Ejemplo: configuración de RPF de unidifusión (en un conmutador)
En este ejemplo se muestra cómo ayudar a defender las interfaces de entrada contra ataques de denegación de servicio (DoS) y denegación de servicio distribuido (DDoS) mediante la configuración de RPF de unidifusión (uRPF) para filtrar el tráfico entrante.
Requisitos
En este ejemplo se utilizan dos modificadores EX, denominados en este tema conmutadores A y B. Algunos modelos de conmutadores EX permiten configurar uRPF en interfaces individuales. Mientras que en ciertos modelos de conmutador EX no se pueden configurar interfaces individuales para uRPF, el conmutador aplica uRPF globalmente a todas las interfaces del conmutador.
-
Cualquier versión de Junos OS para conmutadores EX, pero no anterior a Junos OS versión 10.1
-
Dos conmutadores EX que admiten la configuración uRPF en interfaces individuales.
Antes de comenzar, asegúrese de tener:
-
Conectó los dos conmutadores mediante interfaces enrutadas simétricamente.
-
Se ha asegurado de que la interfaz en la que configurará el RPF de unidifusión esté enrutada simétricamente. Una interfaz enrutada simétricamente es una interfaz que utiliza la misma ruta en ambas direcciones entre el origen y el destino. No habilite RPF de unidifusión en interfaces enrutadas asimétricamente. Una interfaz enrutada asimétricamente utiliza diferentes rutas para enviar y recibir paquetes entre el origen y el destino.
-
En este ejemplo, si utiliza conmutadores EX que aplican uRPF globalmente a todas las interfaces, asegúrese de que todas las interfaces de conmutador estén enrutadas simétricamente antes de habilitar el RPF de unidifusión en una interfaz. Cuando se habilita RPF de unidifusión en cualquier interfaz, se habilita globalmente en todas las interfaces de conmutador. No habilite RPF de unidifusión en interfaces enrutadas asimétricamente. Una interfaz enrutada asimétricamente utiliza diferentes rutas para enviar y recibir paquetes entre el origen y el destino.
Descripción general y topología
En este ejemplo, el administrador del sistema de una red empresarial desea proteger el conmutador A contra posibles ataques DoS y DDoS desde Internet. El administrador configura la RPF de unidifusión en la interfaz xe-0/0/4 del conmutador A. Los paquetes que llegan a la interfaz xe-0/0/4 en el conmutador A desde el origen del conmutador B también utilizan la interfaz entrante xe-0/0/4 como la mejor ruta de retorno para enviar paquetes de vuelta al origen. En esta topología, el conmutador A y el conmutador B están conectados por interfaces enrutadas simétricamente.
-
El conmutador A se encuentra en el borde de una red empresarial. La interfaz xe-0/0/4 del conmutador A se conecta a la interfaz xe-0/0/5 del conmutador B.
-
El conmutador B se encuentra en el borde de la red del proveedor de servicios que conecta la red de la empresa a Internet.
Topología
Configuración
Para habilitar RPF de unidifusión, realice estas tareas:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente el FPR de unidifusión en el conmutador A, copie el siguiente comando y péguelo en la ventana terminal del conmutador:
[edit interfaces] set xe-0/0/4 unit 0 family inet rpf-check
Procedimiento paso a paso
Para configurar RPF de unidifusión en el conmutador A:
-
Activar RPF de unidifusión en la interfaz xe-0/0/4:
[edit interfaces] user@switch# set xe-0/0/4 unit 0 family inet rpf-check
Resultados
Consulta los resultados:
[edit interfaces]
user@switch# show
xe-0/0/4 {
unit 0 {
family inet {
rpf-check;
}
}
}
Deshabilitar RPF de unidifusión
Procedimiento
Procedimiento paso a paso
Verificación
El reenvío de ruta inversa (RPF) de unidifusión puede ayudar a proteger su LAN de ataques de denegación de servicio (DoS) y denegación de servicio distribuido (DDoS) en interfaces que no son de confianza. El RPF de unidifusión filtra el tráfico con direcciones de origen que no utilizan la interfaz entrante como la mejor ruta de retorno al origen. Si la configuración de red cambia para que una interfaz que tiene habilitado RPF de unidifusión se convierta en una interfaz de confianza o se enrute asimétricamente (la interfaz que recibe un paquete no es la mejor ruta de retorno al origen del paquete), desactive RPF de unidifusión.
Para deshabilitar uRPF en conmutadores EX que aplican uRPF globalmente a todas las interfaces, debe eliminarlo de todas las interfaces en las que lo haya configurado explícitamente. Si no deshabilita el RPF de unidifusión en todas las interfaces en las que lo habilitó explícitamente, permanecerá habilitado implícitamente en todas las interfaces. Si intenta eliminar RPF de unidifusión de una interfaz en la que no estaba habilitado explícitamente, aparecerá el warning: statement not found mensaje. Si no deshabilita el FPR de unidifusión en todas las interfaces en las que lo habilitó explícitamente, el FPR de unidifusión permanecerá habilitado implícitamente en todas las interfaces.
En los modelos de conmutador EX que permiten configurar uRPF en interfaces individuales, el conmutador no aplica RPF de unidifusión a una interfaz a menos que habilite explícitamente esa interfaz para RPF de unidifusión.
