Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

유니캐스트 RPF(라우터) 이해

IPv4 또는 IPv6 트래픽을 전송하는 인터페이스의 경우, 유니캐스트 RPF(Reverse Path Forwarding)를 구성하여 DoS 공격의 영향을 줄일 수 있습니다. 유니캐스트 RPF는 공격 소스를 확인하는 데 도움이 되며 유니캐스트 RPF가 활성화된 인터페이스에서 예기치 않은 소스 주소의 패킷을 거부합니다.

메모:
  • 네트워크의 에지(고객 대면 인터페이스)에서 유니캐스트 RPF 검사 기능을 적용하여 네트워크를 보호할 수 있습니다. ISP 환경에서 이는 네트워크에 영향을 줄 수 있으며, 이는 확장된 설정에 영향을 줄 수 있습니다. 이미 네트워크 에지를 보호한 경우 스푸핑된 IP 소스 주소가 있는 패킷은 코어 연결 인터페이스에 나타나지 않습니다. 이 경우 유니캐스트 RPF 검사는 필요하지 않습니다. 유니캐스트 RPF 기능을 활성화하면 컨트롤 플레인 성능에 영향을 미칠 수 있으므로 필요한 곳에 사용하십시오. 따라서 네트워크 코어(내부) 인터페이스에서 이 기능을 활성화하지 않는 것이 좋습니다.

메모:

현재 PTX 플랫폼에서 BGP 플로우 사양(flowspec)을 구성하면 VRF 인스턴스를 설정하는 암시적 필터가 생성됩니다. PTX 플랫폼에서 필터 조회가 소스/대상 IP 조회보다 우선합니다. 따라서 소스 및 대상 IP 조회는 VRF 인스턴스의 컨텍스트 내에서 발생합니다.

유니캐스트 RPF 및 기본 경로

라우팅 테이블의 경로에서 활성 경로를 선택할 수 없는 경우 라우터는 기본 경로를 선택합니다. 기본 경로는 IP 주소 0.0.0.0/0과 동일합니다. 기본 경로를 구성하고 기본 경로가 사용하는 인터페이스에 유니캐스트 RPF를 구성하는 경우, 유니캐스트 RPF는 그렇지 않은 경우와 다르게 작동합니다.

기본 경로가 인터페이스를 사용하는지 여부를 확인하려면 명령을 입력합니다.show route

address 은(는) 구성된 기본 경로의 다음 홉 주소입니다. 기본 경로는 명령의 show route 출력에 표시된 인터페이스를 사용합니다.

다음 섹션에서는 기본 경로가 인터페이스를 사용할 때와 기본 경로가 인터페이스를 사용하지 않을 때 유니캐스트 RPF가 어떻게 동작하는지 설명합니다.

기본 경로의 유니캐스트 RPF 동작

MPC가 있는 라우터와 MX80 라우터를 제외한 모든 라우터에서 유니캐스트 RPF로 구성된 인터페이스를 사용하는 기본 경로를 구성하면 유니캐스트 RPF는 다음과 같이 동작합니다.

  • 느슨한 모드 - 모든 패킷이 자동으로 수락됩니다. 이러한 이유로 기본 경로가 사용하는 인터페이스에서 유니캐스트 RPF loose 모드를 구성하지 않는 것이 좋습니다.

  • 엄격 모드 - 패킷의 소스 주소가 인터페이스를 통해 도달할 수 있는 경로(기본 또는 학습)와 일치하면 패킷이 허용됩니다. 경로에는 여러 목적지가 연결되어 있을 수 있습니다. 따라서 대상 중 하나가 패킷의 수신 인터페이스와 일치하면 패킷이 수락됩니다.

MPC가 있는 모든 라우터와 MX80 라우터에서 유니캐스트 RPF로 구성된 인터페이스를 사용하는 기본 경로를 구성하는 경우 유니캐스트 RPF는 다음과 같이 동작합니다.

  • 느슨한 모드 - 소스가 기본 경로에서 학습된 패킷을 제외한 모든 패킷이 허용됩니다. 소스가 기본 경로에서 학습된 모든 패킷은 패킷 포워딩 엔진에서 삭제됩니다. 기본 경로는 경로가 존재하지 않는 것처럼 처리됩니다.

  • 엄격 모드 - 패킷의 소스 주소가 인터페이스를 통해 도달할 수 있는 경로(기본 또는 학습)와 일치하면 패킷이 허용됩니다. 경로에는 여러 목적지가 연결되어 있을 수 있습니다. 따라서 대상 중 하나가 패킷의 수신 인터페이스와 일치하면 패킷이 수락됩니다.

모든 라우터에서 다음 중 하나에 해당하는 경우 패킷이 수락되지 않습니다.

