Guía de configuración de la Seguridad de Cisco IOS: Sujeción del avión de los datos, versión 12.2SR
Modo no Estricto de Unicast Reverse Path Forwarding
6 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 214 KB | Inglés (26 Marzo 2008) | Comentarios

Contenidos

Modo no Estricto de Unicast Reverse Path Forwarding

Encontrar la información de la característica

Contenido

Los requisitos previos para el unicast RPF sueltan el modo

Información sobre el modo flexible del unicast RPF

Unicast RPF: Antecedente

Modo Flexible

Cómo configurar el modo flexible del unicast RPF

Configurar el modo flexible del unicast RPF

Consejos de Troubleshooting

Los ejemplos de configuración para el unicast RPF sueltan el modo

Ejemplo: Configurar el unicast RPF usando el modo flexible

Referencias adicionales

Documentos Relacionados

Estándares

MIB

RFC

Asistencia Técnica

Información de la característica para el modo flexible del unicast RPF


Modo no Estricto de Unicast Reverse Path Forwarding


La característica flexible del modo del Unicast Reverse Path Forwarding crea una nueva opción para el Unicast Reverse Path Forwarding (unicast RPF), proporcionando a un mecanismo contra spoofing scalable conveniente para el uso en los escenarios de red del multihome. Este mecanismo es especialmente relevante para los Proveedores de servicios de Internet (ISP), específicamente en el Routers que tiene links múltiples a los ISP múltiples. Además, el unicast RPF (modo estricto o flexible), cuando está utilizado conjuntamente con un Border Gateway Protocol (BGP) “activador,” proporciona un mecanismo rápido excelente de la reacción que permita que el tráfico de la red sea caído en base de la fuente o del IP Address de destino, dando los administradores de la red una herramienta eficiente para atenuar la negación de servicio (DOS) y a los ataques distribuidos de la negación de servicio (DDoS).

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para la sección del modo flexible del unicast RPF”.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Contenido

Los requisitos previos para el unicast RPF sueltan el modo

Información sobre el modo flexible del unicast RPF

Cómo configurar el modo flexible del unicast RPF

Los ejemplos de configuración para el unicast RPF sueltan el modo

Referencias adicionales

Información de la característica para el modo flexible del unicast RPF

Los requisitos previos para el unicast RPF sueltan el modo

Para utilizar el unicast RPF, usted debe habilitar conmutar del Cisco Express Forwarding (CEF) o la transferencia del CEF distribuido (dCEF) en el router. No es necesario configurar la interfaz de entrada para la conmutación CEF. Mientras el CEF se esté ejecutando en el router, las interfaces individuales se pueden configurar para otros modos de la transferencia.

Información sobre el modo flexible del unicast RPF

Unicast RPF: Antecedente

Modo Flexible

Unicast RPF: Antecedente

Varios tipos comunes de ataques DOS se aprovechan de las dirección IP de origen forjadas o rápidamente cambiante, permitiendo que los atacantes frustren esfuerzos por los ISP para localizar o para filtrar estos ataques. El unicast RPF fue creado originalmente para ayudar a atenuar tales ataques proporcionando a un mecanismo automatizado, scalable para implementar las mejores prácticas comunes 38/Request de la Fuerza de tareas de ingeniería en Internet (IETF) (IETF) para la filtración contra spoofing de los comentarios 2827 (BCP 38/RFC 2827) en el borde de la red cliente-a-ISP. Aprovechándose de la información salvada en la Base de información de reenvío (FIB) que es creada por el proceso del CEF Switching, el unicast RPF puede determinar si los paquetes IP son spoofed o malformados correspondiendo con el IP Source Address y la interfaz de ingreso contra la entrada FIB que los alcances “posteriores” a esta fuente (una “búsqueda inversa supuesta”). Los paquetes que se reciben a partir de la una de las mejores rutas del trayecto inverso se retiran de la misma interfaz se remiten como normal. Si no hay ruta del trayecto inverso en la misma interfaz de la cual el paquete fue recibido, puede ser que signifique que modificaron a la dirección de origen, y se cae el paquete (por abandono).

Esta instrumentación original del unicast RPF, conocida como “modo estricto,” requirió una coincidencia entre la interfaz de ingreso y la entrada de la BOLA del trayecto inverso. Con el unicast RPF, todos los mejores” trayectos de retorno del igual costo “se consideran válidos, significando que trabaja para los casos en los cuales los trayectos de retorno múltiples existen, a condición de que cada trayectoria es igual en el costo de ruteo a las otras (número de saltos, de ponderaciones, y así sucesivamente), y mientras la ruta está en la BOLA. El unicast RPF también funciona cuando se están utilizando las variantes del Enhanced Interior Gateway Routing Protocol (EIGRP) y existen las trayectorias desiguales del candidato de nuevo a la dirección IP de origen. El modo estricto trabaja bien para las configuraciones del borde de la red cliente-a-ISP que tienen flujos simétricos (algunas configuraciones multihomed incluyendo en las cuales los flujos simétricos se pueden aplicar).

