Guía de configuración de la Seguridad de Cisco IOS: Sujeción del avión de los datos, versión 12.2SR
Configuración de Unicast Reverse Path Forwarding
6 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 346 KB | Inglés (26 Marzo 2008) | Comentarios

Contenidos

Configuración de Unicast Reverse Path Forwarding

Contenido

Requisitos previos a configurar el Unicast Reverse Path Forwarding

Restricciones a configurar el Unicast Reverse Path Forwarding

Información sobre el Unicast Reverse Path Forwarding

Cómo funciona el Unicast RPF

Listas de Control de Acceso y Registro

Estadísticas por Interfaz

Implementación de Unicast RPF

Política de Seguridad y RPF Unicast

Dónde Utilizar RPF Unicast

Requisitos de la Tabla de Ruteo

Dónde no Utilizar RPF Unicast

Unicast RPF con BOOTP y DHCP

Características y Tecnologías relacionadas

Cómo configurar el Unicast Reverse Path Forwarding

Configurar el unicast RPF

Verificar el unicast RPF

Consejos de Troubleshooting

Error del HSRP

Peticiones caídas del inicio

Monitoreo y Mantenimiento de Unicast RPF

Ejemplos de configuración para el Unicast Reverse Path Forwarding

Ejemplo: Unicast RPF en un router de agrupamiento de la línea arrendada

Ejemplo: Unicast RPF en el Cisco AS5800 usando los puertos de marcado manual

Ejemplo: Unicast RPF con los filtros entrantes y salientes

Ejemplo: Unicast RPF con los ACL y el registro

Información de la característica para configurar el Unicast Reverse Path Forwarding


Configuración de Unicast Reverse Path Forwarding


Última actualización: De septiembre el 10 de 2010

Este capítulo describe la característica del Unicast Reverse Path Forwarding (unicast RPF). La característica del unicast RPF ayuda a atenuar los problemas que son causados por malformado o los IP Source Address forjados que están pasando a través de un router.

Contenido

Requisitos previos a configurar el Unicast Reverse Path Forwarding

Restricciones a configurar el Unicast Reverse Path Forwarding

Información sobre el Unicast Reverse Path Forwarding

Cómo configurar el Unicast Reverse Path Forwarding

Ejemplos de configuración para el Unicast Reverse Path Forwarding

Información de la característica para configurar el Unicast Reverse Path Forwarding

Requisitos previos a configurar el Unicast Reverse Path Forwarding

Antes de configurar el unicast RPF, configuración ACL:

Estándar o ACL ampliados de la configuración para atenuar la transmisión de IP Addresses no válidos (realice el filtrado de salida). Permita que solamente los direccionamientos de fuente válida dejen su red y consigan sobre Internet. Evite que el resto de las direcciones de origen dejen su red para Internet.

Configure el estándar o las entradas de ACL ampliados para caer (negar) los paquetes que tienen IP Addresses del origen no válido (realice el filtrado de ingreso). Los IP Addresses del origen no válido incluyen los siguientes tipos:

– Direcciones reservadas

– Loopback Address

– Direcciones privadas (RFC 1918, asignación de dirección para el internets privado)

– Direcciones de broadcast (direcciones Multicast incluyendo)

– Las direcciones de origen que se caen fuera del rango de las direcciones válidas se asociaron a la red protegida

Configure el estándar o las entradas de ACL ampliado para remitir los paquetes (del permiso) que no pueden los controles del unicast RPF para permitir el tráfico específico de las fuentes ruteadas asimétricas sabidas.

Configure los ACL para seguir los eventos del unicast RPF agregando la opción de registro en el comando acl. Durante los ataques a la red, el registro juicioso de los paquetes caídos o remitidos (descensos suprimidos) puede proporcionar la información adicional sobre los ataques a la red.

Restricciones a configurar el Unicast Reverse Path Forwarding

Hay algunas restricciones básicas a aplicar el unicast RPF a los clientes multihomed:

Los clientes no deben ser multihomed al mismo router porque el multihoming derrota el propósito de construir un servicio redundante para el cliente.

Los clientes deben asegurarse de que los paquetes que fluyen encima del link (hacia fuera a Internet) hagan juego la ruta hicieran publicidad hacia fuera del link. Si no, el unicast RPF filtra esos paquetes como paquetes malos formados.

El unicast RPF está disponible solamente para las imágenes de la plataforma que soportan el CEF. El unicast RPF se soporta en los Cisco IOS Releases 11.1(17)CC y 12.0 y posterior. No está disponible en el Cisco IOS Releases 11.2 o 11.3.

Información sobre el Unicast Reverse Path Forwarding

La característica del unicast RPF ayuda a atenuar los problemas que son causados por la introducción de IP Source Address malformados o forjados (del spoofed) en una red desechando los paquetes IP que faltan un IP Source Address comprobable. Por ejemplo, varios tipos comunes de ataques del servicio negado (DOS), incluyendo el smurf y la red tribal de la inundación (TFN), pueden aprovecharse de las dirección IP de origen forjadas o rápidamente cambiante para permitir que los atacantes frustren esfuerzos para localizar o para filtrar los ataques. Para los proveedores de servicio de Internet (ISPs) que proporcionan acceso público, RPF Unicast desvía esos ataques reenviando solamente los paquetes que tienen direcciones de origen válidas y coherentes con la tabla de IP Routing. Esta acción protege la red del ISP, su cliente y el resto del Internet.

