Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configuración de RPF de unidifusión (en un enrutador)

En este ejemplo, se muestra cómo ayudar a defender las interfaces de entrada contra ataques de denegación de servicio (DoS) y denegación de servicio distribuido (DDoS) mediante la configuración de RPF de unidifusión en una interfaz de borde del cliente para filtrar el tráfico entrante.

Requisitos

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo.

Visión general

En este ejemplo, el dispositivo A está usando OSPF para anunciar un prefijo para el vínculo que se conecta al dispositivo D. El dispositivo B tiene configurado el RPF de unidifusión. OSPF se habilita en los vínculos entre el dispositivo B y el dispositivo C y los vínculos entre el dispositivo A y el dispositivo C, pero no en los vínculos entre el dispositivo A y el dispositivo B. Por lo tanto, el dispositivo B aprende acerca de la ruta al dispositivo D a través del dispositivo C.

Si el filtrado de entrada se utiliza en un entorno en el que se utiliza DHCP o BOOTP, debe asegurarse de que los paquetes con una dirección de origen de 0.0.0.0 y una dirección de destino de 255.255.255.255 puedan llegar al agente de retransmisión en enrutadores cuando corresponda.

En este ejemplo también se incluye un filtro de errores. Cuando un paquete falla la comprobación de RPF de unidifusión, se evalúa el filtro de error para determinar si el paquete se debe aceptar de todos modos. El filtro de error en este ejemplo permite que las interfaces del dispositivo B acepten paquetes de protocolo de configuración dinámica de host (DHCP). El filtro acepta todos los paquetes con una dirección de origen de 0.0.0.0 y una dirección de destino de 255.255.255.255.

Topología

La Figura 1 muestra la red de ejemplo.

Figura 1: Topoolgy de muestra de RPF de unidifusión Unicast RPF Sample Topoolgy

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía.

Dispositivo A

Dispositivo B

Dispositivo C

Dispositivo D

Dispositivo E

Configuración del dispositivo A

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración.

Para configurar el dispositivo A:

  1. Configure las interfaces.

  2. Configure OSPF.

  3. Configure la política de enrutamiento.

  4. Si ha terminado de configurar el dispositivo A, confirme la configuración.

Configuración del dispositivo B

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración.

Para configurar el dispositivo B:

  1. Configure las interfaces.

  2. Configure OSPF.

  3. Configure RPF de unidifusión y aplique el filtro de error opcional.

  4. (Opcional) Configure el filtro de error que se evalúa si un paquete falla la comprobación RPF.

  5. (Opcional) Configure solo rutas activas que se considerarán en la comprobación RPF.

    Este es el comportamiento predeterminado.

  6. Si ha terminado de configurar el dispositivo B, confirme la configuración.

Resultados

Confirme su configuración mediante la emisión de los show firewallcomandos , show interfaces, show protocols, show routing-optionsy show policy-options . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Dispositivo A

Dispositivo B

Ingrese las configuraciones en los dispositivos C, D y E, como se muestra en de la configuración rápida de CLI.

Verificación

Confirme que la configuración funciona correctamente.

Confirme que el RPF de unidifusión está habilitado

Propósito

Asegúrese de que las interfaces del dispositivo B tengan habilitado el RPF de unidifusión.

Acción

Significado

El indicador uRPF confirma que el RPF de unidifusión está habilitado en esta interfaz.

Confirme que las direcciones de origen están bloqueadas

Propósito

Utilice el comando para asegurarse de que el ping dispositivo B bloquee el tráfico de direcciones de origen inesperadas.

Acción

Desde el dispositivo A, haga ping a las interfaces del dispositivo B, utilizando 10.0.0.17 como dirección de origen.

Significado

Como se esperaba, se produce un error en la operación de ping.

Confirme que las direcciones de origen están desbloqueadas

Propósito

Utilice el ping comando para asegurarse de que el dispositivo B no bloquee el tráfico cuando la comprobación RPF esté desactivada.

Acción

  1. Desactive la comprobación RPF en una de las interfaces.

  2. Vuelva a ejecutar la operación ping.

Significado

Como se esperaba, la operación de ping se realiza correctamente.