Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

유니캐스트 RPF(스위치) 이해

IP 스푸핑, 일부 유형의 서비스 거부(DoS) 및 분산 서비스 거부(DDoS) 공격으로부터 보호하기 위해 유니캐스트 RPF(Reverse Path Forwarding)는 패킷이 합법적인 경로에서 도착하는지 확인합니다. 신뢰할 수 없는 수신 인터페이스에 도착하는 각 패킷의 소스 주소를 확인하고 소스 주소에 대한 forwarding-table 항목과 비교하여 이를 수행합니다. 패킷이 유효한 경로, 즉 발신자가 대상에 도달하는 데 사용하는 경로에서 온 경우 디바이스는 패킷을 대상 주소로 전달합니다. 유효한 경로에서 온 패킷이 아닌 경우 디바이스는 패킷을 삭제합니다. IP 스푸핑이 보호되지 않는 한, IP 스푸핑은 침입자가 IP 패킷을 실제 트래픽으로 대상에 전달하는 효과적인 방법이 될 수 있습니다.

유니캐스트 RPF는 IPv4 및 IPv6 프로토콜 패밀리와 VPN(가상 사설망) 주소 패밀리를 지원합니다. 유니캐스트 RPF는 터널 소스로 구성된 인터페이스에서 지원되지 않습니다. 이는 터널을 나가는 전송 패킷에만 영향을 미칩니다.

메모: RPF 검사는 QFX 시리즈 및 EX 시리즈 스위치의 vxlan 지원 인터페이스에서 지원되지 않습니다.

유니캐스트 RPF에는 엄격 모드느슨한 모드의 두 가지 모드가 있습니다. 기본값은 strict 모드이며, 이는 수신 인터페이스가 패킷의 유니캐스트 소스 주소에 대한 최적의 반환 경로인 경우에만 스위치가 패킷을 전달한다는 것을 의미합니다. 엄격 모드는 신뢰할 수 없는 인터페이스(신뢰할 수 없는 사용자 또는 프로세스가 네트워크 세그먼트에 패킷을 배치할 수 있는 경우)와 대칭적으로 라우팅된 인터페이스( 유니캐스트 RPF를 활성화해야 하는 경우 참조)에 특히 유용합니다. 엄격한 유니캐스트 RPF에 대한 자세한 내용은 RFC 3704, http://www.ietf.org/rfc/rfc3704.txt 에서 멀티호밍 네트워크에 대한 수신 필터링 을 참조하십시오.

선택한 고객 에지 인터페이스에서 엄격 모드 유니캐스트 RPF를 활성화하려면:

[인터페이스 편집]user@switch# set interface-name unit 0 family inet rpf-check

다른 모드는 느슨한 모드로, 시스템은 패킷에 라우팅 테이블에 해당 접두사가 있는 소스 주소가 있는지 확인하지만 수신 인터페이스가 패킷의 유니캐스트 소스 주소에 대한 최상의 반환 경로인지 여부는 확인하지 않습니다.

유니캐스트 RPF 느슨한 모드를 활성화하려면 다음을 입력합니다.

[인터페이스 편집]user@switch# set interface-name unit 0 family inet rpf-check mode loose

메모: 주니퍼 네트웍스 EX3200, EX4200 및 EX4300 이더넷 스위치에서 모든 인터페이스에 유니캐스트 RPF가 구성되면 스위치는 모든 인터페이스에 유니캐스트 RPF를 전역적으로 적용합니다. 자세한 내용은 EX3200, EX4200 및 EX4300 스위치의 유니캐스트 RPF 구현 제한 사항을 참조하십시오.

스위치용 유니캐스트 RPF 개요

유니캐스트 RPF는 주소를 스푸핑할 수 있는 IP 패킷의 전달을 줄이는 수신 필터의 기능을 합니다. 기본적으로 유니캐스트 RPF는 스위치 인터페이스에서 비활성화되어 있습니다. 스위치는 유니캐스트 소스 주소로 돌아가는 최적의 반환 경로를 결정하는 활성 경로 방법만 지원합니다. 활성 경로 방법은 포워딩 테이블에서 최적의 역방향 경로 항목을 찾습니다. 최적의 반환 경로를 결정할 때 routing-protocol 특정 방법을 사용하여 지정된 대체 경로는 고려하지 않습니다.

포워딩 테이블에 패킷을 유니캐스트 소스로 다시 포워딩하는 데 사용할 인터페이스로 수신 인터페이스가 나열되어 있으면 최상의 반환 경로 인터페이스입니다.

유니캐스트 RPF 구현

유니캐스트 RPF 패킷 필터링

스위치에서 유니캐스트 RPF를 활성화하면 스위치는 다음과 같은 방식으로 트래픽을 처리합니다.

  • 스위치가 인터페이스에서 해당 패킷의 유니캐스트 소스 주소에 가장 적합한 반환 경로인 패킷을 수신하면 스위치는 패킷을 전달합니다.