Esta sección cubre la siguiente información:

Cómo funciona el Unicast RPF

Implementación de Unicast RPF

Características y Tecnologías relacionadas

Cómo funciona el Unicast RPF

Cuando el unicast RPF se habilita en una interfaz, el router examina todos los paquetes recibidos como entrada en esa interfaz para aseegurarse que la dirección de origen y la interfaz de origen aparecen en la tabla de ruteo y hacen juego la interfaz en la cual el paquete fue recibido. Esta capacidad de la “mirada al revés” está disponible solamente cuando el Cisco Express Forwarding (CEF) se habilita en el router, porque las operaciones de búsqueda confían en la presencia de la Base de información de reenvío (FIB). El CEF genera la BOLA como parte de su operación.


El unicastRPF de la nota es una función de entrada y se aplica solamente en la interfaz de entrada de un router en el extremo por aguas arriba de una conexión.


El unicast RPF marca para ver si cualquier paquete recibido en una interfaz del router llega en el mejor trayecto de retorno (vuelva la ruta) a la fuente del paquete. El unicast RPF hace esto haciendo una búsqueda inversa en la tabla CEF. Si el paquete fue recibido a partir de la una de las mejores rutas del trayecto inverso, el paquete se remite como normal. Si no hay ruta del trayecto inverso en la misma interfaz de la cual el paquete fue recibido, puede ser que signifique que modificaron a la dirección de origen. Si el unicast RPF no encuentra un trayecto inverso para el paquete, el paquete se cae o se remite, dependiendo de si un Access Control List (ACL) está especificado en ip verify unicast reverse-path el comando interface configuration.


Observecon el unicast RPF, todo el igual costo los “que mejores” trayectos de retorno se consideran válidos. Esto significa que el unicast RPF trabaja en caso de que existan los trayectos de retorno múltiples, a condición de que cada trayectoria es igual a las otras en términos de costo de ruteo (número de saltos, de ponderaciones, y así sucesivamente) y mientras la ruta está en la BOLA. El unicast RPF también funciona donde se están utilizando las variantes del EIGRP y existen las trayectorias desiguales del candidato de nuevo a la dirección IP de origen.


Cuando un paquete se recibe en la interfaz donde se ha configurado el unicast RPF y ACL, las acciones siguientes ocurren:


Paso 1Las entradas ACL configuradas en la interfaz de entrada se marcan.

Paso 2El unicast RPF marca para ver si el paquete ha llegado en el mejor trayecto de retorno a la fuente, que hace haciendo una búsqueda inversa en la tabla de FIB.

Paso 3Las operaciones de búsqueda de la tabla CEF (BOLA) se realizan para el reenvío de paquete.

Paso 4Los ACL de salidas se comprueban la interfaz de salida.

Paso 5Se remite el paquete.


Esta sección proporciona la información sobre las mejoras del unicast RPF:

Listas de Control de Acceso y Registro

Estadísticas por Interfaz

Listas de Control de Acceso y Registro

Si un ACL se especifica en el comando, después cuando (y solamente cuando) un paquete falla el unicast revisión de "RPF", el ACL se marca para ver si se cae (usando a Enunciado de negación en el ACL) o se remite el paquete (usando una declaración del permiso en el ACL). Si un paquete está caído o remitido, el paquete se cuenta en las estadísticas de tráfico del IP global para los descensos del unicast RPF y en las estadísticas de la interfaz para el unicast RPF.

Si no se especifica ningún ACL en el comando RPF del unicast, el router cae haber forjado o el paquete mal formado inmediatamente y ningún registro de ACL ocurre. Los contadores del unicast RPF del router y de la interfaz son actualizados.

Los eventos del unicast RPF pueden ser registrados especificando la opción de registro para las entradas ACL usadas por el comando RPF del unicast. Usando la información de registro, los administradores pueden ver están utilizando a qué direcciones de origen en el ataque, el tiempo que los paquetes llegaron la interfaz, y así sucesivamente.


El registrode la precaución requiere el CPU y a los recursos de memoria. Los eventos de registración del unicast RPF para los ataques que tienen una alta velocidad de los paquetes forjados pueden degradar el funcionamiento del router.

Estadísticas por Interfaz

Cada vez que un paquete se cae o se remite en una interfaz, esa información se cuenta dos maneras: global en el router y en cada interfaz donde usted ha aplicado el unicast RPF. Las estadísticas globales sobre los paquetes perdidos proporcionan la información sobre los SCR_INVALID en la red; sin embargo, estas estadísticas globales no ayudan a especificar qué interfaz es la fuente del ataque.

Las estadísticas del por interface permiten que los administradores de la red sigan dos tipos de información sobre los paquetes malos formados: Los descensos y el unicast RPF del unicast RPF suprimieron los descensos. Estadísticas sobre el número de paquetes que el unicast RPF cae la ayuda para identificar la interfaz que es el punto de entrada del ataque. La cuenta del descenso del unicast RPF sigue el número de descensos en la interfaz. El unicast RPF suprimió la cuenta del descenso sigue el número de paquetes que fallaron el unicast revisión de "RPF" pero fue remitido debido al permiso del permiso configurado en el ACL. Usando la cuenta del descenso y las estadísticas suprimidas de la cuenta del descenso, una poder del administrador de la red toma las medidas para aislar el ataque en una interfaz específica.


