例:ユニキャスト RPF の設定(スイッチ上)
この例では、受信トラフィックをフィルタリングするようにユニキャストRPFを設定することで、サービス拒否(DoS)攻撃や分散型サービス拒否(DDoS)攻撃からイングレスインターフェイスを防御する方法を示しています。
要件
この例では、2つのEX8200スイッチを使用しています。EX3200およびEX4200スイッチでは、ユニキャストRPFに個別のインターフェイスを設定することはできません。スイッチは、ユニキャストRPFをスイッチ上のすべてのインターフェイスにグローバルに適用します。
EX シリーズ スイッチの Junos OS リリース 10.1 以降
EX8200 スイッチ 2 台
開始する前に、以下を確認してください。
対称的にルーティングされたインターフェイスで 2 台のスイッチを接続しました。
ユニキャスト RPF を設定するインターフェイスが対称的にルーティングされていることを確認します。
EX8200、EX6200、QFXシリーズスイッチ、またはOCXシリーズスイッチでは、ユニキャストRPFを有効にする前に、選択したスイッチインターフェイスが対称的にルーティングされていることを確認します。対称的にルーティングされたインターフェイスは、送信元と宛先の間の両方向で同じルートを使用するインターフェイスです。非対称にルーティングされたインターフェイスでユニキャスト RPF を有効にしないでください。非対称にルーティングされたインターフェイスは、異なるパスを使用して、送信元と宛先の間でパケットを送受信します。
EX3200、EX4200、または EX4300 スイッチでは、インターフェイスでユニキャスト RPF を有効にする前 にすべてのスイッチ インターフェイス が対称的にルーティングされていることを確認します。任意のインターフェイスでユニキャスト RPF を有効にすると、すべてのスイッチ インターフェイスでグローバルに有効になります。非対称にルーティングされたインターフェイスでユニキャスト RPF を有効にしないでください。非対称にルーティングされたインターフェイスは、異なるパスを使用して、送信元と宛先の間でパケットを送受信します。
概要とトポロジー
この例では、企業ネットワークのシステム管理者が、インターネットからの DoS 攻撃や DDoS 攻撃からスイッチ A を保護したいと考えています。管理者は、スイッチ A のインターフェイス xe-0/0/4にユニキャスト RPF を設定します。スイッチ B ソースからスイッチ A のインターフェイス xe-0/0/4 に到着するパケットも、受信インターフェイス xe-0/0/4 を送信元にパケットを送り返す最適なリターン パスとして使用します。
この設定例のトポロジーでは、スイッチAとスイッチBの2つのEX8200スイッチを使用し、対称的にルーティングされたインターフェイスで接続しています。
スイッチ A はエンタープライズ ネットワークのエッジです。スイッチ A のインターフェイス xe-0/0/4は、スイッチ B のインターフェイス xe-0/0/5 に接続します。
スイッチ B は、エンタープライズ ネットワークとインターネットを接続するサービス プロバイダ ネットワークのエッジにあります。
トポロジ
構成
ユニキャスト RPF を有効にするには、以下のタスクを実行します。
手順
CLI クイックコンフィギュレーション
スイッチ A でユニキャスト RPF を迅速に設定するには、以下のコマンドをコピーして、スイッチの端末ウィンドウに貼り付けます。
[edit interfaces] set xe-0/0/4 unit 0 family inet rpf-check
手順
スイッチ A でユニキャスト RPF を設定するには:
-
インターフェイス xe-0/0/4 でユニキャスト RPF を有効にします。
[edit interfaces] user@switch# set xe-0/0/4 unit 0 family inet rpf-check
結果
結果を確認します。
[edit interfaces]
user@switch# show
xe-0/0/4 {
unit 0 {
family inet {
rpf-check;
}
}
}
ユニキャスト RPF の無効化
手順
手順
検証
RPF(ユニキャスト リバースパスフォワーディング)は、信頼できないインターフェイスに対するサービス拒否(DoS)攻撃や分散サービス拒否(DDoS)攻撃から LAN を保護するのに役立ちます。ユニキャスト RPF は、送信元への最適なリターン パスとして受信インターフェイスを使用しない送信元アドレスを持つトラフィックをフィルタリングします。ユニキャスト RPF が有効になっているインターフェイスが信頼できるインターフェイスになったり、非対称にルーティングされたりするようにネットワーク設定が変更された場合(パケットを受信するインターフェイスはパケットの送信元への最適なリターン パスではありません)、ユニキャスト RPF を無効にします。
EX3200、EX4200、またはEX4300スイッチでユニキャストRPFを無効にするには、明示的に設定したすべてのインターフェイスから削除する必要があります。明示的に有効にした各インターフェイスでユニキャスト RPF を無効にしない場合、すべてのインターフェイスで暗黙的に有効なままになります。明示的に有効になっていないインターフェイスからユニキャスト RPF を削除しようとすると、メッセージが warning: statement not found 表示されます。明示的に有効化した各インターフェイスでユニキャスト RPF を無効にしない場合、ユニキャスト RPF は EX3200、EX4200、または EX4300 スイッチのすべてのインターフェイスで暗黙的に有効なままになります。
EX8200、EX6200、QFX シリーズ スイッチ、OCX シリーズ スイッチでは、ユニキャスト RPF のインターフェイスを明示的に有効にしない限り、スイッチはユニキャスト RPF をインターフェイスに適用しません。
ユニキャスト RPF を無効にするには、インターフェイスからその設定を削除します。
[インターフェイスの編集]user@switch# delete xe-0/0/4 unit 0 family inet rpf-check
スイッチでユニキャスト RPF が有効になっていることを確認する
目的
ユニキャスト RPF が有効で、インターフェイスで動作していることを確認します。
アクション
