policy-options policy-statement send-direct from route-filter 10.0.0.16/30 exact set policy-options policy-statement send-direct then accept
Dispositif B
set interfaces fe-1/2/0 unit 2 family inet rpf-check fail-filter rpf-special-case-dhcp set interfaces fe-1/2/0 unit 2 family inet address 10.0.0.2/30 set interfaces fe-1/1/1 unit 6 family inet rpf-check fail-filter rpf-special-case-dhcp set interfaces fe-1/1/1 unit 6 family inet address 10.0.0.6/30 set interfaces fe-0/1/1 unit 9 family inet rpf-check fail-filter rpf-special-case-dhcp set interfaces fe-0/1/1 unit 9 family inet address 10.0.0.9/30 set interfaces fe-0/1/0 unit 13 family inet rpf-check fail-filter rpf-special-case-dhcp set interfaces fe-0/1/0 unit 13 family inet address 10.0.0.13/30 set protocols ospf area 0.0.0.0 interface fe-0/1/1.9 set protocols ospf area 0.0.0.0 interface fe-0/1/0.13 set routing-options forwarding-table unicast-reverse-path active-paths set firewall filter rpf-special-case-dhcp term allow-dhcp from source-address 0.0.0.0/32 set firewall filter rpf-special-case-dhcp term allow-dhcp from destination-address 255.255.255.255/32 set firewall filter rpf-special-case-dhcp term allow-dhcp then count rpf-dhcp-traffic set firewall filter rpf-special-case-dhcp term allow-dhcp then accept set firewall filter rpf-special-case-dhcp term default then log set firewall filter rpf-special-case-dhcp term default then reject
Dispositif C
set interfaces fe-1/2/0 unit 10 family inet address 10.0.0.10/30 set interfaces fe-0/0/2 unit 14 family inet address 10.0.0.14/30 set interfaces fe-1/0/2 unit 21 family inet address 10.0.0.21/30 set interfaces fe-1/2/2 unit 26 family inet address 10.0.0.26/30 set interfaces fe-1/2/1 unit 30 family inet address 10.0.0.30/30 set protocols ospf area 0.0.0.0 interface fe-1/2/0.10 set protocols ospf area 0.0.0.0 interface fe-0/0/2.14 set protocols ospf area 0.0.0.0 interface fe-1/2/2.26 set protocols ospf area 0.0.0.0 interface fe-1/2/1.30
Dispositif D
set interfaces fe-1/2/0 unit 18 family inet address 10.0.0.18/30
Dispositif E
set interfaces fe-1/2/0 unit 22 family inet address 10.0.0.22/30
Configuration de l’appareil A
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer l’appareil A :
Configurez les interfaces.
[edit interfaces] user@A# set fe-1/2/0 unit 1 family inet address 10.0.0.1/30 user@A# set fe-0/0/2 unit 5 family inet address 10.0.0.5/30 user@A# set fe-0/0/1 unit 17 family inet address 10.0.0.17/30 user@A# set fe-0/1/1 unit 25 family inet address 10.0.0.25/30 user@A# set fe-1/1/1 unit 29 family inet address 10.0.0.29/30
Configurez OSPF.
[edit protocols ospf] user@A# set export send-direct user@A# set area 0.0.0.0 interface fe-0/1/1.25 user@A# set area 0.0.0.0 interface fe-1/1/1.29
Configurez la stratégie de routage.
[edit policy-options policy-statement send-direct] user@A# set from protocol direct user@A# set from route-filter 10.0.0.16/30 exact user@A# set then accept
Si vous avez terminé de configurer l’appareil A, validez la configuration.
[edit] user@A# commit
Configuration de l’équipement B
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer l’équipement B :
Configurez les interfaces.
[edit interfaces] user@B# set fe-1/2/0 unit 2 family inet address 10.0.0.2/30 user@B# set fe-1/1/1 unit 6 family inet address 10.0.0.6/30 user@B# set fe-0/1/1 unit 9 family inet address 10.0.0.9/30 user@B# set fe-0/1/0 unit 13 family inet address 10.0.0.13/30
Configurez OSPF.
[edit protocols ospf area 0.0.0.0] user@B# set interface fe-0/1/1.9 user@B# set interface fe-0/1/0.13
Configurez le RPF unicast et appliquez le filtre d’échec facultatif.
[edit interfaces] user@B# set fe-1/2/0 unit 2 family inet rpf-check fail-filter rpf-special-case-dhcp user@B# set fe-1/1/1 unit 6 family inet rpf-check fail-filter rpf-special-case-dhcp user@B# set fe-0/1/1 unit 9 family inet rpf-check fail-filter rpf-special-case-dhcp user@B# set fe-0/1/0 unit 13 family inet rpf-check fail-filter rpf-special-case-dhcp
(Facultatif) Configurez le filtre d’échec qui est évalué si un paquet échoue à la vérification RPF.
[edit firewall filter rpf-special-case-dhcp] user@B# set term allow-dhcp from source-address 0.0.0.0/32 user@B# set term allow-dhcp from destination-address 255.255.255.255/32 user@B# set term allow-dhcp then count rpf-dhcp-traffic user@B# set term allow-dhcp then accept user@B# set term default then log user@B# set term default then reject
(Facultatif) Configurez uniquement les chemins actifs à prendre en compte dans la vérification RPF.