El USO prudentede la nota del registro de ACL puede identificar más lejos el direccionamiento o los direccionamientos que están siendo caídos por el unicast RPF.


El cuadro 1 ilustra cómo el unicast RPF y CEF trabaja junto para validar los IP Source Address verificando los trayectos de retorno del paquete. En este ejemplo, un cliente ha enviado un paquete que tenía una dirección de origen de 192.168.1.1 de la interfaz FDDI 2/0/0. El unicast RPF marca la BOLA para ver si 192.168.1.1 tiene una trayectoria a FDDI 2/0/0. Si hay una trayectoria coincidente, se reenvía el paquete. Si no hay trayectoria que corresponde con, se cae el paquete.

Cuadro 1 unicast RPF que valida los IP Source Address

El cuadro 2 ilustra cómo el unicast RPF cae los paquetes que fallan la validación. En este ejemplo, un cliente ha enviado un paquete que tenía una dirección de origen de 209.165.200.225, que se recibe en la interfaz FDDI 2/0/0. El unicast RPF marca la BOLA para ver si 209.165.200.225 tiene un trayecto de retorno a FDDI 2/0/0. Si hay una trayectoria coincidente, se reenvía el paquete. En este caso, no hay entrada reversa en la tabla de ruteo que rutea el paquete del cliente de nuevo a la dirección de origen 209.165.200.225 en la interfaz FDDI 2/0/0, y así que se cae el paquete.

Cuadro 2 paquetes de caída del unicast RPF que falla la verificación

Implementación de Unicast RPF

El unicast RPF tiene varios principios de implementación dominantes:

El paquete se debe recibir en una interfaz que tenga el mejor trayecto de retorno (ruta) a la fuente del paquete (un proceso llamado encaminamiento simétrica). Debe haber una ruta en la BOLA que corresponde con la ruta a la interfaz de recepción. Agregar una ruta en la BOLA se puede hacer vía la Static ruta, la declaración de la red, o el Dynamic Routing. (Los ACL permiten que el unicast RPF sea utilizado cuando los paquetes son sabidos para llegar por el específico, las trayectorias asimétricas menos óptimas de la entrada.)

Los IP Source Address en la interfaz de recepción deben hacer juego la entrada de ruteo para la interfaz.

El unicast RPF es una función de entrada y se aplica solamente en la interfaz de entrada de un router en el extremo por aguas arriba de una conexión.

Dado estos principios de implementación, el unicast RPF se convierte en una herramienta que los administradores de la red pueden utilizar no sólo para sus clientes pero también para su red o ISP rio abajo, incluso si la red o el ISP rio abajo tiene otras conexiones a Internet.


La precauciónusando los atributos BGP opcionales tales como ponderación y preferencia local, el mejor trayecto de nuevo a la dirección de origen puede ser modificada. La modificación afectaría a la operación del unicast RPF.

Esta sección proporciona la información sobre la implementación del unicast RPF:

Política de Seguridad y RPF Unicast

Dónde Utilizar RPF Unicast

Requisitos de la Tabla de Ruteo

Dónde no Utilizar RPF Unicast

Unicast RPF con BOOTP y DHCP

Política de Seguridad y RPF Unicast

Considere las puntas siguientes en determinar su directiva para el unicast que despliega RPF:

El unicast RPF debe ser aplicado en la interfaz rio abajo de la porción más grande de la red, preferiblemente en los bordes de su red.

Cuanto más el rio abajo usted aplica el unicast RPF, más fino es el granularity que usted tienen en la simulación de dirección de la atenuación y en la identificación de las fuentes de direccionamientos del spoofed. Por ejemplo, la aplicación del unicast RPF en un router de agrupamiento ayuda a atenuar los ataques de muchas redes o clientes rio abajo y es simple administrar, pero no ayuda a identificar la fuente del ataque. La aplicación del unicast RPF en el servidor de acceso a la red ayuda al límite el alcance del ataque y localiza la fuente del ataque; sin embargo, desplegar el unicast RPF a través de muchos sitios agrega al coste administrativo de actuar la red.

Cuanto más entidades despliega el unicast RPF a través de Internet, intranet, y los recursos del extranet, cuanto mejores son las ocasiones de las interrupciones de la red a gran escala de la atenuación en la comunidad de Internet, y mejores son las ocasiones de localizar la fuente de un ataque.

El unicast RPF no examinará los paquetes IP encapsulados en los túneles, tales como GRE, LT2P, o PPTP. El unicast RPF se debe configurar en un gateway de inicio de modo que el tráfico de la red de los procesos del unicast RPF sólo después de las capas del Tunelización y del cifrado se haya eliminado de los paquetes.

Dónde Utilizar RPF Unicast

El unicast RPF se puede utilizar en cualquier entorno “escoja dirigido” donde hay esencialmente solamente un acceso señala de la red; es decir, una conexión ascendente. Las redes que tienen una oferta del Punto de acceso el mejor ejemplo de la encaminamiento simétrica, así que significa que la interfaz donde un paquete ingresa la red es también el mejor trayecto de retorno a la fuente del paquete del IP. El unicast RPF se utiliza mejor en el perímetro de red para Internet, el intranet, o los entornos del extranet, o en los entornos ISP para las terminaciones de red del cliente.

