このページの目次
例:ユニキャスト RPF(スイッチ上)の設定
この例では、受信トラフィックをフィルタリングするようにユニキャストRPF(uRPF)を設定することで、イングレスインターフェイスをサービス拒否(DoS)および分散型サービス拒否(DDoS)攻撃から防御する方法を示します。
必要条件
この例では、2 つの EX スイッチ(このトピックではスイッチ A およびスイッチ B)を使用します。特定の EX スイッチ モデルでは、個々のインターフェイスで uRPF を設定できます。一方、特定のEXスイッチモデルでは、個々のインターフェイスにuRPFを設定することはできません。スイッチは、スイッチ上のすべてのインターフェイスにuRPFをグローバルに適用します。
-
EXスイッチ向けJunos OSリリース(Junos OSリリース10.1以前)
-
個々のインターフェイスでuRPF設定をサポートする2台のEXスイッチ。
開始する前に、以下を満たしていることを確認してください。
-
対称的にルーティングされたインターフェイスで2台のスイッチを接続していること。
-
ユニキャストRPFを設定するインターフェイスが対称的にルーティングされていることを確認。対称ルーテッド インターフェイスとは、送信元と宛先の間で両方向に同じルートを使用するインターフェイスのことです。非対称にルーティングされたインターフェイスでは、ユニキャスト RPF を有効にしないでください。非対称ルーテッド インターフェイスは、送信元と宛先の間でパケットを送受信するために、異なるパスを使用します。
-
この例では、すべてのインターフェイスにuRPFをグローバルに適用するEXスイッチを使用している場合、インターフェイスでユニキャストRPFを有効にする前に、すべてのスイッチインターフェイスが対称的にルーティングされていることを確認します。ユニキャスト RPF を任意のインターフェイスでイネーブルにすると、すべてのスイッチ インターフェイスでグローバルに有効になります。非対称にルーティングされたインターフェイスでは、ユニキャスト RPF を有効にしないでください。非対称ルーテッド インターフェイスは、送信元と宛先の間でパケットを送受信するために、異なるパスを使用します。
概要とトポロジー
この例では、エンタープライズ ネットワークのシステム管理者が、インターネットからの潜在的な DoS および DDoS 攻撃からスイッチ A を保護したいと考えています。管理者は、スイッチ A のインターフェイス xe-0/0/4 にユニキャスト RPF を設定します。スイッチ B の送信元からスイッチ A のインターフェイス xe-0/0/4 に到着するパケットも、受信インターフェイス xe-0/0/4 を送信元にパケットを送り返す最適なリターン パスとして使用します。このトポロジーでは、スイッチ A とスイッチ B はどちらも対称的にルーティングされたインターフェイスで接続されています。
-
スイッチ A は、エンタープライズ ネットワークのエッジにあります。スイッチ A のインターフェイス xe-0/0/4 は、スイッチ B のインターフェイス xe-0/0/5 に接続します。
-
スイッチ B は、エンタープライズ ネットワークをインターネットに接続するサービス プロバイダー ネットワークのエッジにあります。
位相幾何学
構成
ユニキャスト RPF を有効にするには、次のタスクを実行します。
プロシージャ
CLIクイック構成
スイッチ A でユニキャスト RPF を迅速に設定するには、次のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit interfaces] set xe-0/0/4 unit 0 family inet rpf-check
手順
スイッチ A でユニキャスト RPF を設定するには、次の手順に従います。
-
インターフェイス xe-0/0/4 でユニキャスト RPF を有効にします。
[edit interfaces] user@switch# set xe-0/0/4 unit 0 family inet rpf-check
業績
結果を確認します。
[edit interfaces]
user@switch# show
xe-0/0/4 {
unit 0 {
family inet {
rpf-check;
}
}
}
ユニキャスト RPF の無効化
プロシージャ
手順
検証
RPF(ユニキャスト リバース パス フォワーディング)は、信頼できないインターフェイスに対するサービス拒否(DoS)攻撃や分散型サービス拒否(DDoS)攻撃から LAN を保護するのに役立ちます。ユニキャストRPFは、受信インターフェイスをソースへの最適なリターンパスとして使用しないソースアドレスを持つトラフィックをフィルタリングします。ユニキャスト RPF を有効にしたインターフェイスが信頼できるインターフェイスになるか、非対称にルーティングされる(パケットを受信するインターフェイスがパケットの送信元への最適なリターン パスではない)ようにネットワーク構成が変更された場合は、ユニキャスト RPF を無効にします。
すべてのインターフェイスにuRPFをグローバルに適用するEXスイッチでuRPFを無効にするには、明示的に設定したすべてのインターフェイスからuRPFを削除する必要があります。ユニキャスト RPF を明示的に有効にしたすべてのインターフェイスで無効にしなければ、すべてのインターフェイスで暗黙的に有効のままになります。ユニキャスト RPF が明示的に有効にされていないインターフェイスから削除しようとすると、 warning: statement not found メッセージが表示されます。ユニキャスト RPF を明示的に有効にしたすべてのインターフェイスでユニキャスト RPF を無効にしなければ、ユニキャスト RPF はすべてのインターフェイスで暗黙的に有効なままになります。
個々のインターフェイスでuRPFを設定できるEXスイッチモデルでは、ユニキャストRPFに対してそのインターフェイスを明示的に有効にしない限り、スイッチはインターフェイスにユニキャストRPFを適用しません。
ユニキャスト RPF を無効にするには、インターフェイスからその設定を削除します。
[インターフェイスの編集]user@switch# delete xe-0/0/4 unit 0 family inet rpf-check
ユニキャスト RPF がスイッチで有効になっていることを確認する
目的
ユニキャスト RPF が有効で、インターフェイスで動作していることを確認します。
