Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: configuración de RPF de unidifusión (en un conmutador)

En este ejemplo se muestra cómo ayudar a defender las interfaces de entrada contra ataques de denegación de servicio (DoS) y denegación de servicio distribuido (DDoS) configurando RPF de unidifusión para filtrar el tráfico entrante.

Requisitos

En este ejemplo se utilizan dos conmutadores EX8200. En los conmutadores EX3200 y EX4200, no puede configurar interfaces individuales para RPF de unidifusión; el conmutador aplica RPF de unidifusión globalmente a todas las interfaces del conmutador.

  • Junos OS versión 10.1 o posterior para conmutadores serie EX

  • Dos conmutadores EX8200

Antes de comenzar, asegúrese de tener:

  • Conectó los dos conmutadores mediante interfaces enrutadas simétricamente.

  • Se ha asegurado de que la interfaz en la que configurará el RPF de unidifusión esté enrutada simétricamente.

  • En un conmutador EX8200, EX6200, serie QFX u OCX, asegúrese de que la interfaz del conmutador seleccionada esté enrutada simétricamente antes de habilitar el RPF de unidifusión. Una interfaz enrutada simétricamente es una interfaz que utiliza la misma ruta en ambas direcciones entre el origen y el destino. No habilite RPF de unidifusión en interfaces enrutadas asimétricamente. Una interfaz enrutada asimétricamente utiliza diferentes rutas para enviar y recibir paquetes entre el origen y el destino.

  • En un conmutador EX3200, EX4200 o EX4300, asegúrese de que todas las interfaces de conmutador estén enrutadas simétricamente antes de habilitar el RPF de unidifusión en una interfaz. Cuando se habilita RPF de unidifusión en cualquier interfaz, se habilita globalmente en todas las interfaces de conmutador. No habilite RPF de unidifusión en interfaces enrutadas asimétricamente. Una interfaz enrutada asimétricamente utiliza diferentes rutas para enviar y recibir paquetes entre el origen y el destino.

Descripción general y topología

En este ejemplo, el administrador del sistema de una red empresarial desea proteger el conmutador A contra posibles ataques DoS y DDoS desde Internet. El administrador configura la RPF de unidifusión en la interfaz xe-0/0/4 del conmutador A. Los paquetes que llegan a la interfaz xe-0/0/4 en el conmutador A desde el origen del conmutador B también utilizan la interfaz entrante xe-0/0/4 como la mejor ruta de retorno para enviar paquetes de vuelta al origen.

La topología de este ejemplo de configuración utiliza dos conmutadores EX8200, el conmutador A y el conmutador  B, conectados por interfaces enrutadas simétricamente:

  • El conmutador A se encuentra en el borde de una red empresarial. La interfaz xe-0/0/4 del conmutador A se conecta a la interfaz xe-0 / 0/5 del conmutador B.

  • El conmutador B se encuentra en el borde de la red del proveedor de servicios que conecta la red de la empresa a Internet.

Topología

Configuración

Para habilitar RPF de unidifusión, realice estas tareas:

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente el FPR de unidifusión en el conmutador A, copie el siguiente comando y péguelo en la ventana terminal del conmutador :

Procedimiento paso a paso

Para configurar RPF de unidifusión en el conmutador A:

  1. Activar RPF de unidifusión en la interfaz xe-0/0/4:

Resultados

Consulta los resultados:

Deshabilitar RPF de unidifusión

Procedimiento

Procedimiento paso a paso

Verificación

El reenvío de ruta inversa (RPF) de unidifusión puede ayudar a proteger su LAN de ataques de denegación de servicio (DoS) y denegación de servicio distribuido (DDoS) en interfaces que no son de confianza. El RPF de unidifusión filtra el tráfico con direcciones de origen que no utilizan la interfaz entrante como la mejor ruta de retorno al origen. Si la configuración de red cambia para que una interfaz que tiene habilitado RPF de unidifusión se convierta en una interfaz de confianza o se enrute asimétricamente (la interfaz que recibe un paquete no es la mejor ruta de retorno al origen del paquete), desactive RPF de unidifusión.

