ルータ : Cisco ASR 9000 シリーズ アグリゲーション サービス ルータ

ASR9000 RPL ネクスト・ホップ廃棄 設定例のソースベース リモートで 引き起こされた ブラックホール フィルタリング

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に集約 サービス ルータ(ASR)のリモートで 引き起こされた ブラックホール(RTBH)を 9000 設定する方法を記述されています。

Herve Bruyere、リュック De Ghein、および Jayant Kulkarni によって貢献される、Cisco TAC エンジニア。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このこの文書に記載されている情報は Cisco IOS XR ® および ASR 9000 に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

攻撃の原点を(たとえば、NetFlowデータの分析によって)知っている時、アクセス コントロール リスト(ACL)のような包含 メカニズムを、適用できます。 攻撃 トラフィックが検出する、分類されるとき、必要なルータに適切な ACL を作成し、展開できます。 この手動プロセスが時間のかかり、複雑である場合もあるので多くの個人使用 Border Gateway Protocol (BGP) ドロップする 情報をすべてのルータに迅速かつ効率的に伝搬するため。 この手法は、RTBH、0インターフェイスに対象の IP アドレスのネクスト ホップを設定 します。 対象に向かうトラフィックはネットワークに入力で廃棄されます。

もう一つのオプションは特定ソースからトラフィックを廃棄することです。 この方式はソースが「無効である場合以前に記述されているドロップするに類似したでが、パケットを廃棄する Unicast Reverse Path Forwarding (URPF)の前の配備に頼ります」、null0 にルーティングを含んでいます。 デスティネーションベース ドロップするの同じメカニズムによって、BGP更新は送信され、このアップデートは null0 にソースのためのネクスト ホップを設定 します。 この場合すべてのトラフィックは uRPF が付いているインターフェイスに入るそのソースからのドロップ トラフィックを有効に しました。

ASR9000 のソースベース RTBH フィルタリング

機能 uRPF が ASR9000 で有効に なるとき、ルータは null0 に回帰的なルックアップをすることができません。 これは Cisco IOS によって使用されるソースベース RTBH フィルター構成が ASR9000 の Cisco IOS XR によって直接使用することができないことを意味します。 代替として、ルーティングポリシー言語(RPL) set next-hop 廃棄 オプションは(Cisco IOS XR バージョン 4.3.0 でもたらされる)使用されます。

設定

トリガー ルータの設定

特別なタグでマークされるスタティック・ルートのコミュニティを設定 する設定し BGP で適用して下さいスタティック ルート 再分散ポリシーを:

route-policy RTBH-trigger
if tag is 777 then
set community (1234:4321, no-export) additive
pass
else
pass
endif
end-policy

router bgp 65001
address-family ipv4 unicast
redistribute static route-policy RTBH-trigger
!
neighbor 192.168.102.1
remote-as 65001
address-family ipv4 unicast
route-policy bgp_all in
route-policy bgp_all out

ソース プレフィクスのための特別なタグでスタティック ルートを設定して下さいブラックホール化されす必要がある:

router static
address-family ipv4 unicast
10.7.7.7/32 Null0 tag 777

ボーダールータの設定

ルート ポリシーをトリガー ルータのコミュニティセットと一致する設定し、set next-hop 廃棄を設定して下さい:

route-policy RTBH
if community matches-any (1234:4321) then
set next-hop discard
else
pass
endif
end-policy

iBGP 同位のルート ポリシーを適用して下さい:

router bgp 65001
address-family ipv4 unicast
!
neighbor 192.168.102.2
remote-as 65001
address-family ipv4 unicast
route-policy RTBH in
route-policy bgp_all out

ボーダー インターフェイスで、uRPF 緩いモードを設定して下さい:

interface TenGigE0/0/2/2
cdp

ipv4 address 192.168.101.2 255.255.255.0
ipv4 verify unicast source reachable-via any

: この uRPF 設定はこのインターフェイスのすべてのトラフィックに適用されます。

確認

ボーダールータで、プレフィクス 10.7.7.7/32 は Nexthop 廃棄としてフラグが付けられます:

RP/0/RSP0/CPU0:router#show bgp
BGP router identifier 10.210.0.5, local AS number 65001
BGP generic scan interval 60 secs
BGP table state: Active
Table ID: 0xe0000000 RD version: 12
BGP main routing table version 12
BGP scan interval 60 secs

Status codes: s suppressed, d damped, h history, * valid, > best
i - internal, r RIB-failure, S stale, N Nexthop-discard
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
N>i10.7.7.7/32 192.168.102.2 0 100 0 ?

RP/0/RSP0/CPU0:router#show bgp 10.7.7.7/32
BGP routing table entry for 10.7.7.7/32
Versions:
Process bRIB/RIB SendTblVer
Speaker 12 12
Last Modified: Jul 4 14:37:29.048 for 00:20:52
Paths: (1 available, best #1, not advertised to EBGP peer)
Not advertised to any peer
Path #1: Received by speaker 0
Not advertised to any peer
Local
192.168.102.2 (discarded) from 192.168.102.2 (10.210.0.2)
Origin incomplete, metric 0, localpref 100, valid, internal best, group-best
Received Path ID 0, Local Path ID 1, version 12
Community: 1234:4321 no-export

RP/0/RSP0/CPU0:router#show route 10.7.7.7/32

Routing entry for 10.7.7.7/32
  Known via "bgp 65001", distance 200, metric 0, type internal
  Installed Jul 4 14:37:29.394 for 01:47:02
  Routing Descriptor Blocks
    directly connected, via Null0
      Route metric is 0
  No advertising protos.

RPF ドロップが行われることを入力 ラインカードで確認できます:

RP/0/RSP0/CPU0:router#show cef drop location 0/0/CPU0
CEF Drop Statistics
Node: 0/0/CPU0
Unresolved drops packets : 0
Unsupported drops packets : 0
Null0 drops packets : 10
No route drops packets : 17
No Adjacency drops packets : 0
Checksum error drops packets : 0
RPF drops packets : 48505 <=====
RPF suppressed drops packets : 0
RP destined drops packets : 0
Discard drops packets : 37
GRE lookup drops packets : 0
GRE processing drops packets : 0
LISP punt drops packets : 0
LISP encap err drops packets : 0
LISP decap err drops packets :

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116386