Il s’agit du comportement par défaut.
[edit routing-options forwarding-table] user@B# set unicast-reverse-path active-paths
Si vous avez terminé de configurer l’équipement B, validez la configuration.
[edit] user@B# commit
Résultats
Confirmez votre configuration en exécutant les show firewallcommandes , show interfaces, show protocols, show routing-optionset show policy-options . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
Appareil A
user@A# show interfaces
fe-1/2/0 {
unit 1 {
family inet {
address 10.0.0.1/30;
}
}
}
fe-0/0/2 {
unit 5 {
family inet {
address 10.0.0.5/30;
}
}
}
fe-0/0/1 {
unit 17 {
family inet {
address 10.0.0.17/30;
}
}
}
fe-0/1/1 {
unit 25 {
family inet {
address 10.0.0.25/30;
}
}
}
fe-1/1/1 {
unit 29 {
family inet {
address 10.0.0.29/30;
}
}
}
user@A# show protocols
ospf {
export send-direct;
area 0.0.0.0 {
interface fe-0/1/1.25;
interface fe-1/1/1.29;
}
}
user@A# show policy-options
policy-statement send-direct {
from {
protocol direct;
route-filter 10.0.0.16/30 exact;
}
then accept;
}
Dispositif B
user@B# show firewall
filter rpf-special-case-dhcp {
term allow-dhcp {
from {
source-address {
0.0.0.0/32;
}
destination-address {
255.255.255.255/32;
}
}
then {
count rpf-dhcp-traffic;
accept;
}
}
term default {
then {
log;
reject;
}
}
}
user@B# show interfaces
fe-1/2/0 {
unit 2 {
family inet {
rpf-check fail-filter rpf-special-case-dhcp;
address 10.0.0.2/30;
}
}
}
fe-1/1/1 {
unit 6 {
family inet {
rpf-check fail-filter rpf-special-case-dhcp;
address 10.0.0.6/30;
}
}
}
fe-0/1/1 {
unit 9 {
family inet {
rpf-check fail-filter rpf-special-case-dhcp;
address 10.0.0.9/30;
}
}
}
fe-0/1/0 {
unit 13 {
family inet {
rpf-check fail-filter rpf-special-case-dhcp;
address 10.0.0.13/30;
}
}
}
user@B# show protocols
ospf {
area 0.0.0.0 {
interface fe-0/1/1.9;
interface fe-0/1/0.13;
}
}
user@B# show routing-options
forwarding-table {
unicast-reverse-path active-paths;
}
Entrez les configurations sur les appareils C, D et E, comme indiqué dans la section Configuration rapide de l’interface de ligne de commande.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérifiez que le RPF unicast est activé
- Vérifiez que les adresses sources sont bloquées
- Vérifiez que les adresses sources sont débloquées
Vérifiez que le RPF unicast est activé
But
Assurez-vous que le RPF unicast est activé sur les interfaces de l’appareil B.
Action
user@B> show interfaces fe-0/1/0.13 extensive
Logical interface fe-0/1/0.13 (Index 73) (SNMP ifIndex 553) (Generation 208)
Flags: SNMP-Traps 0x4000 Encapsulation: ENET2
Traffic statistics:
Input bytes : 999390
Output bytes : 1230122
Input packets: 12563
Output packets: 12613
Local statistics:
Input bytes : 998994
Output bytes : 1230122
Input packets: 12563
Output packets: 12613
Transit statistics:
Input bytes : 396 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Protocol inet, MTU: 1500, Generation: 289, Route table: 22
Flags: Sendbcast-pkt-to-re, uRPF
RPF Failures: Packets: 0, Bytes: 0
Addresses, Flags: Is-Preferred Is-Primary
Destination: 10.0.0.12/30, Local: 10.0.0.13, Broadcast: 10.0.0.15, Generation: 241
Signification
L’indicateur uRPF confirme que le RPF unicast est activé sur cette interface.
Vérifiez que les adresses sources sont bloquées
But
Utilisez la ping commande pour vous assurer que l’équipement B bloque le trafic provenant d’adresses sources inattendues.
Action
À partir de l’équipement A, envoyez une requête ping aux interfaces de l’appareil B en utilisant 10.0.0.17 comme adresse source.
user@A> ping 10.0.0.6 source 10.0.0.17 PING 10.0.0.6 (10.0.0.6): 56 data bytes ^C --- 10.0.0.6 ping statistics --- 3 packets transmitted, 0 packets received, 100% packet loss
Signification
Comme prévu, l’opération ping échoue.
Vérifiez que les adresses sources sont débloquées
But
Utilisez la ping commande pour vous assurer que l’appareil B ne bloque pas le trafic lorsque la vérification RPF est désactivée.
Action
Désactivez la vérification RPF sur l’une des interfaces.
Réexécutez l’opération ping.
user@B> deactivate interfaces fe-1/1/1.6 family inet rpf-check user@A> ping 10.0.0.6 source 10.0.0.17 PING 10.0.0.2 (10.0.0.2): 56 data bytes 64 bytes from 10.0.0.2: icmp_seq=0 ttl=63 time=1.316 ms 64 bytes from 10.0.0.2: icmp_seq=1 ttl=63 time=1.263 ms ^C --- 10.0.0.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.263/1.289/1.316/0.027 ms
Signification
Comme prévu, l’opération ping réussit.