Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:廃棄インターフェイスへのパケットの転送

この例では、破棄ルーティングを使用してサービス拒否 (DoS) 攻撃を軽減し、重要なネットワーク リソースを外部からの攻撃から保護し、各顧客が独自の保護を開始できるように顧客に保護サービスを提供し、DoS 試行をログに記録して追跡する方法を示します。

要件

この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

破棄ルーティングでは、ルーターには、短期間に何百万もの要求が同じアドレスに送信されないようにするルールが構成されます。短期間に受信した要求が多すぎる場合、ルーターは要求を転送せずに単に破棄します。要求は、パケットを転送しないルーターに送信されます。問題のあるルートは、廃棄ルートまたはブラックホールルートと呼ばれることもあります。破棄する必要があるルートのタイプは、ピアまたは他の顧客からの顧客への攻撃、顧客からピアまたは他の顧客への攻撃、攻撃コントローラー (攻撃命令を提供するホスト)、および未割り当てのアドレス空間 (bogon または無効な IP アドレス) として識別されます。

攻撃の試みが特定された後、オペレーターは攻撃を軽減するための構成を配置できます。Junos OSで破棄ルーティングを設定する1つの方法として、ルート破棄に使用するネクストホップごとに破棄静的ルートを作成することがあります。破棄スタティックルートは オプションを使用します 。discard

たとえば、以下のように表示されます。

この例の主な焦点であるもう1つの戦略は、ルーティングポリシーとdiscastインターフェイスを使用することです。この方法では、廃棄インターフェイスには、NULL ルート ルートに割り当てるネクスト ホップが含まれています。廃棄インターフェイスは1つの論理ユニット(ユニット0)のみを持つことができますが、ユニット0には複数のIPアドレスを設定できます。

たとえば、以下のように表示されます。

破棄スタティック ルートを使用する代わりに廃棄インターフェイスを使用する利点は、廃棄インターフェイスを使用すると、トラフィックのカウント、ロギング、サンプリングのためのフィルターを設定およびインターフェイスに割り当てることができることです。この例で、これを示します。

実際にパケットを破棄するには、BGPセッションにルーティングポリシーがアタッチされている必要があります。破棄の対象ルートを見つけるには、ルート フィルター、アクセス リスト、または BGP コミュニティ値を使用できます。

例えば、ルート フィルターの使用例を次に示します。

ルート フィルター

図 1は、サンプルのネットワークを示しています。

図 1: インターフェイスの削除サンプル ネットワークインターフェイスの削除サンプル ネットワーク

この例では、外部 BGP(EBGP)セッションが確立されている 3 台のルーターが含まれています。

デバイスR1は攻撃デバイスを表しています。デバイスR3は、攻撃されているデバイスに最も近いルーターを表します。デバイスR2は、パケットを破棄インターフェイスに転送することで攻撃を軽減します。

この例では、discard インターフェイスに適用されたアウトバウンド フィルターを示します。

注:

単一の NULL ルート フィルターを使用する場合の問題は、可視性です。すべての廃棄パケットは、同じカウンタをインクリメントします。破棄されるパケットのカテゴリーを確認するには、宛先クラス使用率(DCU)を使用し、ユーザー定義クラスを各ヌルルートコミュニティに関連付けます。次に、ファイアウォールフィルターでDCUクラスを参照します。関連する例については、 と を参照してください。例:送信元プレフィックスと宛先プレフィックスの転送クラスへのグループ化例:宛先クラスに基づくレート制限フィルターの設定

ルート フィルターやアクセス リストを使用する場合と比較して、コミュニティ値を使用することは、管理上の難易度が最も低く、最もスケーラブルなアプローチです。したがって、これはこの例で示すアプローチです。

デフォルトでは、ネクストホップは外部BGP(EBGP)ピアアドレスと等しくなければなりません。ヌルルートサービスのネクストホップを変更するには、EBGPセッションでマルチホップ機能を設定する必要があります。

CLIクイック構成は、図 1でのすべてのデバイスの設定を示しています。

セクション#configuration756__policy-discard-stは、デバイスR2の手順を説明します。

設定

手順

CLIクイック構成

この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。

デバイスR1

デバイスR2

デバイスR3

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。手順については、 Junos OS CLIユーザーガイドのを参照してください。設定モードでのCLIエディターの使用https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

デバイスR2 を設定するには:

  1. ルーター インターフェイスを作成します。

  2. すべてのパケットに一致し、パケットをカウントしてログに記録するファイアウォールフィルターを設定します。

  3. 破棄インターフェイスを作成し、出力ファイアウォールフィルターを適用します。

    入力ファイアウォール フィルターは、このコンテキストでは影響を与えません。

  4. 破棄インターフェイスで指定された宛先アドレスにネクストホップを送信するスタティックルートを設定します。

  5. BGP ピアリングを設定します。

  6. ルーティングポリシーを設定します。

  7. ルーティングポリシーを適用します。

  8. 自律システム(AS)番号を設定します。

結果

設定モードから、 、 、 、 、および のコマンドを発行して設定を確認します。show interfacesshow protocols show policy-optionsshow routing-optionsshow firewall 出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

ファイアウォール カウンターのクリア

目的

カウンターをクリアして、既知のゼロ (0) 状態から開始していることを確認します。

アクション

  1. デバイスR2から、 コマンドを実行します 。clear firewall

  2. デバイスR2から、 コマンドを実行します 。show firewall

192.0.2.101アドレスにpingを実行します

目的

宛先アドレスにパケットを送信します。

アクション

デバイスR1から、 コマンドを実行します 。ping

意味

予想どおり、ping 要求は失敗し、応答は送信されません。パケットは破棄されます。

出力フィルタの確認

目的

デバイスR2のファイアウォールフィルターが正しく機能していることを確認します。

アクション

デバイスR2から コマンドを入力します 。show firewall filter log-discard

意味

予想どおり、カウンターはインクリメントされています。

注:

pingパケットは、さらに20バイトのIPオーバーヘッドと8バイトのICMPヘッダーを伝送します。

コミュニティ属性の確認

目的

ルートがコミュニティ属性でタグ付けされていることを確認します。

アクション

デバイスR1から、デバイスR2のネイバーアドレス192.0.2.101を使用して コマンドを入力します 。show route extensive

意味

予想通り、デバイスR2がデバイスR1に192.0.2.101ルートをアドバタイズすると、デバイスR2は100:5555コミュニティタグを追加します。

関連項目