Sin embargo, algunos bordes de la red cliente-a-ISP y casi todos los bordes de la red ISP-a-ISP utilizan las configuraciones multihomed en las cuales la asimetría de la encaminamiento es típica. Cuando los flujos de tráfico son asimétricos, es decir, ésos en los cuales trafican la red A a la red B llevaría normalmente una diversa trayectoria del flujo de tráfico de la red B la red A, el unicast revisión de "RPF" fallará en siempre la prueba estricta del modo. Porque este tipo de Asymmetric Routing es común entre los ISP y en el núcleo de Internet, la instrumentación original del unicast RPF no estaba disponible para uso de los ISP en sus routeres del núcleo y links ISP-a-ISP.

En un cierto plazo y con un aumento en los ataques DDoS en Internet, las funciones del unicast RPF fueron revisadas como herramienta que los ISP pueden utilizar en el borde de la red ISP-a-ISP (un router del ISP “mirado” con otro router del ISP) para habilitar el BGP dinámico, filtración accionada del agujero negro. Para proporcionar estas funciones, sin embargo, los mecanismos usados con el unicast RPF tuvieron que ser modificados para permitir su despliegue en el borde de la red ISP-a-ISP de modo que la encaminamiento asimétrica no sea un problema.

Modo Flexible

Para proporcionar los ISP con una herramienta de la resistencia del DDoS en el borde ISP-a-ISP de una red, el unicast RPF fue modificado de su implementación estricta original del modo para marcar a las direcciones de origen de cada paquete de ingreso sin pensar en la interfaz específica en la cual fue recibida. Esta modificación se conoce como “modo flexible.” El modo flexible permite que el unicast RPF detecte y que caiga automáticamente los paquetes tales como el siguiente:

Direcciones de origen del RFC 1918 IETF

Otros direccionamientos especiales de documentación del uso (DUSA) que no deben aparecer en la fuente

Direccionamientos Unallocated que no han sido afectados un aparato por los registros regionales de Internet (RIRs)

Direcciones de origen que se rutean a una interfaz nula en el router

El modo flexible quita el requisito de la coincidencia en la interfaz de ingreso específica, permitiendo el unicast RPF a los paquetes de flexible-control. El este marcar del paquete permite que el router del “peering” de un ISP que tiene links múltiples a los ISP múltiples marque la dirección IP de origen de los paquetes de ingreso para determinar si existen en el FIB. Si existen, se remiten los paquetes. Si no existen en la BOLA, los paquetes fallan y se caen. El este marcar aumenta la resistencia contra el DOS y los ataques DDoS que utilizan las direcciones de origen del spoofed y los IP Addresses unallocated.

Cómo configurar el modo flexible del unicast RPF

Configurar el modo flexible del unicast RPF

Configurar el modo flexible del unicast RPF

Para configurar el modo flexible del unicast RPF, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3. ip cef

4.interface type slot/port-adapterport

5. ip verify unicast source reachable-via any

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

ip cef

Example:

Router (config)# ip cef

Permisos CEF en el indicador luminoso LED amarillo de la placa muestra gravedad menor del Route Processor.

Paso 4 

interface type slot/port-adapter/port

Example:

Router (config)# interface serial5/0/0

Configura un tipo de interfaz e ingresa en el modo de configuración de la interfaz.

Paso 5 

ip verify unicast source reachable-via any

Example:

Router (config-if)# ip verify unicast source reachable-via any

Unicast RPF de los permisos usando el modo flexible.

Consejos de Troubleshooting

CEF no habilitado

Si el CEF no se habilita en su dispositivo y una tentativa se hace para desplegar el unicast RPF, se genera el mensaje de error siguiente:

Router(config-if)# ip verify unicast source reachable-via any
% CEF not enabled. Enable first.

Paquetes perdidos

Si se cree que el unicast RPF está cayendo los paquetes que se juzgan válidos, puede ser necesario configurar una lista de acceso dentro del unicast RPF para pasar estos paquetes específicos.

Marque para ver si el unicast RPF está cayendo los paquetes usando los siguientes comandos show .

Router# show ip traffic | include unicast RPF

La salida de comando antedicha visualiza el contador global para los paquetes caídos por el unicast RPF. Si el contador de la caída de paquetes está aumentando, el unicast RPF está cayendo los paquetes.

Router# show ip interface {type/slot/port} | include verif

La salida de comando antedicha visualiza los contadores de caídas sobre una base del por interface. Si el contador de la caída de paquetes está aumentando, el unicast RPF está cayendo los paquetes en la interfaz de referencia.

