이 페이지의
예: 유니캐스트 RPF 구성(스위치에서)
이 예에서는 수신 트래픽을 필터링하기 위해 유니캐스트 RPF를 구성하여 DoS(Denial-of-Service) 및 DDoS(Distributed Denial-of-Service) 공격으로부터 수신 인터페이스를 방어하는 방법을 보여줍니다.
요구 사항
이 예에서는 2개의 EX8200 스위치를 사용합니다. EX3200 및 EX4200 스위치에서는 유니캐스트 RPF에 대한 개별 인터페이스를 구성할 수 없습니다. 스위치는 스위치의 모든 인터페이스에 유니캐스트 RPF를 전역적으로 적용합니다.
EX 시리즈 스위치용 Junos OS 릴리스 10.1 이상
2개의 EX8200 스위치
시작하기 전에 다음 사항을 확인해야 합니다.
대칭적으로 라우팅된 인터페이스를 통해 두 스위치를 연결했습니다.
유니캐스트 RPF를 구성할 인터페이스가 대칭적으로 라우팅되도록 했습니다.
EX8200, EX6200, QFX 시리즈 스위치 또는 OCX 시리즈 스위치에서는 유니캐스트 RPF를 활성화하기 전에 선택한 스위치 인터페이스를 대칭적으로 라우팅합니다. 대칭적으로 라우팅되는 인터페이스는 소스와 대상 간의 양방향에서 동일한 경로를 사용하는 인터페이스입니다. 비대칭 라우팅 인터페이스에서 유니캐스트 RPF를 활성화하지 마십시오. 비대칭 라우팅 인터페이스는 서로 다른 경로를 사용하여 소스와 대상 간에 패킷을 주고 받습니다.
EX3200, EX4200 또는 EX4300 스위치에서는 인터페이스에서 유니캐스트 RPF를 활성화하기 전에 모든 스위치 인터페이스를 대칭적으로 라우팅합니다. 모든 인터페이스에서 유니캐스트 RPF를 활성화하면 모든 스위치 인터페이스에서 전역적으로 활성화됩니다. 비대칭 라우팅 인터페이스에서 유니캐스트 RPF를 활성화하지 마십시오. 비대칭 라우팅 인터페이스는 서로 다른 경로를 사용하여 소스와 대상 간에 패킷을 주고 받습니다.
개요 및 토폴로지
이 예에서는 엔터프라이즈 네트워크의 시스템 관리자가 인터넷으로부터 잠재적인 DoS 및 DDoS 공격으로부터 Switch A를 보호하기를 원합니다. 관리자는 Switch A의 인터페이스 ge-1/0/10 에서 유니캐스트 RPF를 구성합니다. Switch B 소스에서 Switch A의 인터페이스 ge-1/0/10 에 도착하는 패킷은 패킷을 소스로 다시 전송하는 최상의 반환 경로로 수신 인터페이스 ge-1/0/10 을 사용합니다.
이 구성의 토폴로지 예는 대칭적으로 라우팅되는 인터페이스로 연결된 2개의 EX8200 스위치인 Switch A 및 Switch B를 사용합니다.
스위치 A는 엔터프라이즈 네트워크의 에지에 있습니다. 스위치 A의 인터페이스 ge-1/0/10 은 스위치 B의 인터페이스 ge-1/0/5 에 연결됩니다.
Switch B는 엔터프라이즈 네트워크를 인터넷에 연결하는 서비스 프로바이더는 에지에 있습니다.
토폴로지
구성
유니캐스트 RPF를 활성화하려면 다음 작업을 수행하십시오.
절차
CLI 빠른 구성
Switch A에서 유니캐스트 RPF를 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.
[edit interfaces] set ge-1/0/10 unit 0 family inet rpf-check
단계별 절차
스위치 A에서 유니캐스트 RPF를 구성하려면 다음을 수행합니다.
