Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:廃棄インターフェイスへのパケットの転送

この例では、破棄ルーティングを使用してサービス拒否 (DoS) 攻撃を軽減し、重要なネットワーク リソースを外部からの攻撃から保護し、各顧客が独自の保護を開始できるように顧客に保護サービスを提供し、DoS 試行をログに記録して追跡する方法を示します。

要件

この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

破棄ルーティングでは、ルーターには、短期間に何百万もの要求が同じアドレスに送信されないようにするルールが構成されます。短期間に受信した要求が多すぎる場合、ルーターは要求を転送せずに単に破棄します。要求は、パケットを転送しないルーターに送信されます。問題のあるルートは、廃棄ルートまたはブラックホールルートと呼ばれることもあります。破棄する必要があるルートのタイプは、ピアまたは他の顧客からの顧客への攻撃、顧客からピアまたは他の顧客への攻撃、攻撃コントローラー (攻撃命令を提供するホスト)、および未割り当てのアドレス空間 (bogon または無効な IP アドレス) として識別されます。

攻撃の試みが特定された後、オペレーターは攻撃を軽減するための構成を配置できます。Junos OSで破棄ルーティングを設定する1つの方法として、ルート破棄に使用するネクストホップごとに破棄静的ルートを作成することがあります。破棄スタティックルートは、 discard オプションを使用します。

たとえば、以下のように表示されます。

この例の主な焦点であるもう1つの戦略は、ルーティングポリシーとdiscastインターフェイスを使用することです。この方法では、廃棄インターフェイスには、NULL ルート ルートに割り当てるネクスト ホップが含まれています。廃棄インターフェイスは1つの論理ユニット(ユニット0)のみを持つことができますが、ユニット0には複数のIPアドレスを設定できます。

たとえば、以下のように表示されます。

破棄スタティック ルートを使用する代わりに廃棄インターフェイスを使用する利点は、廃棄インターフェイスを使用すると、トラフィックのカウント、ロギング、サンプリングのためのフィルターを設定およびインターフェイスに割り当てることができることです。この例で、これを示します。

実際にパケットを破棄するには、BGPセッションにルーティングポリシーがアタッチされている必要があります。破棄の対象ルートを見つけるには、ルート フィルター、アクセス リスト、または BGP コミュニティ値を使用できます。

例えば、ルート フィルターの使用例を次に示します。

ルート フィルター

図 1は、サンプルのネットワークを示しています。

図 1: インターフェイスの削除サンプル ネットワークインターフェイスの削除サンプル ネットワーク

この例では、外部 BGP(EBGP)セッションが確立されている 3 台のルーターが含まれています。

デバイスR1は攻撃デバイスを表しています。デバイスR3は、攻撃されているデバイスに最も近いルーターを表します。デバイスR2は、パケットを破棄インターフェイスに転送することで攻撃を軽減します。

この例では、discard インターフェイスに適用されたアウトバウンド フィルターを示します。

注:

単一の NULL ルート フィルターを使用する場合の問題は、可視性です。すべての廃棄パケットは、同じカウンタをインクリメントします。破棄されるパケットのカテゴリーを確認するには、宛先クラス使用率(DCU)を使用し、ユーザー定義クラスを各ヌルルートコミュニティに関連付けます。次に、ファイアウォールフィルターでDCUクラスを参照します。関連する例については、「 例:送信元プレフィックスと宛先プレフィックスの転送クラスへのグループ化 」と「 例:宛先クラスに基づくレート制限フィルターの設定」を参照してください。

ルート フィルターやアクセス リストを使用する場合と比較して、コミュニティ値を使用することは、管理上の難易度が最も低く、最もスケーラブルなアプローチです。したがって、これはこの例で示すアプローチです。

デフォルトでは、ネクストホップは外部BGP(EBGP)ピアアドレスと等しくなければなりません。ヌルルートサービスのネクストホップを変更するには、EBGPセッションでマルチホップ機能を設定する必要があります。

CLIクイック構成は、図 1でのすべてのデバイスの設定を示しています。

セクション#configuration756__policy-discard-stは、デバイスR2の手順を説明します。

設定

手順

CLIクイック構成

この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。

デバイスR1

デバイスR2

デバイスR3

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。手順については、 Junos OS CLIユーザーガイド設定モードでのCLIエディターの使用を参照してください。

デバイスR2 を設定するには:

  1. ルーター インターフェイスを作成します。

  2. すべてのパケットに一致し、パケットをカウントしてログに記録するファイアウォールフィルターを設定します。

  3. 破棄インターフェイスを作成し、出力ファイアウォールフィルターを適用します。

    入力ファイアウォール フィルターは、このコンテキストでは影響を与えません。

  4. 破棄インターフェイスで指定された宛先アドレスにネクストホップを送信するスタティックルートを設定します。

  5. BGP ピアリングを設定します。

  6. ルーティングポリシーを設定します。

  7. ルーティングポリシーを適用します。

  8. 自律システム(AS)番号を設定します。

結果

設定モードから、 show interfacesshow protocols show policy-optionsshow routing-options、および show firewall コマンドを発行して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

ファイアウォール カウンターのクリア

目的

カウンターをクリアして、既知のゼロ (0) 状態から開始していることを確認します。

アクション

  1. デバイスR2から、 clear firewall コマンドを実行します。

  2. デバイスR2から、 show firewall コマンドを実行します。

192.0.2.101アドレスにpingを実行します

目的

宛先アドレスにパケットを送信します。

アクション

デバイスR1から、 ping コマンドを実行します。

意味

予想どおり、ping 要求は失敗し、応答は送信されません。パケットは破棄されます。

出力フィルタの確認

目的

デバイスR2のファイアウォールフィルターが正しく機能していることを確認します。

アクション

デバイスR2から、 show firewall filter log-discard コマンドを入力します。

意味

予想どおり、カウンターはインクリメントされています。

注:

pingパケットは、さらに20バイトのIPオーバーヘッドと8バイトのICMPヘッダーを伝送します。

コミュニティ属性の確認

目的

ルートがコミュニティ属性でタグ付けされていることを確認します。

アクション

デバイスR1から、デバイスR2のネイバーアドレス192.0.2.101を使用して、 show route extensive コマンドを入力します。

意味

予想通り、デバイスR2がデバイスR1に192.0.2.101ルートをアドバタイズすると、デバイスR2は100:5555コミュニティタグを追加します。

関連項目