Las secciones siguientes proporcionan una mirada en implementar el unicast RPF en dos entornos de red:

Redes para empresas con una sola conexión a un ISP

Aplicación de servidor de acceso a la red (que aplica el unicast RPF en los routeres de agrupamiento del estallido PSTN/ISDN)

Redes para empresas con una sola conexión a un ISP

En las redes para empresas, un objetivo de usar el unicast RPF para el filtrado de tráfico en la interfaz de entrada (un proceso llamado filtrado de ingreso) está para la protección contra los paquetes malos formados que llegan de Internet. Tradicionalmente, las redes locales que tienen una conexión al Internet utilizarían los ACL en la interfaz de recepción para prevenir los paquetes del spoofed del Internet de ingresar su red local.

Los ACL trabajan bien para muchos clientes escoja dirigidos; sin embargo, hay equilibrios cuando los ACL se utilizan como filtros del ingreso, incluyendo dos limitaciones comúnmente referidas:

Funcionamiento del paquete por segundo (PPS) a las velocidades de paquetes muy altas

Mantenimiento del ACL (siempre que hay nuevos direccionamientos agregados a la red)

El unicast RPF es una herramienta que dirige ambas limitaciones. Con el unicast RPF, el filtrado de ingreso se hace a las tarifas CEF PPS. Esta velocidad de procesamiento diferencia cuando el link es más de 1 Mbps. Además, puesto que el unicast RPF utiliza la BOLA, no hay mantenimiento ACL necesario, y la tarea de administración de los ACL tradicionales se reduce así. La figura y el ejemplo siguientes demuestran cómo el unicast RPF se configura para el filtrado de ingreso.

El cuadro 3 ilustra una red para empresas que tenga un solo link a una conexión en sentido ascendente ISP. En este ejemplo, el unicast RPF es aplicado en el s0 de la interfaz en el Router Enterprise para la protección contra los paquetes malos formados que llegan de Internet. El unicast RPF es también aplicado en la interfaz S5/0 en el router del ISP para la protección contra los paquetes malos formados que llegan de la red para empresas.

Cuadro 3 red para empresas usando el unicast RPF para el filtrado de ingreso

Usando la topografía en el cuadro 3, una configuración típica (si se asume que el CEF está girado) en el router del ISP sería como sigue:

ip cef
interface loopback 0
  description Loopback interface on Gateway Router 2
  ip address 192.168.3.1 255.255.255.255
  no ip redirects
  no ip directed-broadcast
  no ip proxy-arp
interface Serial 5/0
  description 128K HDLC link to ExampleCorp WT50314E  R5-0
  bandwidth 128
  ip unnumbered loopback 0
  ip verify unicast reverse-path
  no ip redirects
  no ip directed-broadcast
  no ip proxy-arp
ip route 192.168.10.0 255.255.252.0 Serial 5/0

La configuración del router de gateway de la red para empresas (si se asume que el CEF está girado) parecería similar al siguiente:

ip cef
interface Ethernet 0
 description ExampleCorp LAN
 ip address 192.168.10.1 255.255.252.0
 no ip redirects
 no ip directed-broadcast
 no ip proxy-arp
interface Serial 0
 description 128K HDLC link to ExampleCorp Internet Inc WT50314E  C0
 bandwidth 128
 ip unnumbered ethernet 0
 ip verify unicast reverse-path
 no ip redirects
 no ip directed-broadcast
 no ip proxy-arp
ip route 0.0.0.0 0.0.0.0 Serial 0

Note que el unicast RPF trabaja con una sola ruta predeterminado. No hay rutas o Routing Protocol adicionales. La red 192.168.10.0/22 es una red conectada. Por lo tanto, los paquetes que vienen de Internet con una dirección de origen en el rango 192.168.10.0/22 serán caídos por el unicast RPF.

Aplicación de servidor de acceso a la red (que aplica el unicast RPF en los routeres de agrupamiento del estallido PSTN/ISDN)

Los routeres de agrupamiento son lugares ideales para utilizar el unicast RPF con los clientes escoja dirigidos. Trabajos del unicast RPF igualmente bien en la línea arrendada o las conexiones del cliente PSTN/ISDN/xDSL en Internet. De hecho, las conexiones de marcación manual son reputadas ser la fuente más grande de ataques DOS usando los IP Addresses forjados. Mientras el servidor de acceso a la red soporte el CEF, el unicast RPF trabajará. En esta topología, los routeres de agrupamiento del cliente no necesitan tener la tabla completa de Internet Routing. Los routeres de agrupamiento necesitan la información de los prefijos de la encaminamiento (bloque de la dirección IP); por lo tanto, la información configurada o redistribuida en el Interior Gateway Protocol (IGP) o el Internal Border Gateway Protocol (IBGP) (dependiendo de la manera que usted agrega las rutas del cliente en su red) sería bastante para el unicast RPF para hacer su trabajo.