  • 패킷의 소스 주소가 라우팅 테이블의 접두사와 일치하지 않습니다.

  • 인터페이스는 이 소스 주소 접두사가 있는 패킷을 수신할 것으로 예상하지 않습니다.

기본 경로가 없는 유니캐스트 RPF 동작

기본 경로를 구성하지 않거나 기본 경로가 유니캐스트 RPF로 구성된 인터페이스를 사용하지 않는 경우, 유니캐스트 RPF는 유니캐스트 RPF Strict 모드 구성유니캐스트 RPF 느슨한 모드 구성에 설명된 대로 작동합니다. 요약하자면, 기본 경로가 없는 유니캐스트 RPF는 다음과 같이 동작합니다.

  • 엄격 모드 - 다음 중 하나에 해당하는 경우 패킷이 허용되지 않습니다.

    • 패킷의 소스 주소가 라우팅 테이블의 접두사와 일치하지 않습니다.

    • 인터페이스는 이 소스 주소 접두사가 있는 패킷을 수신할 것으로 예상하지 않습니다.

  • 느슨한 모드 - 패킷에 라우팅 테이블의 접두사와 일치하지 않는 소스 주소가 있는 경우 패킷이 허용되지 않습니다.

라우팅 비대칭을 사용하는 유니캐스트 RPF

일반적으로 내부 인터페이스에는 라우팅 비대칭이 있을 가능성이 높으므로 네트워크 내부 인터페이스에서는 유니캐스트 RPF를 사용하지 않는 것이 좋습니다. 라우팅 비대칭은 패킷의 송신 경로와 반환 경로가 다르다는 것을 의미합니다. 네트워크 코어의 라우터는 고객 또는 프로바이더 에지의 라우터보다 비대칭 역방향 경로를 가질 가능성이 더 높습니다. 그림 1 은 라우팅 비대칭이 있는 환경의 유니캐스트 RPF를 보여줍니다.

그림 1: 라우팅 비대칭이 Unicast RPF with Routing Asymmetry 있는 유니캐스트 RPF

그림 1에서 인터페이스 so-0/0/0에서 유니캐스트 RPF를 활성화하면 라우터 A로 향하는 트래픽이 거부되지 않습니다. 인터페이스 so-1/0/1에서 유니캐스트 RPF를 활성화하면 라우터 A의 트래픽이 거부됩니다.

비대칭 라우팅 환경에서 유니캐스트 RPF를 활성화해야 하는 경우, 실패 필터를 사용하여 라우터가 특정 경로를 통해 도착하는 것으로 알려진 수신 패킷을 수락하도록 할 수 있습니다. 특정 원본 및 대상 주소를 가진 패킷을 수락하는 실패 필터의 예는 유니캐스트 RPF 구성을 참조하십시오.

유니캐스트 RPF Strict 모드 구성

엄격 모드에서 유니캐스트 RPF는 수신 패킷이 라우팅 테이블의 접두사와 일치하는 소스 주소를 가지고 있는지, 그리고 인터페이스가 이 소스 주소 접두사를 가진 패킷을 수신할 것으로 예상하는지 여부를 확인합니다.

active-path 모드가 구성되면 active 경로만 있는 발신 interface-list가 생성됩니다. 이러한 인터페이스로 들어오는 모든 패킷은 유효한 것으로 간주되어 처리됩니다.

수신 패킷이 유니캐스트 RPF 검사에 실패하면 패킷이 인터페이스에서 수락되지 않습니다. 인터페이스에서 패킷이 수락되지 않으면 유니캐스트 RPF는 패킷을 계산하여 선택적 장애 필터로 보냅니다. 실패 필터가 구성되지 않은 경우 기본 행동은 패킷을 자동으로 폐기하는 것입니다.

선택 사항인 실패 필터를 사용하면 유니캐스트 RPF 검사에 실패한 패킷에 필터를 적용할 수 있습니다. 실패 필터를 정의하여 수락, 거부, 로깅, 샘플링 또는 폴리싱을 포함한 모든 필터 작업을 수행할 수 있습니다.

인터페이스에서 유니캐스트 RPF가 활성화되면 부트스트랩 프로토콜(BOOTP) 패킷 및 DHCP(Dynamic Host Configuration Protocol) 패킷은 인터페이스에서 허용되지 않습니다. 인터페이스가 BOOTP 패킷과 DHCP 패킷을 허용하도록 허용하려면 소스 주소가 이고 0.0.0.0 대상 주소가 인 255.255.255.255. 모든 패킷을 수락하는 실패 필터를 적용해야 합니다. 구성 예제는 유니캐스트 RPF 구성을 참조하십시오.