アクション
拡張オプションまたは詳細オプションのいずれかを指定してshow interfaces interface-nameコマンドのいずれかを使用して、ユニキャスト RPF が有効であり、スイッチで動作していることを確認します。以下の例は、show interfaces ge- extensive コマンドの出力を示しています。
user@switch> show interfaces xe-0/0/4.0 extensive
Physical interface: xe-0/0/4, Enabled, Physical link is Up
Interface index: 147, SNMP ifIndex: 659
Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Speed: 10Gbps, BPDU Error: None, Loop Detect PDU Error: None, Ethernet-Switching Error: None,
MAC-REWRITE Error: None, Loopback: None, Source filtering: Disabled, Flow control: Enabled, Speed Configuration: Auto
Device flags : Present Running
Interface flags: SNMP-Traps Internal: 0x4000
Link flags : None
CoS queues : 8 supported, 8 maximum usable queues
Current address: 84:c1:c1:7b:a8:04, Hardware address: 84:c1:c1:7b:a8:04
Last flapped : 2023-04-04 10:34:13 PDT (00:01:29 ago)
Input rate : 0 bps (0 pps)
Output rate : 0 bps (0 pps)
Active alarms : None
Active defects : None
PCS statistics Seconds
Bit errors 2
Errored blocks 2
Link Degrade :
Link Monitoring : Disable
Interface transmit statistics: Disabled
Logical interface xe-0/0/4.0 (Index 335) (SNMP ifIndex 696)
Flags: Up SNMP-Traps 0x4004000 Encapsulation: ENET2
Input packets : 0
Output packets: 1
Protocol inet, MTU: 1500
Max nh cache: 100000, New hold nh limit: 100000, Curr nh cnt: 0, Curr new hold cnt: 0, NH drop cnt: 0
Flags: Sendbcast-pkt-to-re, uRPF
Addresses, Flags: Is-Preferred Is-Primary
Destination: 10.0.1/24, Local: 10.0.1.1, Broadcast: 10.0.1.255
Protocol multiservice, MTU: Unlimited
Flags: Is-Primary
意味
show interfaces xe-0/0/4 extensiveコマンド(およびshow interfaces xe-0/0/4 detailコマンド)は、インターフェイスに関する詳細情報を表示します。ディスプレイの下部近くにある Flags: 出力フィールドには、ユニキャスト RPF のステータスが表示されます。ユニキャスト RPF が有効になっていない場合、uRPF フラグは表示されません。
すべてのインターフェイスにuRPFをグローバルに適用するEXスイッチでは、単一のインターフェイスでuRPFを有効にすると、集合型イーサネットインターフェイス(リンクアグリゲーショングループまたはLAGとも呼ばれる)やルーティングVLANインターフェイス(RVI)を含む すべての スイッチインターフェイスでuRPFが暗黙的に有効になります。ただし、uRPF ステータスが有効と表示されるのは、uRPF を明示的に設定したインターフェイスのみです。そのため、すべてのインターフェイスでuRPFが暗黙的に有効になっていても、uRPFを明示的に設定していないインターフェイスには、 uRPF フラグは表示されません。
ユニキャスト RPF のトラブルシューティング
正当なパケットは破棄されます
問題
スイッチは正当な送信元からの有効なパケットをフィルタリングするため、転送すべきパケットがスイッチによって破棄されます。
解決
正規のパケットが破棄されるインターフェイスは、非対称にルーティングされたインターフェイスです。非対称ルーテッド インターフェイスは、送信元と宛先の間でパケットを送受信するために異なるパスを使用するため、パケットを受信するインターフェイスは、スイッチがパケットの送信元への応答に使用するインターフェイスとは異なります。
ユニキャストRPFは、対称的にルーティングされたインターフェイスでのみ正しく機能します。対称ルーテッド インターフェイスとは、送信元と宛先の間で両方向に同じルートを使用するインターフェイスのことです。ユニキャスト RPF は、着信パケットの送信元への最適なリターン パスを転送テーブルで確認することで、パケットをフィルタ処理します。最適なリターンパスが、パケットを受信したインターフェイスと同じインターフェイスを使用する場合、スイッチはパケットを転送します。最適なリターンパスが、パケットを受信したインターフェイスとは異なるインターフェイスを使用している場合、スイッチはそのパケットを破棄します。
uRPFをすべてのインターフェイスにグローバルに適用するEXスイッチでは、ユニキャストRPFがすべてのスイッチインターフェイスでグローバルに有効になっているため、集合型イーサネットインターフェイス(リンクアグリゲーショングループまたはLAG)、IRB(統合型ルーティングおよびブリッジング)インターフェイス、RVI(ルーテッドVLANインターフェイス)を含むすべてのスイッチインターフェイスが対称的にルーティングされている場合にのみ、uRPFが正しく機能します。