El cuadro 4 ilustra la aplicación del unicast RPF a la agregación y routeres de acceso para un Point of Presence del Proveedor de servicios de Internet (ISP) (POP), con los routeres del ISP proporcionando a las conexiones del cliente de marcado manual. En este ejemplo, el unicast RPF es conexión en sentido ascendente aplicada del router de la conexión de marcación manual del cliente en las interfaces de recepción (de la entrada) de los routeres de agrupamiento ISP.

Cuadro 4 unicast RPF aplicado a las conexiones del cliente PSTN/ISDN

Requisitos de la Tabla de Ruteo

Para trabajar correctamente, el unicast RPF necesita la información adecuada en las tablas CEF. Este requisito no significa que el router debe tener toda la Internet la tabla de ruteo. La cantidad de información de ruteo necesaria en las tablas CEF depende de donde se configura el unicast RPF y de qué funciones realiza el router en la red. Por ejemplo, en un entorno ISP, un router que es un router de agrupamiento de la línea arrendada para los clientes necesita solamente la información basada en las Static rutas redistribuidas en el IGP o el IBGP (dependiendo de qué técnica se utiliza en la red). El unicast RPF sería configurado en las Interfaces del cliente — por lo tanto el requisito para la información de ruteo mínima. En otro escenario, un ISP escoja dirigido podía colocar el unicast RPF en el link del gateway a Internet. La tabla completa de Internet Routing sería requerida. Requerir la tabla de ruteo completa ayudaría a proteger el ISP contra los ataques externos DOS que utilizan los direccionamientos que no están en el tabla de Internet Routing.

Dónde no Utilizar RPF Unicast

El unicast RPF no se debe utilizar en las interfaces que son internas a la red. Las interfaces internas son probables tener asimetría de la encaminamiento (véase el cuadro 5), las rutas del múltiplo del significado a la fuente de un paquete. El unicast RPF debe ser aplicado solamente donde hay simetría natural o configurada. Mientras de los administradores plan cuidadosamente que las interfaces ellas activan el unicast RPF encendido, ruteando la asimetría no son un problema grave.

Por ejemplo, el Routers en el borde de la red de un ISP es más probable tener trayectos inversos simétricos que el Routers que está en la base de la red ISP. El Routers que está en la base de la red ISP no tiene ninguna garantía que el mejor router de los del trayecto de reenvío será la trayectoria seleccionada para los paquetes que vuelven al router. Por lo tanto, no se recomienda que usted aplica el unicast RPF donde hay una ocasión del Asymmetric Routing, a menos que usted utilice los ACL para permitir que el router valide los paquetes entrantes. Los ACL permiten que el unicast RPF sea utilizado cuando los paquetes son sabidos para llegar por el específico, las trayectorias asimétricas menos óptimas de la entrada. Sin embargo, es el más simple colocar el unicast RPF solamente en el borde de una red o, para un ISP, en la frontera del cliente de la red.

El cuadro 5 ilustra cómo el unicast RPF puede bloquear el tráfico legítimo en un entorno de ruteo asimétrico.

Cuadro 5 unicast RPF que bloquea el tráfico en un entorno de ruteo asimétrico

Unicast RPF con BOOTP y DHCP

El unicast RPF permitirá que los paquetes con la fuente de 0.0.0.0 y el destino de 255.255.255.255 pasen de modo que el Bootstrap Protocol (BOOTP) y las funciones del Protocolo de configuración dinámica de host (DHCP) trabajan correctamente. Esta mejora fue agregada en el Cisco IOS Release 12.0 y Posterior, pero no está en el Cisco IOS Release 11.1CC.

Características y Tecnologías relacionadas

Para más información sobre las características relacionado a RPF y las Tecnologías del unicast, revise el siguiente:

El unicast RPF requiere el Cisco Express Forwarding (CEF) funcionar correctamente en el router.

El unicast RPF puede ser más eficaz en los ataques de simulación de la atenuación cuando está combinado con una directiva del ingreso y de la salida que filtran usando el Listas de control de acceso (ACL) del Cisco IOS.

– El filtrado de ingreso aplica los filtros para traficar recibido en una interfaz de la red de interno o de las redes externas. Con el filtrado de ingreso, caen los paquetes que llegan de otras redes o de Internet y que tienen una dirección de origen que haga juego una red local, el soldado, o a la dirección de broadcast. En los entornos ISP, por ejemplo, el filtrado de ingreso puede aplicarse para traficar recibido en el router del cliente (cliente) o de Internet.

– El filtrado de salida aplica los filtros para traficar saliendo una interfaz de la red (la interfaz de envío). Por los filtrados de paquetes en el Routers que conecta su red con Internet o con otras redes, usted puede permitir que solamente los paquetes con los IP Addresses de la fuente válida salgan de su red.

Para más información sobre la red que filtra, refiera a RFC 2267.

El Cisco IOS Software proporciona las características adicionales que pueden ayudar a atenuar los ataques DOS:

– Committed Access Rate (CAR). El CAR permite que usted aplique una política de ancho de banda contra el tráfico de la red que hace juego una lista de acceso. Por ejemplo, el CAR no le prohibe el tarifa-límite qué debe ser tráfico de poco volumen, tal como tráfico ICMP. Para descubrir más sobre el CAR, refiera a la guía de configuración de las soluciones de la Calidad de servicio de Cisco IOS.