拡張オプションまたは詳細オプションのいずれかを含むコマンドのいずれかをshow interfaces interface-name使用して、ユニキャスト RPF が有効で、スイッチ上で動作していることを確認します。以下の例では、 コマンドからの出力をshow interfaces ge- extensive表示しています。
user@switch> show interfaces xe-0/0/4.0 extensive
Physical interface: xe-0/0/4, Enabled, Physical link is Up
Interface index: 147, SNMP ifIndex: 659
Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Speed: 10Gbps, BPDU Error: None, Loop Detect PDU Error: None, Ethernet-Switching Error: None,
MAC-REWRITE Error: None, Loopback: None, Source filtering: Disabled, Flow control: Enabled, Speed Configuration: Auto
Device flags : Present Running
Interface flags: SNMP-Traps Internal: 0x4000
Link flags : None
CoS queues : 8 supported, 8 maximum usable queues
Current address: 84:c1:c1:7b:a8:04, Hardware address: 84:c1:c1:7b:a8:04
Last flapped : 2023-04-04 10:34:13 PDT (00:01:29 ago)
Input rate : 0 bps (0 pps)
Output rate : 0 bps (0 pps)
Active alarms : None
Active defects : None
PCS statistics Seconds
Bit errors 2
Errored blocks 2
Link Degrade :
Link Monitoring : Disable
Interface transmit statistics: Disabled
Logical interface xe-0/0/4.0 (Index 335) (SNMP ifIndex 696)
Flags: Up SNMP-Traps 0x4004000 Encapsulation: ENET2
Input packets : 0
Output packets: 1
Protocol inet, MTU: 1500
Max nh cache: 100000, New hold nh limit: 100000, Curr nh cnt: 0, Curr new hold cnt: 0, NH drop cnt: 0
Flags: Sendbcast-pkt-to-re, uRPF
Addresses, Flags: Is-Preferred Is-Primary
Destination: 10.0.1/24, Local: 10.0.1.1, Broadcast: 10.0.1.255
Protocol multiservice, MTU: Unlimited
Flags: Is-Primary
意味
コマンド(および show interfaces xe-0/0/4 detail コマンド)はshow interfaces xe-0/0/4 extensive、インターフェイスに関する詳細な情報を表示します。ディスプレイの最下部近くのフラグ: 出力フィールドは、ユニキャスト RPF ステータスを報告します。ユニキャスト RPF が有効になっていない場合、uRPF フラグは表示されません。
EX3200 および EX4200 スイッチでは、単一のインターフェイスでユニキャスト RPF を有効にすると、集約型イーサネット インターフェイス(リンク アグリゲーション グループまたは LAG とも呼ばれる)や RVI(Routed VLAN Interface)など、 すべての スイッチ インターフェイスでユニキャスト RPF が暗黙的に有効になります。ただし、ユニキャスト RPF ステータスは、ユニキャスト RPF を明示的に設定したインターフェイスでのみ有効と表示されます。そのため、EX3200 および EX4200 スイッチ上のすべてのインターフェイスでユニキャスト RPF が暗黙的に有効になっているにもかかわらず、ユニキャスト RPF を明示的に設定していないインターフェイスでは、 uRPF フラグは表示されません。
ユニキャスト RPF のトラブルシューティング
正規パケットの破棄
問題
スイッチは正規のソースから有効なパケットをフィルタリングするため、スイッチは転送すべきパケットを破棄します。
ソリューション
正規のパケットを破棄するインターフェイスまたはインターフェイスは、非対称にルーティングされたインターフェイスです。非対称にルーティングされたインターフェイスは、送信元と宛先の間でパケットを送受信するために異なるパスを使用するため、パケットを受信するインターフェイスは、スイッチがパケットの送信元に返信するために使用するインターフェイスと同じではありません。
ユニキャスト RPF は、対称的にルーティングされたインターフェイスでのみ正しく動作します。対称的にルーティングされたインターフェイスは、送信元と宛先の間の両方向で同じルートを使用するインターフェイスです。ユニキャスト RPF は、受信パケットの送信元への最適なリターン パスを転送テーブルでチェックすることで、パケットをフィルタリングします。最適なリターン パスが、パケットを受信したインターフェイスと同じインターフェイスを使用する場合、スイッチはパケットを転送します。最良のリターンパスが、パケットを受信したインターフェイスとは異なるインターフェイスを使用する場合、スイッチはパケットを破棄します。
EX3200、EX4200、EX4300 スイッチでは、ユニキャスト RPF は、集約型イーサネット インターフェイス(リンク アグリゲーション グループまたは LAG とも呼ばれます)、IRB(統合型ルーティングおよびブリッジング)インターフェイス、RVI(ルーテッド VLAN インターフェイス)を含むすべてのスイッチ インターフェイスが、すべてのスイッチ インターフェイスでユニキャスト RPF がグローバルに有効になっている場合にのみ、対称的にルーティングされます。