Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:破棄インターフェイスへのパケットの転送

この例では、破棄ルーティングを使用してサービス拒否(DoS)攻撃を緩和し、重要なネットワークリソースを外部攻撃から保護し、顧客に保護サービスを提供して、各顧客が独自の保護を開始し、DoSの試みをログに記録して追跡する方法を示しています。

要件

この例を設定する前に、デバイス初期化以外の特別な設定は必要ありません。

概要

破棄ルーティングでは、ルーターは、同じアドレスに送信される短い時間で数百万のリクエストを拒否するルールを設定します。短時間で受信するリクエストが多すぎる場合、ルーターはリクエストを転送せずに破棄します。リクエストは、パケットを転送しないルーターに送信されます。問題のあるルートは、廃棄ルートまたはブラックホールルートと呼ばれることもあります。破棄すべきルートのタイプは、ピアやその他の顧客からの顧客への攻撃、顧客からピアやその他の顧客への攻撃、攻撃命令を提供するホストである攻撃コントローラ、および未割り当てのアドレススペース(ボゴンまたは無効な IP アドレスとして知られる)として識別されます。

攻撃の試みが特定されると、オペレーターは攻撃を緩和するための設定を行うことができます。Junos OS で破棄ルーティングを設定する方法の 1 つは、破棄ルートに使用されるネクスト ホップごとに破棄スタティック ルートを作成することです。破棄スタティック ルートでは、このオプションを discard 使用します。

例えば、

この例の主な焦点であるもう 1 つの戦略は、ルーティング ポリシーと破棄インターフェイスを使用することです。このアプローチでは、破棄インターフェイスには、null ルート ルートに割り当てるネクスト ホップが含まれています。破棄インターフェイスは、1 つの論理ユニット(ユニット 0)のみを持つことができますが、ユニット 0 で複数の IP アドレスを設定できます。

例えば、

破棄スタティック ルートを使用する代わりに破棄インターフェイスを使用する利点は、破棄インターフェイスを使用して、トラフィックのカウント、ロギング、サンプリングのためにフィルタを設定してインターフェイスに割り当てることです。これは、この例で示されています。

パケットを実際に破棄するには、BGP セッションにアタッチされたルーティング ポリシーが必要です。廃棄対象ルートを検索するには、ルート フィルタ、アクセス リスト、または BGP コミュニティ値を使用します。

たとえば、ルート フィルタの使用方法を次に示します。

ルート フィルター

図 1 は、サンプル ネットワークを示しています。

図 1: 破棄インターフェイスのサンプル ネットワーク破棄インターフェイスのサンプル ネットワーク

この例には、外部BGP(EBGP)セッションが確立された3つのルーターが含まれています。

デバイスR1は攻撃デバイスを表します。デバイス R3 は、攻撃対象のデバイスに最も近いルーターを表します。デバイスR2は、パケットを破棄インターフェイスに転送することで、攻撃を緩和します。

この例では、破棄インターフェイスに適用されたアウトバウンド フィルタを示しています。

注:

単一の null ルート フィルターを使用する際の問題は、可視性です。すべての破棄パケットは同じカウンターを増加させます。破棄されているパケットのカテゴリを確認するには、宛先クラス使用量(DCU)を使用し、ユーザー定義クラスを各 null ルート コミュニティに関連付けます。次に、ファイアウォール フィルターの DCU クラスを参照します。関連する例については、 および 例:宛先クラスに基づくレート制限フィルタの設定を参照してください例:転送クラスへの送信元および宛先プレフィックスのグループ化

ルート フィルタやアクセス リストを使用する場合と比較して、コミュニティ値を使用することは、管理上最も難しく、最も拡張性の高いアプローチです。したがって、これはこの例に示すアプローチです。

デフォルトでは、ネクスト ホップは外部 BGP(EBGP)ピア アドレスと等しい必要があります。null ルート サービスのネクスト ホップを変更するには、EBGP セッションでマルチホップ機能を設定する必要があります。

CLI クイック設定 でのすべてのデバイス 図 1の設定を示しています。

このセクション #configuration756__policy-discard-st では、デバイス R2 の手順について説明します。

設定

手順

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更してから、コマンドを階層レベルで [edit] CLI にコピーアンドペーストします。

デバイスR1

デバイスR2

デバイスR3

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLI ユーザー ガイド』を参照してください設定モードでのCLIエディターの使用

デバイス R2 を設定するには、次の手順に従います。

  1. ルーター インターフェイスを作成します。

  2. すべてのパケットと一致するファイアウォール フィルタを設定し、パケットをカウントしてログに記録します。

  3. 破棄インターフェイスを作成し、出力ファイアウォール フィルタを適用します。

    入力ファイアウォール フィルターは、このコンテキストでは影響を与えありません。

  4. 破棄インターフェイスで指定された宛先アドレスにネクスト ホップを送信する静的ルートを設定します。

  5. BGP ピアリングを設定します。

  6. ルーティング ポリシーを設定します。

  7. ルーティング ポリシーを適用します。

  8. 自律システム(AS)番号を設定します。

結果

設定モードから、 、 、 、 show routing-optionsshow protocols show policy-options、 および コマンドをshow interfaces発行して設定をshow firewall確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

検証

設定が正しく機能していることを確認します。

ファイアウォール カウンターのクリア

目的

カウンタをクリアして、既知のゼロ(0)状態から開始していることを確認します。

対処

  1. デバイス R2 からコマンドを clear firewall 実行します。

  2. デバイス R2 からコマンドを show firewall 実行します。

192.0.2.101 アドレスへの ping

目的

宛先アドレスにパケットを送信します。

対処

デバイス R1 からコマンドを ping 実行します。

意味

予想通り、ping 要求は失敗し、応答は送信されません。パケットは破棄されています。

出力フィルターの確認

目的

デバイス R2 のファイアウォール フィルターが正しく機能していることを確認します。

対処

デバイス R2 からコマンドを show firewall filter log-discard 入力します。

意味

予想通り、カウンターは増加しています。

注:

ping パケットは、追加の 20 バイトの IP オーバーヘッドと 8 バイトの ICMP ヘッダーを伝送します。

コミュニティ属性の確認

目的

ルートにコミュニティ属性がタグ付けされていることを確認します。

対処

デバイス R1 から、デバイス R2、192.0.2.101 のネイバー アドレスを使用して、コマンドを入力 show route extensive します。

意味

デバイスR2がデバイスR1に192.0.2.101ルートをアドバタイズすると、デバイスR2は100:5555コミュニティタグを追加します。