  • 스위치에서 패킷의 유니캐스트 소스 주소까지의 최적 반환 경로가 수신 인터페이스가 아닌 경우 스위치는 패킷을 버립니다.

  • 포워딩 테이블에 라우팅 항목이 없는 소스 IP 주소가 있는 패킷을 스위치가 수신하면 스위치는 패킷을 삭제합니다.

부트스트랩 프로토콜(BOOTP) 및 DHCP 요청

부트스트랩 프로토콜(BOOTP) 및 DHCP 요청 패킷은 브로드캐스트 MAC 주소와 함께 전송되므로 스위치는 유니캐스트 RPF 검사를 수행하지 않습니다. 스위치는 유니캐스트 RPF 검사를 수행하지 않고 모든 BOOTP 패킷 및 DHCP 요청 패킷을 전달합니다.

기본 경로 처리

소스에 대한 최적의 반환 경로가 기본 경로(0.0.0.0)이고 기본 경로가 를 reject가리키는 경우 스위치는 패킷을 삭제합니다. 기본 경로가 유효한 네트워크 인터페이스를 가리키는 경우 스위치는 패킷에 대해 일반 유니캐스트 RPF 검사를 수행합니다.

메모:

EX4300에서는 스위치가 유니캐스트 RPF 엄격 모드로 구성된 경우 기본 경로가 사용되지 않습니다.

유니캐스트 RPF를 활성화해야 하는 경우

네트워크 인터페이스에 도착하는 트래픽이 인터페이스가 도달할 수 있는 네트워크에 상주하는 소스에서 오도록 하려면 유니캐스트 RPF를 활성화합니다. 신뢰할 수 없는 인터페이스에서 유니캐스트 RPF를 활성화하여 스푸핑된 패킷을 필터링할 수 있습니다. 예를 들어, 유니캐스트 RPF의 일반적인 애플리케이션은 인터넷에서 오는 DoS/DDoS 공격으로부터 엔터프라이즈 네트워크를 방어하는 것입니다.

대칭적으로 라우팅된 인터페이스에서만 유니캐스트 RPF를 활성화하고, 트래픽 소스에 최대한 근접하면 스푸핑된 트래픽이 확산되거나 유니캐스트 RPF가 활성화되지 않은 인터페이스에 도달하기 전에 차단합니다. 유니캐스트 RPF는 EX3200, EX4200 및 EX4300 스위치에서 전역적으로 활성화되므로, 그림 1과 같이 이러한 스위치에서 유니캐스트 RPF를 활성화하기 전에 모든 인터페이스가 대칭으로 라우팅되어야 합니다. 비대칭 라우팅 인터페이스에서 유니캐스트 RPF를 활성화하면 합법적인 소스의 패킷이 필터링됩니다. 대칭적으로 라우팅된 인터페이스는 출발지와 목적지 사이의 양방향에서 동일한 경로를 사용합니다.

유니캐스트 RPF는 EX3200, EX4200 및 EX4300 스위치에서 전역적으로 활성화되므로, 이러한 스위치에서 유니캐스트 RPF를 활성화하기 전에 모든 인터페이스가 대칭으로 라우팅되는지 확인하십시오. 비대칭 라우팅 인터페이스에서 유니캐스트 RPF를 활성화하면 합법적인 소스의 패킷이 필터링됩니다.

그림 1: 대칭적으로 라우팅된 인터페이스 Symmetrically Routed Interfaces

다음 스위치 인터페이스는 대칭으로 라우팅될 가능성이 높으므로 유니캐스트 RPF를 활성화할 수 있습니다.

  • 고객에 대한 서비스 프로바이더 에지

  • 서비스 프로바이더에 대한 고객 에지

  • 네트워크 외부(일반적으로 네트워크 경계에 있음)의 단일 액세스 포인트

  • 링크가 하나뿐인 터미널 네트워크

EX3200, EX4200 및 EX4300 스위치에서는 모든 인터페이스 또는 하나의 인터페이스에서만 유니캐스트 RPF를 명시적으로 활성화하는 것이 좋습니다. 혼동을 피하려면 일부 인터페이스에서만 활성화하지 마십시오.

  • 유니캐스트 RPF를 명시적으로 활성화한 모든 인터페이스에서 유니캐스트 RPF를 명시적으로 비활성화해야 하므로 나중에 비활성화하기로 선택한 경우 유니캐스트 RPF를 명시적으로 활성화하면 더 쉽게 활성화할 수 있습니다. 두 인터페이스에서 유니캐스트 RPF를 명시적으로 활성화하고 한 인터페이스에서만 비활성화하는 경우, 유니캐스트 RPF는 여전히 스위치에서 전역적으로 암시적으로 활성화됩니다. 이 접근 방식의 단점은 스위치가 유니캐스트 RPF가 명시적으로 활성화된 인터페이스에서만 유니캐스트 RPF가 활성화되었음을 나타내는 플래그를 표시하므로 모든 인터페이스에서 유니캐스트 RPF가 활성화되더라도 이 상태는 표시되지 않는다는 것입니다.