Para deshabilitar RPF de unidifusión en un conmutador EX3200, EX4200 o EX4300, debe eliminarlo de todas las interfaces en las que lo haya configurado explícitamente. Si no deshabilita el RPF de unidifusión en todas las interfaces en las que lo habilitó explícitamente, permanecerá habilitado implícitamente en todas las interfaces. Si intenta eliminar RPF de unidifusión de una interfaz en la que no estaba habilitado explícitamente, aparecerá el warning: statement not found mensaje. Si no deshabilita el FPR de unidifusión en todas las interfaces en las que lo habilitó explícitamente, el FPR de unidifusión permanecerá habilitado implícitamente en todas las interfaces del conmutador EX3200, EX4200 o EX4300.

En los conmutadores serie EX8200, EX6200, QFX y OCX, el conmutador no aplica RPF de unidifusión a una interfaz a menos que habilite explícitamente esa interfaz para RPF de unidifusión.

Para deshabilitar el FPR de unidifusión, elimine su configuración de la interfaz:

[editar interfaces]user@switch# delete xe-0/0/4 unit 0 family inet rpf-check

Verificar que el RPF de unidifusión esté activado en el conmutador

Propósito

Compruebe que la RPF de unidifusión esté habilitada y funcionando en la interfaz.

Acción

Utilice uno de los show interfaces interface-name comandos con las opciones extensa o detallada para comprobar que el RPF de unidifusión esté activado y funcionando en el conmutador. En el ejemplo siguiente se muestra el resultado del show interfaces ge- extensive comando.

Significado

El show interfaces xe-0/0/4 extensive comando (y el show interfaces xe-0/0/4 detail comando) muestra información detallada sobre la interfaz. El campo de salida Banderas: cerca de la parte inferior de la pantalla informa del estado del RPF de unidifusión. Si no se ha habilitado el RPF de unidifusión, no se muestra el indicador uRPF .

En los conmutadores EX3200 y EX4200, el RPF de unidifusión se habilita implícitamente en todas las interfaces de conmutador, incluidas las interfaces Ethernet agregadas (también denominadas grupos de agregación de vínculos o LAG) y las interfaces VLAN enrutadas (RVI) cuando se habilita el RPF de unidifusión en una sola interfaz. Sin embargo, el estado del RPF de unidifusión sólo se muestra como habilitado en interfaces para las que haya configurado explícitamente el RPF de unidifusión. Por lo tanto, el indicador uRPF no se muestra en interfaces para las que no haya configurado explícitamente RPF de unidifusión, aunque el RPF de unidifusión esté habilitado implícitamente en todas las interfaces de los conmutadores EX3200 y EX4200.

Resolución de problemas de RPF de unidifusión

Los paquetes legítimos se descartan

Problema

El conmutador filtra paquetes válidos de fuentes legítimas, lo que da como resultado que el conmutador descarte paquetes que deberían reenviarse.

Solución

La interfaz o interfaces en las que se descartan los paquetes legítimos son interfaces enrutadas asimétricamente. Una interfaz enrutada asimétricamente utiliza diferentes rutas para enviar y recibir paquetes entre el origen y el destino, por lo que la interfaz que recibe un paquete no es la misma interfaz que utiliza el conmutador para responder al origen del paquete.

El RPF de unidifusión solo funciona correctamente en interfaces enrutadas simétricamente. Una interfaz enrutada simétricamente es una interfaz que utiliza la misma ruta en ambas direcciones entre el origen y el destino. El RPF de unidifusión filtra los paquetes comprobando en la tabla de reenvío la mejor ruta de retorno al origen de un paquete entrante. Si la mejor ruta de retorno utiliza la misma interfaz que la interfaz que recibió el paquete, el conmutador reenvía el paquete. Si la mejor ruta de retorno utiliza una interfaz diferente a la que recibió el paquete, el conmutador descarta el paquete.

Nota:

En los conmutadores EX3200, EX4200 y EX4300, el RPF de unidifusión solo funciona correctamente si todas las interfaces de conmutador, incluidas las interfaces Ethernet agregadas (también denominadas grupos de agregación de vínculos o LAG), las interfaces de enrutamiento y puente integrados (IRB) y las interfaces VLAN enrutadas (RVI), se enrutan simétricamente, ya que el FPR de unidifusión está habilitado globalmente en todas las interfaces de conmutador.