이 페이지 내용
가상 인터페이스에서 역방향 경로 전달 구성
개요
유니캐스트 RPF(Reverse Path Forwarding)는 RPF 검사를 수행하여 패킷이 유효한 소스 주소에서 전송되었는지 확인합니다. RPF 검사는 수신 패킷의 소스 IP 주소가 유효한 경로에서 도착하는지 여부를 확인하기 위해 IP 라우팅 테이블 을(를) 사용하는 검증 도구입니다. RPF는 IP 주소를 스푸핑할 수 있는 IP 패킷의 포워딩을 줄이는 데 도움이 됩니다.
패킷이 인터페이스에 도착하면 RPF는 패킷의 소스 IP 주소에서 포워딩 테이블 조회를 수행하고 수신 인터페이스를 확인합니다. 수신 인터페이스는 패킷이 도착한 인터페이스와 일치해야 합니다. 인터페이스가 일치하지 않으면 vRouter는 패킷을 삭제합니다. 패킷이 유효한 경로에서 온 경우 vRouter는 패킷을 대상 주소로 전달합니다.
가상 네트워크별로 소스 RPF를 활성화 또는 비활성화할 수 있습니다. 기본적으로 RPF는 비활성화됩니다.
-
RPF 활성화
패킷이 인터페이스에 도달할 때마다 RPF는 패킷의 소스 IP 주소를 확인합니다. vRouter에서 경로를 학습하지 않으면 모든 패킷이 삭제됩니다. 워크로드에 할당된 MAC/IP 주소에서 수신된 패킷만 인터페이스에서 허용됩니다.
-
RPF 비활성화
모든 소스의 패킷이 인터페이스에서 허용됩니다. 수신 패킷 소스 IP 주소에서 포워딩 테이블 조회가 수행되지 않습니다.
가상 인터페이스에서 RPF 활성화
다음은 가상 인터페이스에서 RPF를 구성하는 데 사용하는 네임스페이스 YAML 파일의 예입니다. RPF를 rpf 활성화하려면 아래의 virtualNetworkProperties 변수를 으로 enable설정합니다.
apiVersion: v1
kind: Namespace
metadata:
name: rpf-ns
---
apiVersion: core.contrail.juniper.net/v1alpha1
kind: Subnet
metadata:
namespace: rpf-ns
name: rpf-subnet-1
annotations:
core.juniper.net/display-name: Sample Subnet
core.juniper.net/description:
Subnet represents a block of IP addresses and its configuration.
IPAM allocates and releases IP address from that block on demand.
It can be used by different VirtualNetwork in the mean time.
spec:
cidr: "172.20.10.0/24"
---
apiVersion: core.contrail.juniper.net/v1alpha1
kind: VirtualNetwork
metadata:
namespace: rpf-ns
name: rpf-vn-1
annotations:
core.juniper.net/display-name: Sample Virtual Network
core.juniper.net/description:
VirtualNetwork is a collection of end points (interface or ip(s) or MAC(s))
that can communicate with each other by default. It is a collection of
subnets whose default gateways are connected by an implicit router
spec:
v4SubnetReference:
apiVersion: core.contrail.juniper.net/v1alpha1
kind: Subnet
namespace: rpf-ns
name: rpf-subnet-1
fabricSNAT: true
virtualNetworkProperties:
rpf: enable