  • 모든 인터페이스에서 유니캐스트 RPF를 명시적으로 활성화하면 모든 인터페이스가 올바른 상태를 표시하기 때문에 스위치에서 유니캐스트 RPF가 활성화되었는지 여부를 쉽게 알 수 있습니다. (유니캐스트 RPF를 명시적으로 활성화하는 인터페이스만 유니캐스트 RPF가 활성화되었음을 나타내는 플래그를 표시합니다.) 이 접근 방식의 단점은 유니캐스트 RPF를 비활성화하려면 모든 인터페이스에서 명시적으로 비활성화해야 한다는 것입니다. 모든 인터페이스에서 유니캐스트 RPF가 활성화되면 모든 인터페이스에서 암시적으로 활성화됩니다.

유니캐스트 RPF를 활성화하지 말아야 하는 경우

일반적으로 다음과 같은 경우 유니캐스트 RPF를 활성화하지 않습니다.

  • 스위치 인터페이스는 멀티호밍됩니다.

  • 스위치 인터페이스는 신뢰할 수 있는 인터페이스입니다.

  • BGP는 접두사를 전달하며 이러한 접두사 중 일부는 ISP의 정책에 따라 광고되지 않거나 ISP에서 수락되지 않습니다. (이 경우의 효과는 불완전한 액세스 목록을 사용하여 인터페이스를 필터링하는 것과 같습니다.)

  • 스위치 인터페이스는 네트워크 코어를 향합니다. 코어 대면 인터페이스는 일반적으로 비대칭으로 라우팅됩니다.

비대칭 라우팅 인터페이스는 그림 2와 같이 서로 다른 경로를 사용하여 출발지와 목적지 간에 패킷을 송수신합니다. 즉, 인터페이스가 패킷을 수신하면 해당 인터페이스는 소스로 돌아가는 최상의 반환 경로로 포워딩 테이블 항목과 일치하지 않습니다. 수신 인터페이스가 패킷 소스에 대한 최적의 반환 경로가 아닌 경우, 유니캐스트 RPF는 패킷이 유효한 소스에서 왔더라도 스위치가 패킷을 폐기하도록 합니다.

그림 2: 비대칭 라우팅 인터페이스 Asymmetrically Routed Interfaces
메모:

유니캐스트 RPF는 스위치의 모든 인터페이스에서 전역적으로 활성화되므로 스위치 인터페이스가 비대칭으로 라우팅되는 경우 EX3200, EX4200 및 EX4300 스위치에서 유니캐스트 RPF를 활성화하지 마십시오. 스위치가 전달하려는 트래픽을 폐기할 위험 없이 유니캐스트 RPF를 활성화하려면 모든 스위치 인터페이스가 대칭으로 라우팅되어야 합니다.

EX3200, EX4200 및 EX4300 스위치에 대한 유니캐스트 RPF 구현의 제한 사항

EX3200, EX4200 및 EX4300 스위치에서 스위치는 전역적으로 유니캐스트 RPF를 구현합니다. 인터페이스별로 유니캐스트 RPF를 활성화할 수 없습니다. 유니캐스트 RPF는 기본적으로 전역적으로 비활성화되어 있습니다.

  • 모든 인터페이스에서 유니캐스트 RPF를 활성화하면 LAG(Link Aggregation Group), IRB(Integrated Routing and Bridging) 인터페이스, RVI(Routed VLAN Interface)를 포함한 모든 스위치 인터페이스에서 유니캐스트 RPF가 자동으로 활성화됩니다.

  • 유니캐스트 RPF를 활성화한 인터페이스에서 유니캐스트 RPF를 비활성화하면 모든 스위치 인터페이스에서 자동으로 비활성화됩니다.

메모:

유니캐스트 RPF가 명시적으로 활성화된 모든 인터페이스에서 유니캐스트 RPF를 명시적으로 비활성화해야 하며, 그렇지 않으면 유니캐스트 RPF가 모든 스위치 인터페이스에서 활성화된 상태로 유지됩니다.

QFX 스위치, OCX 스위치, EX3200 및 EX4200 스위치는 ECMP(Equal-Cost Multipath) 트래픽에서 유니캐스트 RPF 필터링을 수행하지 않습니다. 유니캐스트 RPF 검사는 패킷 소스에 대한 하나의 최상의 반환 경로만 검사하지만 ECMP 트래픽은 여러 경로로 구성된 주소 블록을 사용합니다. 유니캐스트 RPF를 사용하여 이러한 스위치에서 ECMP 트래픽을 필터링하면 유니캐스트 RPF 필터가 전체 ECMP 주소 블록을 검사하지 않기 때문에 스위치에서 전달하려는 패킷을 삭제할 수 있습니다.

관련 문서