인터페이스 ge-1/0/10에서 유니캐스트 RPF 사용:
[edit interfaces] user@switch# set ge-1/0/10 unit 0 family inet rpf-check
결과
결과 확인:
[edit interfaces]
user@switch# show
ge-1/0/10 {
unit 0 {
family inet {
rpf-check;
}
}
}
유니캐스트 RPF 비활성화
절차
단계별 절차
확인
유니캐스트 RPF(reverse-path forwarding)는 신뢰할 수 없는 인터페이스에서 DoS(Denial-of-Service) 및 DDoS(Distributed Denial-of-Service) 공격으로부터 LAN을 보호할 수 있도록 지원합니다. 유니캐스트 RPF는 수신 인터페이스를 소스로 돌아가는 최상의 반환 경로로 사용하지 않는 소스 주소로 트래픽을 필터링합니다. 유니캐스트 RPF를 활성화한 인터페이스가 신뢰할 수 있는 인터페이스가 되거나 비대칭 라우팅이 되도록 네트워크 구성이 변경되면(패킷을 수신하는 인터페이스가 패킷의 소스에 가장 적합한 반환 경로가 아님) 유니캐스트 RPF를 비활성화합니다.
EX3200, EX4200 또는 EX4300 스위치에서 유니캐스트 RPF를 비활성화하려면 명시적으로 구성한 모든 인터페이스에서 이를 삭제해야 합니다. 명시적으로 활성화한 모든 인터페이스에서 유니캐스트 RPF를 비활성화하지 않으면 모든 인터페이스에서 암묵적으로 활성화됩니다. 명시적으로 활성화 warning: statement not found 되지 않은 인터페이스에서 유니캐스트 RPF를 삭제하려고 하면 메시지가 나타납니다. 명시적으로 활성화한 모든 인터페이스에서 유니캐스트 RPF를 비활성화하지 않으면 유니캐스트 RPF는 EX3200, EX4200 또는 EX4300 스위치의 모든 인터페이스에서 암묵적으로 활성화됩니다.
EX8200, EX6200, QFX 시리즈 스위치 및 OCX 시리즈 스위치에서 유니캐스트 RPF에 대한 인터페이스를 명시적으로 활성화하지 않는 한 스위치는 유니캐스트 RPF를 인터페이스에 적용하지 않습니다.
유니캐스트 RPF를 비활성화하려면 인터페이스에서 구성을 삭제합니다.
[인터페이스 편집] user@switch # delete ge-1/0/10 unit 0 family inet rpf-check
스위치에서 유니캐스트 RPF가 활성화되었는지 검증
목적
유니캐스트 RPF가 활성화되고 인터페이스에서 작동하는지 확인합니다.
작업
광범위한 또는 세부 옵션 중 show interfaces interface-name 하나를 사용하는 명령 중 하나를 사용하여 유니캐스트 RPF가 스위치에서 실행되고 있는지 확인합니다. 아래 예제는 명령의 출력을 show interfaces ge- extensive 표시합니다.
user@switch> show show interfaces ge-1/0/10 extensive
Physical interface: ge-1/0/10, Enabled, Physical link is Down
Interface index: 139, SNMP ifIndex: 58, Generation: 140
Link-level type: Ethernet, MTU: 1514, Speed: Auto, MAC-REWRITE Error: None,
Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled,
Auto-negotiation: Enabled, Remote fault: Online
Device flags : Present Running
Interface flags: Hardware-Down SNMP-Traps Internal: 0x0
Link flags : None
CoS queues : 8 supported, 8 maximum usable queues
Hold-times : Up 0 ms, Down 0 ms
Current address: 00:19:e2:50:95:ab, Hardware address: 00:19:e2:50:95:ab
Last flapped : Never
Statistics last cleared: Never
Traffic statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
IPv6 transit statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Input errors:
Errors: 0, Drops: 0, Framing errors: 0, Runts: 0, Policed discards: 0,
L3 incompletes: 0, L2 channel errors: 0, L2 mismatch timeouts: 0,
FIFO errors: 0, Resource errors: 0
Output errors:
Carrier transitions: 0, Errors: 0, Drops: 0, Collisions: 0, Aged packets: 0,
FIFO errors: 0, HS link CRC errors: 0, MTU errors: 0, Resource errors: 0
Egress queues: 8 supported, 4 in use
Queue counters: Queued packets Transmitted packets Dropped packets