장애 필터 정의에 대한 자세한 내용은 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용자 가이드를 참조하십시오.

유니캐스트 RPF를 구성하려면 문을 포함합니다.rpf-check

다음 계층 수준에서 이 명령문을 포함시킬 수 있습니다:

  • [edit interfaces interface-name unit logical-unit-number family (inet | inet6)]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family (inet | inet6)]

유니캐스트 RPF를 사용하면 트래픽 필터와 함께 구현될 때 여러 가지 결과가 발생할 수 있습니다.

  • RPF 실패 필터는 입력 필터 후와 출력 필터 전에 평가됩니다.

  • 입력 필터에 의해 손실된 패킷에 대한 필터 카운터를 구성하고 손실된 패킷의 총 수를 알고 싶은 경우, RPF 검사에 의해 손실된 패킷에 대한 필터 카운터도 구성해야 합니다.

  • RPF 검사에 실패하고 RPF 실패 필터에서 수락한 패킷을 계산하려면 필터 카운터를 구성해야 합니다.

  • 입력 필터가 inet.0 또는 inet6.0 라우팅 테이블 이외의 다른 위치로 패킷을 전달하면 유니캐스트 RPF 검사가 수행되지 않습니다.

  • 입력 필터가 입력 인터페이스가 구성된 라우팅 인스턴스 이외의 다른 곳으로 패킷을 전달하면 유니캐스트 RPF 검사가 수행되지 않습니다.

메모:

앞서 언급한 글머리 기호 목록에서 첫 번째, 두 번째-마지막 및 마지막 지점은 MX 플랫폼에서 uRPF가 방화벽 필터를 실행하기 전에 처리되기 때문에 MX 플랫폼에 적용되지 않습니다. uRPF 검사는 정적 및 동적 인터페이스에 대해 FBF(필터 기반 전달) 작업이 활성화되기 전에 소스 주소 확인을 위해 처리됩니다. 이는 IPv4 및 IPv6 제품군 모두에 적용됩니다.

메모:

ACX 및 MX 시리즈 라우터:

  • uRPF 장애 필터는 ACX1000, ACX2000, ACX4000, ACX500, ACX5048, ACX5096에서 지원됩니다. 필터는 ACX5448, ACX710, ACX7100-32C, ACX7100-48, ACX7509 및 ACX7000 시리즈의 모든 라우터에서 지원되지 않습니다.

  • uRPF 실패 필터는 수신 포트 확인(엄격 모드)에서 실패한 패킷을 일치시킬 수 없습니다.
  • uRPF 실패 필터는 소스 IP 조회에 실패한 패킷을 일치시킬 수 있지만 입력 인터페이스 확인(엄격 모드)에 실패한 패킷은 일치시킬 수 없습니다.
  • uRPF 실패 필터는 방화벽 필터의 인터페이스별 인스턴스에만 적용됩니다.
  • uRPF 장애 필터는 거부 및 라우팅 인스턴스 작업을 지원하지 않습니다.

유니캐스트 RPF 엄격 모드를 구성하고 인터페이스가 BOOTP 패킷 및 DHCP 패킷을 허용하도록 하는 장애 필터를 적용합니다. 필터는 소스 주소가 이고 0.0.0.0 대상 주소가 인 255.255.255.255모든 패킷을 허용합니다.

엄격 모드에서 유니캐스트 RPF를 구성하려면:

  1. 실패 필터 구성:
  2. 인터페이스에서 유니캐스트 RPF를 구성합니다.
  3. 구성을 커밋합니다.

유니캐스트 RPF 느슨한 모드 구성

기본적으로 유니캐스트 RPF는 엄격 모드를 사용합니다. 유니캐스트 RPF loose 모드는 유니캐스트 RPF strict 모드와 유사하며 동일한 구성 제한을 갖습니다. loose 모드의 유일한 검사는 패킷이 라우팅 테이블에 해당 접두사를 가진 소스 주소를 가지고 있는지 여부입니다. 느슨한 모드는 인터페이스가 특정 소스 주소 접두사의 패킷을 수신할 것으로 예상하는지 여부를 확인하지 않습니다. 해당 접두사를 찾을 수 없는 경우, 유니캐스트 RPF 느슨한 모드는 패킷을 수락하지 않습니다. 엄격 모드에서와 마찬가지로 느슨한 모드는 실패한 패킷을 카운트하고 선택적으로 패킷을 수락, 거부, 로그, 샘플 또는 폴리싱하는 실패 필터로 전달합니다.

feasible-paths 모드가 구성되면 활성 및 비활성 경로의 발신 인터페이스 목록이 생성됩니다. 이러한 인터페이스로 들어오는 모든 패킷은 유효한 것으로 간주되어 처리됩니다.

