IP : IP バージョン 6(IPv6)

インターフェイス Null0 を介した IPv6 ブラック ホール化の設定

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、インターフェイス Null0 を使用する IPv6 の Black-Holing の設定方法を説明します。 ブラック ホール ルーティングはサービス拒絶 (DoS) 攻撃によって、動的にデッド インターフェイスへトラフィックをルーティングすることによってまたはネットワークの攻撃の影響を軽減する調査のための情報を収集するように設計されているホストに生成される不正 なソースからのトラフィックまたはトラフィックのような方式 管理者が望ましくないトラフィックをブロックすることを許可するです。

前提条件

要件

この設定を行う前に、以下の要件を満たしていることを確認してください。

  • BGP ルーティング プロトコルとその動作

  • IPv6 アドレス割り当て方式

使用するコンポーネント

この文書に記載されている情報は Cisco IOS が付いている Cisco 7200 シリーズ ルータに基づいていますか。 ソフトウェア リリース 15.0(1)。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用します。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

http://www.cisco.com/c/dam/en/us/support/docs/ip/ip-version-6-ipv6/113635-configure-ipv6-black-holing-01.gif

このネットワークでは、ルータおよび R1 および R2 は eBGP 関係を互いに形成します。 ルータは内部で交信を行うために OSPFv3 を使用します。 ルータ R1 では、ブラックホールに陥ることは Null0 の設定によって送信元アドレス 20:20::20/128 のどのパケットでも Null0 に送信されるように実現します。 つまり Null0 にルーティングされるすべてのトラフィックは廃棄されます。

設定例

このドキュメントでは、次の設定を使用します。

ルータ R1
!
hostname R1
!
no ip domain lookup
ip cef
ipv6 unicast-routing
ipv6 cef
!
!
interface Loopback1
 no ip address
 ipv6 address AA::1/128
 ipv6 enable
 ipv6 ospf 10 area 0
!
interface Loopback10
 no ip address
 ipv6 address AA:10::10/128
 ipv6 enable
!
interface FastEthernet1/0
 no ip address
 speed auto
 duplex auto
 ipv6 address 2012:AA::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
!
router bgp 6501
 bgp router-id 1.1.1.1
 bgp log-neighbor-changes
 no bgp default ipv4-unicast
 neighbor BB::1 remote-as 6502
 neighbor BB::1 ebgp-multihop 2
 neighbor BB::1 update-source Loopback1
 !
 address-family ipv4
 exit-address-family
 !
 address-family ipv6
  redistribute static
  network AA:10::10/128
  neighbor BB::1 activate
 exit-address-family
!
ipv6 route 20:20::20/128 Null0
ipv6 router ospf 10
 router-id 1.1.1.1
!
end

ルータ R2
!
hostname R2
!
ipv6 unicast-routing
ipv6 cef
!
!
interface Loopback1
 no ip address
 ipv6 address BB::1/128
 ipv6 enable
 ipv6 ospf 10 area 0
!
interface Loopback20
 no ip address
 ipv6 address 20:20::20/128
 ipv6 enable
!
interface FastEthernet1/0
 no ip address
 speed auto
 duplex auto
 ipv6 address 2012:AA::2/64
 ipv6 enable
 ipv6 ospf 10 area 0
!
router bgp 6502
 bgp router-id 2.2.2.2
 bgp log-neighbor-changes
 no bgp default ipv4-unicast
 neighbor AA::1 remote-as 6501
 neighbor AA::1 ebgp-multihop 2
 neighbor AA::1 update-source Loopback1
 !
 address-family ipv4
 exit-address-family
 !
 address-family ipv6
  network 20:20::20/128
  neighbor AA::1 activate
 exit-address-family
!
ipv6 router ospf 10
 router-id 2.2.2.2
!
end

確認

ここでは、設定が正常に動作していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

eBGP 設定を確認するために、ルータ R1 で show ipv6 route bgp および show bgp ipv6 ユニキャスト コマンドを使用して下さい。

ルータ R1
show ipv6 route
R1#show ipv6 route bgp
IPv6 Routing Table - default - 7 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
       B - BGP, HA - Home Agent, MR - Mobile Router, R - RIP
       I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary
       D - EIGRP, EX - EIGRP external, ND - Neighbor Discovery
       O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
       ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2

!---  The router R2 advertises the network 20:20::20/128, 
!--- but still the routing table is empty.

ある何がチェックするために BGP によって受け取ったルーティングは show bgp ipv6 ユニキャスト コマンドを使用します。
R1#show bgp ipv6 unicast
BGP table version is 3, local router ID is 1.1.1.1
Status codes: s suppressed, d damped, h history, * valid, > best, I - internal,
              r RIB-failure, S Stale
Origin codes: I - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*  20:20::20/128    BB::1                    0             0 6502 I
*>                  ::                       0         32768 ?
*> AA:10::10/128    ::                       0         32768 I

!--- Note that the route 20:20::20/128 is received,
!--- but it is not installed in the routing table.

ルータ R2 からルータ R1 を ping することを試みるためにループバックインターフェイス 20 としてソースを使用して下さい。

R2#ping ipv6 AA:10::10 source lo20

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to AA:10::10, timeout is 2 seconds:
Packet sent with a source address of 20:20::20
.....
Success rate is 0 percent (0/5)

!---  The reason is the ICMP packet reaches 
!--- router R1 with source address as 
!--- 20:20::20/128 and therefore gets dropped.

ソースとしてループバックインターフェイスの使用なしでルータ R2 からの PING ルータ R1 を試みて下さい。

R2#ping AA:10::10

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to AA:10::10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/61/180 ms

!--- In this case, the ICMP packet has
!--- the source address as BB::1.

IPv6 ルート 20:20::20/128 Null0 文がルータ R1 から取除かれる場合、ルータ R2 によってアドバタイズされるルート 20:20::20/128 はルータ R1 のルーティング テーブルでインストールされます。 次に、出力例を示します。

ルータ R1 内
R1(config)#no ipv6 route 20:20::20/128 Null0



!--- The Null0 command in removed from router R1.


R1#show bgp ipv6 unicast
BGP table version is 7, local router ID is 1.1.1.1
Status codes: s suppressed, d damped, h history, * valid, > best, I - internal,
              r RIB-failure, S Stale
Origin codes: I - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*> 20:20::20/128    ::                       0         32768 ?
*                   BB::1                    0             0 6502 I
*> AA:10::10/128    ::                       0         32768 I

!--- After the removal of the statement, 
!--- the route 20:20::20/128 is shown as best route.


R1#show ipv6 route bgp
IPv6 Routing Table - default - 7 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
       B - BGP, HA - Home Agent, MR - Mobile Router, R - RIP
       I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary
       D - EIGRP, EX - EIGRP external, ND - Neighbor Discovery
       O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
       ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
B   20:20::20/128 [20/0]
    via BB::1


!--- You can see that the route is displayed in routing table.

この場合ループバックインターフェイス Lo 20 としてソースのルータ R2 からルータ R1 を ping することを試みて下さい。

R2#ping ipv6  AA:10::10 source lo20

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to AA:10::10, timeout is 2 seconds:
Packet sent with a source address of 20:20::20
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/54/140 ms

!--- You can see that the ping is successful.

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 113635