– Control de acceso basado en el contexto (CBAC). El CBAC bloquea selectivamente cualquier tráfico de la red no originado por una red protegida. CBAC usa valores de umbral y de tiempo de espera para administrar la información de estado de la sesión, ayudando a determinar cuándo se debe descartar las sesiones que no se establecen completamente. Fijando los valores de agotamiento del tiempo para las ayudas de las sesiones de red atenúe los ataques DOS liberando encima de los recursos del sistema, cayendo las sesiones después de una determinada cantidad de hora. Para más información sobre el CBAC, refiera a la guía de configuración de la Seguridad de Cisco IOS.

– Intercepción de tráfico de TCP. La característica de la Intercepción de tráfico de TCP implementa el software para proteger los servidores TCP contra los ataques de inundación SYN TCP, que son un tipo de ataque DOS. Un ataque de inundación SYN ocurre cuando un hacker inunda un servidor con una presa de los pedidos la conexión. Como el CBAC, la característica de la Intercepción de tráfico de TCP también utiliza el descanso y los valores de umbral para manejar la información de estado de la sesión, ayudando a determinar cuando caer las sesiones que no se establecen completamente. Para más información sobre la Intercepción de tráfico de TCP, refiera a la guía de configuración de la Seguridad de Cisco IOS.

Cómo configurar el Unicast Reverse Path Forwarding

Configurando el unicast RPF (requerido)

Verificando el unicast RPF (opcional)

Consejos de Troubleshooting (opcionales)

Monitoreando y mantener el unicast RPF (opcional)

Configurar el unicast RPF

Para utilizar el unicast RPF, usted debe configurar al router para el CEF Switching o el Distributed Switching CEF. No hay necesidad de configurar la interfaz de entrada para el CEF Switching porque el unicast RPF se ha implementado como búsqueda con el FIB usando la dirección IP de origen. Mientras que CEF se esté ejecutando en el router, las interfaces individuales se pueden configurar con otros modos de conmutación. El unicast RPF es una función del lado de entrada que se habilita en una interfaz o una subinterfaz que apoye cualquier tipo de encapsulación y actúe encendido los paquetes IP recibidos por el router. Es muy importante que el CEF esté girado global en el router — el unicast RPF no trabajará sin el CEF.

Para configurar el unicast RPF, utilice los siguientes comandos que comienzan en el modo de configuración global:

 
Comando
Propósito

Paso 1 

Router(config)# ip cef


o

Router(config)# ip cef distributed

Permisos CEF o CEF distribuido en el router. El CEF distribuido se requiere para el Routers que utiliza un Route Switch Processor (RSP) y el Versatile Interface Processor (VIP), que incluye el unicast RPF.

Usted puede ser que quiera inhabilitar CEF o el CEF distribuido (dCEF) en una interfaz particular si esa interfaz se configura con una característica que el CEF o el dCEF no soporte. En este caso, usted habilitaría el CEF global, pero inhabilita el CEF en una interfaz específica usando no ip route-cache cef el comando interface, que permite a todos sino esa interfaz específica para utilizar el Express Forwarding. Si usted ha inhabilitado el CEF o la operación del dCEF en una interfaz y quiere volverla a permitir, usted puede hacer tan usando ip route-cache cef el comando en el modo de configuración de la interfaz.

Paso 2 

Router(config-if)# interface type

Selecciona la interfaz de entrada en la cual usted quiere aplicar el unicast RPF. Ésta es la interfaz de recepción, que permite que el unicast RPF verifique el mejor trayecto de retorno antes de remitir el paquete encendido al destino siguiente.

El tipo de interfaz es específico a su router y a los tipos de placas de interfaz instaladas en el router. Para visualizar una lista de tipos de interfaz disponibles, ingrese interface ? el comando.

Paso 3 

Router(config-if)# ip verify unicast reverse-path list

Unicast RPF de los permisos en la interfaz.

Utilice list la opción para identificar una lista de acceso. Si la lista de acceso niega el acceso a la red, los paquetes del spoofed se caen en la interfaz. Si la lista de acceso permite el acceso a la red, los paquetes del spoofed se remiten a la dirección destino. Los paquetes remitidos se cuentan en las estadísticas de la interfaz. Si la lista de acceso incluye la opción de registro, la información sobre los paquetes del spoofed se registra al servidor de registro.

Relance este paso para cada lista de acceso que usted quiera especifique.

Paso 4 

Router(config-if)# exit

Sale del modo de configuración de interfaz. Relance los pasos 2 y 3 para cada interfaz en la cual usted quiera aplicar el unicast RPF.

Verificar el unicast RPF

Para verificar que el unicast RPF sea operativo, utilice show cef interface el comando. El siguiente ejemplo muestra que el unicast RPF está habilitado en la interfaz serial2/0/0.