0 best-effort 0 0 0
1 assured-forw 0 0 0
5 expedited-fo 0 0 0
7 network-cont 0 0 0
Active alarms : LINK
Active defects : LINK
MAC statistics: Receive Transmit
Total octets 0 0
Total packets 0 0
Unicast packets 0 0
Broadcast packets 0 0
Multicast packets 0 0
CRC/Align errors 0 0
FIFO errors 0 0
MAC control frames 0 0
MAC pause frames 0 0
Oversized frames 0
Jabber frames 0
Fragment frames 0
VLAN tagged frames 0
Code violations 0
Filter statistics:
Input packet count 0
Input packet rejects 0
Input DA rejects 0
Input SA rejects 0
Output packet count 0
Output packet pad count 0
Output packet error count 0
CAM destination filters: 0, CAM source filters: 0
Autonegotiation information:
Negotiation status: Incomplete
Packet Forwarding Engine configuration:
Destination slot: 1
Logical interface ge-1/0/10.0 (Index 69) (SNMP ifIndex 59) (Generation 135)
Flags: Device-Down SNMP-Traps 0x0 Encapsulation: ENET2
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
IPv6 transit statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Local statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
IPv6 transit statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Protocol inet, Generation: 144, Route table: 0
Flags: uRPF
Addresses, Flags: Is-Preferred Is-Primary
의미
명령어(및 show interfaces ge-1/0/10 detail 명령)는 show interfaces ge-1/0/10 extensive 인터페이스에 대한 심층적인 정보를 표시합니다. 플래그(Flag): 디스플레이 하단 근처의 출력 필드는 유니캐스트 RPF 상태를 보고합니다. 유니캐스트 RPF를 활성화하지 않은 경우 uRPF 플래그가 표시되지 않습니다.
EX3200 및 EX4200 스위치에서 유니캐스트 RPF는 단일 인터페이스에서 유니캐스트 RPF를 활성화할 때 집계된 이더넷 인터페이스(링크 어그리게이션 그룹 또는 LAG라고도 함) 및 라우팅된 VLAN 인터페이스(RVIS)를 포함하여 모든 스위치 인터페이스에서 암시적으로 지원됩니다. 그러나 유니캐스트 RPF 상태는 명시적으로 유니캐스트 RPF를 구성한 인터페이스에서만 활성화된 것으로 표시됩니다. 따라서 uRPF 플래그는 유니캐스트 RPF가 EX3200 및 EX4200 스위치의 모든 인터페이스에서 암시적으로 활성화되어 있더라도 명시적으로 유니캐스트 RPF를 구성하지 않은 인터페이스에 표시되지 않습니다.
유니캐스트 RPF 문제 해결
합법적인 패킷 폐기
문제
스위치는 합법적인 소스에서 유효한 패킷을 필터링하여 포워딩해야 하는 스위치의 패킷을 폐기합니다.
솔루션
합법적인 패킷을 폐기하는 인터페이스 또는 인터페이스는 비대칭 라우팅 인터페이스입니다. 비대칭 라우팅 인터페이스는 서로 다른 경로를 사용하여 소스와 대상 간에 패킷을 주고 받기 때문에 패킷을 수신하는 인터페이스는 스위치가 패킷 소스에 회신하는 데 사용하는 인터페이스와 같지 않습니다.
유니캐스트 RPF는 대칭적으로 라우팅된 인터페이스에서만 올바르게 작동합니다. 대칭적으로 라우팅되는 인터페이스는 소스와 대상 간의 양방향에서 동일한 경로를 사용하는 인터페이스입니다. 유니캐스트 RPF는 포워딩 테이블을 검사하여 수신 패킷 소스에 대한 최상의 반환 경로를 검사함으로써 패킷을 필터링합니다. 최상의 반환 경로가 패킷을 수신한 인터페이스와 동일한 인터페이스를 사용하는 경우 스위치는 패킷을 포워딩합니다. 최상의 반환 경로가 패킷을 수신한 인터페이스와 다른 인터페이스를 사용하는 경우 스위치는 패킷을 폐기합니다.
EX3200에서 EX4200 및 EX4300 스위치인 유니캐스트 RPF는 통합 이더넷 인터페이스(링크 어그리게이션 그룹 또는 LAG라고도 함), IRB(Integrated Routing and Bridging) 인터페이스 및 라우팅 VLAN 인터페이스(RVIS)를 포함한 모든 스위치 인터페이스가 모든 스위치 인터페이스에서 전 세계적으로 활성화되기 때문에 대칭적으로 라우팅되는 경우에만 올바르게 작동합니다.