Para deshabilitar el FPR de unidifusión, elimine su configuración de la interfaz:
[editar interfaces]user@switch# delete xe-0/0/4 unit 0 family inet rpf-check
Verificar que el RPF de unidifusión esté activado en el conmutador
Propósito
Compruebe que la RPF de unidifusión esté habilitada y funcionando en la interfaz.
Acción
Utilice uno de los show interfaces interface-name comandos con las opciones extensa o detallada para comprobar que el RPF de unidifusión esté activado y funcionando en el conmutador. En el ejemplo siguiente se muestra el resultado del show interfaces ge- extensive comando.
user@switch> show interfaces xe-0/0/4.0 extensive
Physical interface: xe-0/0/4, Enabled, Physical link is Up
Interface index: 147, SNMP ifIndex: 659
Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Speed: 10Gbps, BPDU Error: None, Loop Detect PDU Error: None, Ethernet-Switching Error: None,
MAC-REWRITE Error: None, Loopback: None, Source filtering: Disabled, Flow control: Enabled, Speed Configuration: Auto
Device flags : Present Running
Interface flags: SNMP-Traps Internal: 0x4000
Link flags : None
CoS queues : 8 supported, 8 maximum usable queues
Current address: 84:c1:c1:7b:a8:04, Hardware address: 84:c1:c1:7b:a8:04
Last flapped : 2023-04-04 10:34:13 PDT (00:01:29 ago)
Input rate : 0 bps (0 pps)
Output rate : 0 bps (0 pps)
Active alarms : None
Active defects : None
PCS statistics Seconds
Bit errors 2
Errored blocks 2
Link Degrade :
Link Monitoring : Disable
Interface transmit statistics: Disabled
Logical interface xe-0/0/4.0 (Index 335) (SNMP ifIndex 696)
Flags: Up SNMP-Traps 0x4004000 Encapsulation: ENET2
Input packets : 0
Output packets: 1
Protocol inet, MTU: 1500
Max nh cache: 100000, New hold nh limit: 100000, Curr nh cnt: 0, Curr new hold cnt: 0, NH drop cnt: 0
Flags: Sendbcast-pkt-to-re, uRPF
Addresses, Flags: Is-Preferred Is-Primary
Destination: 10.0.1/24, Local: 10.0.1.1, Broadcast: 10.0.1.255
Protocol multiservice, MTU: Unlimited
Flags: Is-Primary
Significado
El show interfaces xe-0/0/4 extensive comando (y el show interfaces xe-0/0/4 detail comando) muestra información detallada sobre la interfaz. El campo de salida Banderas: cerca de la parte inferior de la pantalla informa del estado del RPF de unidifusión. Si no se ha habilitado el RPF de unidifusión, no se muestra el indicador uRPF .
En los conmutadores EX que aplican uRPF globalmente a todas las interfaces, uRPF se habilita implícitamente en todas las interfaces de conmutador, incluidas las interfaces Ethernet agregadas (también denominadas grupos de agregación de vínculos o LAG) y las interfaces VLAN enrutadas (RVI) cuando se habilita uRPF en una sola interfaz. Sin embargo, el estado uRPF sólo se muestra como habilitado en interfaces para las que haya configurado explícitamente uRPF. Por lo tanto, el indicador uRPF no se muestra en interfaces para las que no ha configurado explícitamente uRPF, aunque uRPF esté habilitado implícitamente en todas las interfaces.
Resolución de problemas de RPF de unidifusión
Los paquetes legítimos se descartan
Problema
El conmutador filtra paquetes válidos de fuentes legítimas, lo que da como resultado que el conmutador descarte paquetes que deberían reenviarse.
Solución
La interfaz o interfaces en las que se descartan los paquetes legítimos son interfaces enrutadas asimétricamente. Una interfaz enrutada asimétricamente utiliza diferentes rutas para enviar y recibir paquetes entre el origen y el destino, por lo que la interfaz que recibe un paquete no es la misma interfaz que utiliza el conmutador para responder al origen del paquete.
El RPF de unidifusión solo funciona correctamente en interfaces enrutadas simétricamente. Una interfaz enrutada simétricamente es una interfaz que utiliza la misma ruta en ambas direcciones entre el origen y el destino. El RPF de unidifusión filtra los paquetes comprobando en la tabla de reenvío la mejor ruta de retorno al origen de un paquete entrante. Si la mejor ruta de retorno utiliza la misma interfaz que la interfaz que recibió el paquete, el conmutador reenvía el paquete. Si la mejor ruta de retorno utiliza una interfaz diferente a la que recibió el paquete, el conmutador descarta el paquete.
En los conmutadores EX que aplican uRPF globalmente a todas las interfaces, uRPF solo funciona correctamente si todas las interfaces de conmutador, incluidas las interfaces Ethernet agregadas (también denominadas grupos de agregación de vínculos o LAG), las interfaces de enrutamiento y puente integrados (IRB) y las interfaces VLAN enrutadas (RVI), se enrutan simétricamente, ya que el FPR de unidifusión está habilitado globalmente en todas las interfaces de conmutador.