Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

예: 유니캐스트 RPF 구성(라우터에서)

이 예는 수신 트래픽을 필터링하기 위해 고객 에지 인터페이스에서 유니캐스트 RPF를 구성하여 서비스 거부(DoS) 및 분산 서비스 거부(DDoS) 공격으로부터 수신 인터페이스를 방어하는 방법을 보여줍니다.

요구 사항

디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.

개요

이 예에서 디바이스 A는 OSPF를 사용하여 디바이스 D에 연결되는 링크의 접두사를 광고합니다. 디바이스 B에는 유니캐스트 RPF가 구성되어 있습니다. OSPF는 디바이스 B와 디바이스 C 간의 링크 및 디바이스 A와 디바이스 C 간의 링크에서 활성화되지만, 디바이스 A와 디바이스 B 간의 링크에서는 활성화되지 않습니다. 따라서 디바이스 B는 디바이스 C를 통해 디바이스 D에 대한 경로를 학습합니다.

DHCP 또는 BOOTP가 사용되는 환경에서 수신 필터링을 사용하는 경우 소스 주소가 0.0.0.0이고 대상 주소가 255.255.255.255인 패킷이 적절한 경우 라우터의 릴레이 에이전트에 도달할 수 있는지 확인해야 합니다.

이 예제에는 실패 필터도 포함되어 있습니다. 패킷이 유니캐스트 RPF 검사에 실패하면 실패 필터를 평가하여 패킷을 수락해야 하는지 여부를 결정합니다. 이 예제의 실패 필터를 사용하면 디바이스 B의 인터페이스가 DHCP(Dynamic Host Configuration Protocol) 패킷을 수락할 수 있습니다. 필터는 원본 주소가 0.0.0.0이고 대상 주소가 255.255.255.255인 모든 패킷을 받아들입니다.

위상수학

그림 1 은 샘플 네트워크를 보여줍니다.

그림 1: 유니캐스트 RPF 샘플 Topoolgy Unicast RPF Sample Topoolgy

구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경한 다음, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣습니다.

디바이스 A

디바이스 B

디바이스 C

디바이스 D

디바이스 E

디바이스 A 구성

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 정보는 구성 모드에서 CLI 편집기 사용의 내용을 참조하십시오.

디바이스 A 구성:

  1. 인터페이스를 구성합니다.

  2. OSPF를 구성합니다.

  3. 라우팅 정책을 구성합니다.

  4. 디바이스 A 구성을 완료하면 구성을 커밋합니다.

디바이스 B 구성

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 정보는 구성 모드에서 CLI 편집기 사용의 내용을 참조하십시오.

디바이스 B 구성:

  1. 인터페이스를 구성합니다.

  2. OSPF를 구성합니다.

  3. 유니캐스트 RPF를 구성하고 옵션인 실패 필터를 적용합니다.

  4. (선택 사항) 패킷이 RPF 검사에 실패할 경우 평가되는 실패 필터를 구성합니다.

  5. (선택 사항) RPF 검사에서 고려할 활성 경로만 구성합니다.

    이것이 기본 동작입니다.

  6. 디바이스 B 구성을 완료하면 해당 구성을 커밋합니다.

결과

, show interfaces, show protocols, show routing-options, 및 show policy-options 명령을 show firewall실행하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스 A

디바이스 B

CLI 빠른 구성에 표시된 대로 디바이스 C, 디바이스 D 및 디바이스 E에 구성을 입력합니다.

확인

구성이 올바르게 작동하고 있는지 확인합니다.

유니캐스트 RPF가 활성화되었는지 확인

목적

디바이스 B의 인터페이스에 유니캐스트 RPF가 활성화되어 있는지 확인합니다.

행동

의미

uRPF 플래그는 이 인터페이스에서 유니캐스트 RPF가 활성화되었음을 확인합니다.

소스 주소가 차단되었는지 확인

목적

ping 명령을 사용하여 디바이스 B가 예기치 않은 소스 주소의 트래픽을 차단하도록 합니다.

행동

디바이스 A에서 10.0.0.17을 소스 주소로 사용하여 디바이스 B의 인터페이스를 ping합니다.

의미

예상대로 ping 작업이 실패합니다.

소스 주소가 차단 해제되었는지 확인

목적

ping 명령을 사용하여 RPF 검사가 비활성화될 때 디바이스 B가 트래픽을 차단하지 않도록 합니다.

행동

  1. 인터페이스 중 하나에서 RPF 검사를 비활성화합니다.

  2. ping 작업을 다시 실행합니다.

의미

예상대로 ping 작업이 성공합니다.