Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:パケットを破棄インターフェイスに転送する

この例では、ルーティングを破棄してサービス拒否(DoS)攻撃を緩和し、重要なネットワークリソースを外部攻撃から保護し、顧客に保護サービスを提供して、各顧客が独自の保護を開始し、DoSの試みをログに記録して追跡する方法を示しています。

要件

この例を設定する前に、デバイス初期化以外の特別な設定は必要ありません。

概要

ルーティングを破棄する際、ルーターは、数百万ものリクエストを短期間で同じアドレスに送信することを禁止するルールで構成されます。短時間で受信するリクエストが多すぎると、ルーターはリクエストを転送せずに破棄します。リクエストは、パケットを転送しないルーターに送信されます。問題のあるルートは、破棄ルートまたはブラックホール ルートと呼ばれることもあります。廃棄すべきルートのタイプは、ピアやその他の顧客からの顧客への攻撃、顧客からピアやその他の顧客への攻撃、攻撃指示を提供するホストである攻撃コントローラ、およびボゴンまたは無効な IP アドレスとして知られる未割り当てのアドレス スペースとして識別されます。

攻撃試行が特定された後、通信事業者は攻撃を緩和するための設定を行うことができます。Junos OSでルーティングの破棄を設定する方法の1つは、ルートを破棄するために使用されるネクストホップごとに破棄スタティックルートを作成することです。破棄静的ルートは、 オプションを discard 使用します。

次がその例です。

この例の主な焦点であるもう 1 つの戦略は、ルーティング ポリシーと破棄インターフェイスを使用することです。このアプローチでは、破棄インターフェイスには、null ルート ルートに割り当てるネクスト ホップが含まれています。破棄インターフェイスは1つの論理ユニット(ユニット0)しか持つことができませんが、ユニット0に複数のIPアドレスを設定できます。

次がその例です。

破棄静的ルートを使用する代わりに破棄インターフェイスを使用する利点は、破棄インターフェイスを使用することで、トラフィックのカウント、ロギング、サンプリングのために、インターフェイスにフィルターを設定および割り当てることです。これは、この例で示されています。

実際にパケットを破棄するには、BGPセッションにアタッチされたルーティングポリシーが必要です。廃棄対象ルートを検索するには、ルートフィルター、アクセスリスト、またはBGPコミュニティ値を使用できます。

例えば、ルートフィルターを使用する方法を次に示します。

ルート フィルター

図 1 は、サンプル ネットワークを示しています。

図 1: インターフェイスサンプルネットワークを破棄インターフェイスサンプルネットワークを破棄

この例には、外部 BGP(EBGP)セッションが確立された 3 つのルーターが含まれています。

デバイス R1 は攻撃対象デバイスを表します。デバイスR3は、攻撃を受けているデバイスに最も近いルーターを表します。デバイスR2は、パケットを廃棄インターフェイスに転送することで、攻撃を緩和します。

この例では、破棄インターフェイスに適用されるアウトバウンドフィルターを示しています。

注:

単一の NULL ルート フィルターを使用する際の問題は、可視性です。すべての破棄パケットは、同じカウンターをインクリメントします。破棄されるパケットのカテゴリーを確認するには、宛先クラス使用率(DCU)を使用し、ユーザー定義クラスを各 null ルート コミュニティに関連付けます。次に、ファイアウォールフィルターのDCUクラスを参照します。関連する例については、 および を例:宛先クラスに基づくレート制限フィルターの設定参照してください例:送信元プレフィックスと宛先プレフィックスを転送クラスにグループ化

ルート フィルターやアクセス リストの使用と比較して、コミュニティ値の使用は管理上最も難しく、最も拡張性の高いアプローチです。したがって、これはこの例で示すアプローチです。

デフォルトでは、ネクストホップは外部BGP(EBGP)ピアアドレスと等しい必要があります。NULL ルート サービスのネクスト ホップを変更するには、EBGP セッションにマルチホップ機能を設定する必要があります。

CLI クイックコンフィギュレーション は、 内のすべてのデバイス 図 1の設定を示しています。

セクション #configuration756__policy-discard-st では、デバイス R2 の手順について説明します。

設定

手順

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの CLI [edit] にコピー アンド ペーストします。

デバイス R1

デバイスR2

デバイスR3

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイドを参照してください設定モードでのCLIエディターの使用

デバイスR2を設定するには:

  1. ルーター インターフェイスを作成します。

  2. すべてのパケットとカウントに一致するファイアウォールフィルターを設定し、パケットをログに記録します。

  3. 破棄インターフェイスを作成し、出力ファイアウォールフィルターを適用します。

    入力ファイアウォール フィルターは、このコンテキストでは影響しません。

  4. 破棄インターフェイスで指定された宛先アドレスにネクストホップを送信する静的ルートを設定します。

  5. BGPピアリングを設定します。

  6. ルーティングポリシーを設定します。

  7. ルーティング ポリシーを適用します。

  8. 自律システム(AS)番号を設定します。

結果

設定モードから、 、 、 show protocols show policy-optionsshow routing-options、および のコマンドをshow interfaces発行して、設定をshow firewall確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定が正しく機能していることを確認します。

ファイアウォール カウンターのクリア

目的

既知のゼロ(0)状態から開始していることを確認するには、カウンターをクリアします。

対処

  1. デバイスR2から、 コマンドを clear firewall 実行します。

  2. デバイスR2から、 コマンドを show firewall 実行します。

192.0.2.101アドレスの pinging

目的

宛先アドレスにパケットを送信します。

対処

デバイスR1から、 コマンドを ping 実行します。

意味

予想通り、ping リクエストは失敗し、応答は送信されません。パケットは破棄されています。

出力フィルターの確認

目的

デバイスR2のファイアウォールフィルターが正しく機能していることを確認します。

対処

デバイスR2から コマンドを show firewall filter log-discard 入力します。

意味

予想通り、カウンターは増加しています。

注:

pingパケットには、20バイトのIPオーバーヘッドと8バイトのICMPヘッダーが含まれています。

コミュニティ属性の確認

目的

ルートがコミュニティ属性でタグ付けされていることを確認します。

対処

デバイスR1から、デバイスR2、192.0.2.101のネイバーアドレスを使用して、 コマンドを入力 show route extensive します。

意味

予想通り、デバイスR2が192.0.2.101ルートをデバイスR1にアドバタイズすると、デバイスR2は100:5555コミュニティタグを追加します。

関連項目