Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

예를 들면 다음과 같습니다. 폐기 인터페이스로 패킷 전달

이 예에서는 폐기 라우팅을 사용하여 DoS(Denial of Service) 공격을 완화하고, 중요한 네트워크 리소스를 외부 공격으로부터 보호하고, 고객에게 보호 서비스를 제공하여 각 고객이 자체적인 보호를 시작하고 DoS 시도를 기록 및 추적하는 방법을 보여줍니다.

요구 사항

이 예제를 구성하기 전에 디바이스 초기화 이외에는 특별한 구성이 필요하지 않습니다.

개요

라우팅을 폐기할 때 라우터는 짧은 시간 내에 동일한 주소로 전송되는 수백만 개의 요청을 거부하는 규칙으로 구성됩니다. 짧은 시간 내에 너무 많은 요청이 수신되면 라우터는 요청을 전달하지 않고 요청을 폐기하기만 하면 됩니다. 요청은 패킷을 전송하지 않는 라우터로 전송됩니다. 문제가 있는 경로는 때때로 경로 폐기 또는 검은색 구멍이 있는 경로라고도 합니다. 폐기해야 하는 경로 유형은 피어 또는 다른 고객의 고객에 대한 공격, 고객에서 피어 또는 다른 고객에 대한 공격, 공격 지침을 제공하는 호스트인 공격 컨트롤러, 그리고 보고(bogon) 또는 잘못된 IP 주소로 알려진 할당되지 않은 주소 공간으로 식별됩니다.

공격 시도가 식별되면 운영자는 공격을 완화하기 위해 구성을 배치할 수 있습니다. Junos OS에서 폐기 라우팅을 구성하는 한 가지 방법은 라우트를 폐기하는 데 사용되는 각 다음 홉에 대해 폐기된 정적 경로를 만드는 것입니다. 삭제된 정적 경로는 이 discard 옵션을 사용합니다.

예를 들어,

이 예제의 주요 초점인 또 다른 전략은 라우팅 정책과 폐기 인터페이스를 사용하는 것입니다. 이 접근 방식에서 폐기 인터페이스에는 null 경로 경로에 할당하는 다음 홉이 포함됩니다. 폐기된 인터페이스는 하나의 논리적 유닛(Unit 0)만 가질 수 있지만, 유닛 0에서 여러 IP 주소를 구성할 수 있습니다.

예를 들어,

정적 경로를 폐기하는 대신 폐기 인터페이스를 사용하는 이점은 버림 인터페이스를 통해 트래픽 계산, 로깅 및 샘플링을 위해 인터페이스에 필터를 구성 및 할당할 수 있다는 것입니다. 이 예에서는 이를 확인할 수 있습니다.

패킷을 실제로 폐기하려면 BGP 세션에 연결된 라우팅 정책이 필요합니다. 폐기 대상 경로를 찾으려면 경로 필터, 액세스 목록 또는 BGP 커뮤니티 값을 사용할 수 있습니다.

예를 들어, 루트 필터를 사용하는 방법은 다음과 같습니다.

경로 필터

그림 1 샘플 네트워크를 보여줍니다.

그림 1: 인터페이스 샘플 네트워크 폐기인터페이스 샘플 네트워크 폐기

이 예에는 외부 BGP(EBGP) 세션이 설정된 3개의 라우터가 포함됩니다.

디바이스 R1은 공격 디바이스를 나타냅니다. 장비 R3는 공격을 받고 있는 장비와 가장 가까운 라우터를 나타냅니다. 장비 R2는 패킷을 폐기된 인터페이스로 전달하여 공격을 완화합니다.

이 예에서는 폐기 인터페이스에 적용된 아웃바운드 필터를 보여줍니다.