Router-3# show cef interface serial 2/0/0

Serial2/0/0 is up (if_number 8)
 Internet address is 192.168.10.2/30
 ICMP redirects are never sent
 Per packet loadbalancing is disabled
!The next line displays Unicast RPF packet dropping information.
 IP unicast RPF check is enabled
 Inbound access list is not set
 Outbound access list is not set
 Interface is marked as point to point interface
 Packets switched to this interface on linecard are dropped to next slow path
 Hardware idb is Serial2/0/0
 Fast switching type 4, interface type 6
!The next line displays Unicast RPF packet dropping information.
 IP Distributed CEF switching enabled
 IP LES Feature Fast switching turbo vector
 IP Feature CEF switching turbo vector
 Input fast flags 0x40, Output fast flags 0x0, ifindex 7(7)
 Slot 2 Slot unit 0 VC -1
 Transmit limit accumulator 0x48001A02 (0x48001A02)
 IP MTU 1500

Consejos de Troubleshooting

Si usted experimenta los problemas mientras que usa el unicast RPF, marca los elementos siguientes.

Error del HSRP

El error inhabilitar el unicast RPF antes de inhabilitar el CEF puede causar el error del Hot Standby Router Protocol (HSRP). Si desea inhabilitar CEF en el router, primero debe inhabilitar Unicast RPF. Para inhabilitar el unicast RPF, vea la sección “supervisión y mantener el unicast RPF.”

Peticiones caídas del inicio

En el Cisco IOS Release 11.1(17)CC, el unicast RPF puede caer los paquetes de pedido de BOOTP que tienen una dirección de origen de 0.0.0.0 debido a la verificación de la dirección de origen en la interfaz. Para habilitar las peticiones del inicio de trabajar en la interfaz, usted debe utilizar los ACL en vez del unicast RPF.

Monitoreo y Mantenimiento de Unicast RPF

Esta sección describe los comandos usados para monitorear y para mantener el unicast RPF.

Comando
Propósito

Router# show ip traffic

Estadísticas de router globales de las visualizaciones sobre los descensos del unicast RPF y los descensos suprimidos.

Router# show ip interface type

Estadísticas del por interface de las visualizaciones sobre los descensos del unicast RPF y los descensos suprimidos.

Router# show access-lists

Visualiza el número de coincidencias a un ACL específico.

Router(config-if)# no ip verify unicast reverse-path list

Unicast RPF de las neutralizaciones en la interfaz. Utilice list la opción para inhabilitar el unicast RPF para un ACL específico en la interfaz.



Adviertapara inhabilitar el CEF, usted debe primero inhabilitar el unicast RPF. El error inhabilitar el unicast RPF antes de inhabilitar el CEF puede causar el error del HSRP. Si desea inhabilitar CEF en el router, primero debe inhabilitar Unicast RPF.

El unicast RPF cuenta el número de paquetes caídos o suprimidos debido a las direcciones de origen malformadas o forjadas. El unicast RPF cuenta los paquetes caídos o remitidos que incluyen la información global y del por interface siguiente:

Descensos de la unidifusión global RPF

Descensos del unicast RPF del por interface

Descensos suprimidos RPF del unicast del por interface

show ip traffic El comando muestra el número total (cuenta global) de paquetes caídos o suprimidos para todas las interfaces en el router. La cuenta del descenso del unicast RPF se incluye en la sección de las estadísticas IP.

Router# show ip traffic

IP statistics:
  Rcvd:  1471590 total, 887368 local destination
         0 format errors, 0 checksum errors, 301274 bad hop count
         0 unknown protocol, 0 not a gateway
         0 security failures, 0 bad options, 0 with options
  Opts:  0 end, 0 nop, 0 basic security, 0 loose source route
         0 timestamp, 0 extended security, 0 record route
         0 stream ID, 0 strict source route, 0 alert, 0 other
  Frags: 0 reassembled, 0 timeouts, 0 couldn't reassemble
         0 fragmented, 0 couldn't fragment
  Bcast: 205233 received, 0 sent
  Mcast: 463292 received, 462118 sent
  Sent:  990158 generated, 282938 forwarded
  ! The second line below ("0 unicast RPF") displays Unicast RPF packet dropping 
  information.
  Drop:  3 encapsulation failed, 0 unresolved, 0 no adjacency
         0 no route, 0 unicast RPF, 0 forced drop

Un valor distinto a cero para la cuenta de los paquetes caídos o suprimidos puede significar una de dos cosas:

El unicast RPF es de caída o de supresión de los paquetes que tienen una mala dirección de origen (funcionamiento normal).

El unicast RPF es de caída o de supresión de los paquetes legítimos porque la ruta se configura mal para utilizar el unicast RPF en los entornos donde existe el Asymmetric Routing; es decir, donde los trayectos múltiples pueden existir como el mejor trayecto de retorno para una dirección de origen.

show ip interface El comando muestra el total de paquetes caídos o suprimidos en una interfaz específica. Si el unicast RPF se configura para utilizar un ACL específico, esa información ACL se visualiza junto con las estadísticas del descenso.

Router> show ip interface ethernet0/1/1

   Unicast RPF ACL 197
   1 unicast RPF drop
   1 unicast RPF suppressed drop

show access-lists El comando visualiza el número de coincidencias encontradas para una entrada específica en una lista de acceso específica.