유니캐스트 RPF 느슨한 모드를 구성하려면 다음을 포함합니다.mode


  1. 다음 계층 수준에서 이 명령문을 포함시킬 수 있습니다:

    • [edit interfaces interface-name unit logical-unit-number family (inet | inet6) rpf-check <fail-filter filter-name>]

    • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family (inet | inet6) rpf-check <fail-filter filter-name>]

  2. 예를 들어:

    이 예에서는 디바이스 초기화를 제외한 특별한 구성이 필요하지 않습니다.

    유니캐스트 RPF 느슨한 모드를 구성하고 인터페이스가 BOOTP 패킷 및 DHCP 패킷을 허용하도록 하는 실패 필터를 적용합니다. 필터는 소스 주소가 이고 0.0.0.0 대상 주소가 인 255.255.255.255모든 패킷을 허용합니다.

    느슨한 모드에서 유니캐스트 RPF를 구성하려면 다음을 수행합니다.

    1. 실패 필터 구성:
    2. 인터페이스에서 유니캐스트 RPF를 구성합니다.
    3. 구성을 커밋합니다.

패킷 폐기 기능이 있는 유니캐스트 RPF 느슨한 모드 구성

유니캐스트 RPF 느슨한 모드는 소스 주소가 폐기 인터페이스를 가리키는 패킷을 폐기할 수 있습니다. 유니캐스트 RPF loose 모드와 원격 트리거 Null Route 필터링을 함께 사용하면 알려진 공격 소스에서 오는 패킷을 효율적으로 삭제할 수 있습니다. 에지 라우터의 BGP 정책은 신뢰할 수 없는 소스 주소가 있는 패킷의 다음 홉이 폐기 경로로 설정되도록 합니다. 패킷이 신뢰할 수 없는 소스 주소를 가진 라우터에 도착하면 유니캐스트 RPF는 소스 주소의 경로 조회를 수행합니다. 소스 주소 경로가 폐기되는 다음 홉을 가리키기 때문에 패킷이 삭제되고 카운터가 증가합니다. 이 기능은 IPv4(inet) 및 IPv6(inet6) 주소 체계에서 모두 지원됩니다.

패킷을 폐기할 수 있는 유니캐스트 RPF loose 모드를 구성하려면 계층 수준에서 문을 [edit forwarding-options] 포함합니다rpf-loose-mode-discard family (inet | inet6).

이 예에서는 디바이스 초기화를 제외한 특별한 구성이 필요하지 않습니다.

유니캐스트 RPF 느슨한 모드를 구성하고 인터페이스가 BOOTP 패킷 및 DHCP 패킷을 허용하도록 하는 실패 필터를 적용합니다. 필터는 소스 주소가 이고 0.0.0.0 대상 주소가 인 255.255.255.255모든 패킷을 허용합니다.

패킷을 삭제할 수 있는 유니캐스트 RPF 느슨한 모드를 구성하려면 다음을 수행합니다.

  1. 실패 필터 구성:
  2. 인터페이스에서 유니캐스트 RPF를 구성합니다.
  3. 패킷 삭제 기능을 구성합니다.
  4. 구성을 커밋합니다.

VPN에서 유니캐스트 RPF 구성

인터페이스에서 유니캐스트 RPF를 활성화하고 계층 수준에서 문을 포함하여 interface VPN 인터페이스에서 유니캐스트 RPF를 [edit routing-instances routing-instance-name] 구성할 수 있습니다.

라우팅 인스턴스에서 지정한 인터페이스에서만 유니캐스트 RPF를 구성할 수 있습니다. 이는 다음을 의미합니다.

  • 레이어 3 VPN의 경우, 유니캐스트 RPF는 고객 에지(CE) 라우터 인터페이스에서 지원됩니다.

  • 유니캐스트 RPF는 코어 대면 인터페이스에서 지원되지 않습니다.

  • 가상 라우터 라우팅 인스턴스의 경우, 라우팅 인스턴스에서 지정한 모든 인터페이스에 대해 유니캐스트 RPF가 지원됩니다.

  • 입력 필터가 입력 인터페이스가 구성된 라우팅 인스턴스 이외의 다른 곳으로 패킷을 전달하면 유니캐스트 RPF 검사가 수행되지 않습니다.

레이어 3 VPN 인터페이스에서 유니캐스트 RPF를 구성합니다.

유니캐스트 RPF 구성

유니캐스트 RPF 엄격 모드를 구성하고 인터페이스가 BOOTP 패킷 및 DHCP 패킷을 허용하도록 하는 장애 필터를 적용합니다. 필터는 소스 주소가 이고 0.0.0.0 대상 주소가 인 255.255.255.255모든 패킷을 허용합니다.