주:

단일 널 경로 필터 사용과 관련된 문제는 가시성입니다. 모든 패킷은 동일한 카운터에서 증분합니다. 폐기되는 패킷 범주를 확인하려면 대상 클래스 사용(DCU)을 사용하고 사용자 정의 클래스를 각 null 라우트 커뮤니티와 연결합니다. 그런 다음 방화벽 필터에서 DCU 클래스를 참조합니다. 관련 예는 및 를 참조하십시오 예를 들면 다음과 같습니다. 소스 및 대상 접두사들을 포워딩 클래스로 그룹화예를 들면 다음과 같습니다. 대상 클래스에 기반한 속도 제한 필터 구성.

루트 필터 및 액세스 목록 사용과 비교했을 때 커뮤니티 가치를 사용하는 것은 관리자가 가장 어렵고 가장 확장성이 뛰어난 접근 방식입니다. 따라서 이 예에 나타난 접근 방식입니다.

기본적으로 다음 홉은 외부 BGP(EBGP) 피어 주소와 같아야 합니다. 널 라우트 서비스에 대한 다음 홉을 변경하려면 EBGP 세션에서 멀티홉 기능을 구성해야 합니다.

CLI 빠른 구성 에 있는 모든 디바이스 그림 1의 구성을 보여줍니다.

이 섹션에서 #configuration756__policy-discard-st 는 Device R2의 단계를 설명합니다.

구성

절차

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경한 다음, 명령을 복사하여 계층적 수준에서 CLI [edit] 에 붙여넣습니다.

디바이스 R1

디바이스 R2

디바이스 R3

단계별 절차

다음 예제에서는 구성 계층에서 다양한 레벨을 탐색해야 합니다. 그 방법에 대한 지침은 Junos OS CLI 사용자 가이드에서 확인하십시오구성 모드에서 CLI 편집기 사용.

디바이스 R2를 구성하려면:

  1. 라우터 인터페이스를 만듭니다.

  2. 모든 패킷과 일치하고 패킷을 카운트 및 로그하는 방화벽 필터를 구성합니다.

  3. 폐기 인터페이스를 생성하고 출력 방화벽 필터를 적용합니다.

    입력 방화벽 필터는 이 컨텍스트에 영향을 미치지 않습니다.

  4. 폐기 인터페이스에 지정된 대상 주소로 다음 홉을 보내는 정적 경로를 구성합니다.

  5. BGP 피어링을 구성합니다.

  6. 라우팅 정책을 구성합니다.

  7. 라우팅 정책을 적용합니다.

  8. AS(Autonomous System) 번호를 구성합니다.

결과

구성 모드에서 , show protocols , show policy-optionsshow routing-optionsshow firewall 명령을 발행하여 show interfaces구성을 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

디바이스 구성을 완료한 경우 구성 모드에서 입력 commit 합니다.

확인

구성이 올바르게 작동하는지 확인합니다.

방화벽 카운터 지우기

목적

카운터를 지워 알려진 0(0) 상태에서 시작합니다.

실행

  1. Device R2에서 명령을 실행합니다 clear firewall .

  2. Device R2에서 명령을 실행합니다 show firewall .

192.0.2.101 주소 Ping

목적

패킷을 대상 주소로 보냅니다.

실행

Device R1에서 명령을 실행합니다 ping .

의미

예상대로 핑 요청이 실패하고 응답이 전송되지 않습니다. 패킷은 폐기됩니다.

출력 필터 검사

목적

디바이스 R2의 방화벽 필터가 제대로 작동하는지 확인합니다.

실행

Device R2에서 명령을 입력합니다 show firewall filter log-discard .

의미

예상대로 카운터는 증분되고 있습니다.

주:

핑 패킷은 추가 20바이트의 IP 오버헤드와 8바이트의 ICMP 헤더를 전달합니다.

커뮤니티 속성 확인

목적

루트가 커뮤니티 속성으로 태그되고 있는지 확인합니다.

실행

Device R1에서 Device R2, 192.0.2.101의 인접 주소를 사용하여 명령을 입력 show route extensive 합니다.

의미

예상대로 Device R2가 Device R1에 192.0.2.101 경로를 알릴 때 Device R2는 100:5555 커뮤니티 태그를 추가합니다.