Router> show access-lists

Extended IP access list 197
     deny ip 192.168.201.0 0.0.0.63 any log-input (1 match)
     permit ip 192.168.201.64 0.0.0.63 any log-input (1 match)
     deny ip 192.168.201.128 0.0.0.63 any log-input
     permit ip 192.168.201.192 0.0.0.63 any log-input

Ejemplos de configuración para el Unicast Reverse Path Forwarding

Ejemplo: Unicast RPF en un router de agrupamiento de la línea arrendada

Ejemplo: Unicast RPF en el Cisco AS5800 usando los puertos de marcado manual

Ejemplo: Unicast RPF con los filtros entrantes y salientes

Ejemplo: Unicast RPF con los ACL y el registro

Ejemplo: Unicast RPF en un router de agrupamiento de la línea arrendada

El unicast RPF del permiso de los siguientes comandos en una interfaz serial:

ip cef
! or "ip cef distributed" for RSP+VIP based routers
!
interface serial 5/0/0
 ip verify unicast reverse-path

Ejemplo: Unicast RPF en el Cisco AS5800 usando los puertos de marcado manual

El siguiente ejemplo habilita el unicast RPF en un Cisco AS5800. interface Group-Async El comando hace fácil aplicar el unicast RPF en todos los puertos de marcado manual.

ip cef
!
interface Group-Async1
 ip verify unicast reverse-path

Ejemplo: Unicast RPF con los filtros entrantes y salientes

El siguiente ejemplo utiliza un ISP escoja dirigido muy simple para demostrar los conceptos de filtros del ingreso y de la salida usados conjuntamente con el unicast RPF. El ejemplo ilustra un bloque asignado por ISP 209.165.202.128/28 del Classless Interdomain Routing (CIDR) que tenga filtros entrantes y salientes en la interfaz por aguas arriba. Sea consciente que los ISP no son generalmente escoja dirigidos. Por lo tanto, las disposiciones para los flujos asimétricos (cuando el tráfico saliente sale un link y las devoluciones vía un diverso link) necesitan ser diseñadas en los filtros en los Router del borde del ISP.

ip cef distributed 
!
interface Serial 5/0/0
 description Connection to Upstream ISP
 ip address 209.165.200.225 255.255.255.252
 no ip redirects
 no ip directed-broadcast
 no ip proxy-arp
 ip verify unicast reverse-path
 ip access-group 111 in
 ip access-group 110 out
!
access-list 110 permit ip 209.165.202.128 0.0.0.31 any
access-list 110 deny ip any any log 
access-list 111 deny ip host 0.0.0.0 any log
access-list 111 deny ip 127.0.0.0 0.255.255.255 any log
access-list 111 deny ip 10.0.0.0 0.255.255.255 any log
access-list 111 deny ip 172.16.0.0 0.15.255.255 any log
access-list 111 deny ip 192.168.0.0 0.0.255.255 any log
access-list 111 deny ip 209.165.202.128 0.0.0.31 any log
access-list 111 permit ip any any

Ejemplo: Unicast RPF con los ACL y el registro

El siguiente ejemplo demuestra el uso de los ACL y del registro con el unicast RPF. En este ejemplo, el ACL ampliado 197 proporciona las entradas que niegan o permiten el tráfico de la red para los rangos de dirección específica. El unicast RPF se configura en el interface ethernet0 para marcar los paquetes que llegan esa interfaz.

Por ejemplo, los paquetes con una dirección de origen de 192.168.201.10 que llega el interface ethernet0 se caen debido al enunciado de negación en ACL 197. En este caso, se registra la información ACL (la opción de registro se gira para la entrada ACL) y los paquetes perdidos se cuentan por la interfaz y global. Los paquetes con una dirección de origen de 192.168.201.100 que llega el interface ethernet0 se remiten debido a la declaración del permiso en ACL 197. La información ACL sobre los paquetes caídos o suprimidos se registra (opción de registro girada para la entrada ACL) al servidor de registro.

ip cef distributed
!
int eth0/1/1
 ip address 192.168.200.1 255.255.255.0
 ip verify unicast reverse-path 197
!
int eth0/1/2
 ip address 192.168.201.1 255.255.255.0
!
access-list 197 deny   ip 192.168.201.0 0.0.0.63 any log-input
access-list 197 permit ip 192.168.201.64 0.0.0.63 any log-input
access-list 197 deny   ip 192.168.201.128 0.0.0.63 any log-input
access-list 197 permit ip 192.168.201.192 0.0.0.63 any log-input
access-list 197 deny ip host 0.0.0.0 any log

Información de la característica para configurar el Unicast Reverse Path Forwarding

La tabla 1 muestra las funciones de este módulo y proporciona links a información de configuración específica.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.


Información de la característica del cuadro 1 para configurar el Unicast Reverse Path Forwarding

Nombre de la función
Versiones
Información sobre la Función

Configuración de Unicast Reverse Path Forwarding

12.3(6)
Cisco IOS XE 3.1.0SG

La característica del unicast RPF ayuda a atenuar los problemas que son causados por malformado o los IP Source Address forjados que están pasando a través de un router.


Las direcciones IP (Internet Protocol) y los números de teléfono utilizados en este documento no son direcciones y números de teléfono reales. Cualesquiera ejemplos, muestra de la salida de comandos, diagramas de topología de red y otras figuras incluidos en el documento se muestran solamente con fines ilustrativos. El uso de direcciones IP o números de teléfono reales en contenido ilustrativo es involuntario y fortuito.

Cisco Systems, Inc. del © 2010 todos los derechos reservados.