Configure una lista de acceso de la “clasificación” (una que se utilice para identificar los tipos de tráfico) y agreguela a la configuración del unicast RPF en la interfaz o las interfaces que están en la pregunta.

En este caso, la lista de acceso más prudente de la clasificación sería una que incluye una serie “niega” las declaraciones que cubren los tipos de tráfico en la pregunta (en vez de las declaraciones más tradicionales del “permiso” que serían utilizadas, por ejemplo, en una lista de acceso típica de la clasificación que sería aplicada directamente a una interfaz). logging La palabra clave puede ser útil para esta lista de acceso también.

Aplique la lista de acceso antedicha al unicast RPF en la interfaz en la pregunta usando el siguiente comando:

Router (config-if)# ip verify unicast source reachable-via any 199

Marque periódicamente los contadores en la lista de acceso antedicha usando el siguiente comando show :

Router# show ip access-list 199

Si los contadores de aciertos de la lista de acceso están aumentando para el tipo de paquete en la pregunta, el unicast RPF está cayendo los paquetes en la pregunta. Para permitirlos, configure una lista de acceso usando una declaración del “permiso” para el tipo de paquete en la pregunta y apliqúela al unicast RPF.

Los ejemplos de configuración para el unicast RPF sueltan el modo

Ejemplo: Configurar el unicast RPF usando el modo flexible

Ejemplo: Configurar el unicast RPF usando el modo flexible

El siguiente ejemplo (véase que el cuadro 1) utiliza un ISP dirigido dual simple para demostrar el concepto de modo flexible del unicast RPF. El ejemplo ilustra un router para redes entre peers ISP (a) que esté conectado con dos diversa conexión en sentido ascendente ISP (B y C) y muestra que los flujos de tráfico en y de ISP A pueden ser asimétricos dados esta configuración dirigida dual. Por lo tanto, las disposiciones para los flujos asimétricos (cuando el tráfico saliente sale un link y las devoluciones vía un diverso link) se deben explicar por el despliegue del unicast RPF. En este caso, es apropiado utilizar la configuración flexible-MODE del unicast RPF porque esta configuración palía la dependencia de la interfaz del modo estricto.

Cuadro 1 modo flexible del unicast RPF

interface Serial4/0/0
 description - link to ISP B
 ip address 192.168.200.225 255.255.255.252
 no ip redirects
 no ip directed-broadcasts
 no ip proxy-arp
 ip verify unicast source reachable-via any
!
interface Serial5/0/0
 description - link to ISP C
 ip address 172.16.100.9 255.255.255.252
 no ip redirects
 no ip directed-broadcasts
 no ip proxy-arp
 ip verify unicast source reachable-via any
!

Referencias adicionales

Documentos Relacionados

Tema relacionado
Título del documento

Comandos de Cisco IOS

El Cisco IOS domina los comandos list, todos las versiones

Mejores prácticas usando el unicast RPF

Seguridad Bootcamp/mejores prácticas del Proveedor de servicios de Internet (ISP) — CPN-Summit-2004/Paris-Sept-04


Estándares

Estándares
Título

Esta función no soporta estándares nuevos o modificados.


MIB

MIB
Link del MIB

Esta función no soporta MIBs nuevas o modificadas.

Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y conjuntos de funciones seleccionados, utilice Cisco MIB Locator, que se encuentra en la siguiente URL:

http://www.cisco.com/cisco/web/LA/support/index.html


RFC

RFC
Título

Esta función no soporta RFCs nuevos o modificados.


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información de la característica para el modo flexible del unicast RPF

La tabla 1 muestra las funciones de este módulo y proporciona links a información de configuración específica.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.


Información de la característica del cuadro 1 para el modo flexible del unicast RPF

Nombre de la función
Versiones
Información sobre la Función

Modo flexible del unicast RPF

12.0(15)S
12.1(8a)E
12.2(13)T

La característica flexible del modo del Unicast Reverse Path Forwarding crea una nueva opción para el Unicast Reverse Path Forwarding (unicast RPF), proporcionando a un mecanismo contra spoofing scalable conveniente para el uso en los escenarios de red del multihome. Este mecanismo es especialmente relevante para los Proveedores de servicios de Internet (ISP), específicamente en el Routers que tiene links múltiples a los ISP múltiples.

Se han insertado o modificado los siguientes comandos: el IP verifica el trayecto inverso del unicast, IP verifica la fuente del unicast accesible-vía.


Las direcciones IP (Internet Protocol) y los números de teléfono utilizados en este documento no son direcciones y números de teléfono reales. Cualesquiera ejemplos, muestra de la salida de comandos, diagramas de topología de red y otras figuras incluidos en el documento se muestran solamente con fines ilustrativos. El uso de direcciones IP o números de teléfono reales en contenido ilustrativo es involuntario y fortuito.

Cisco Systems, Inc. 2009 del © todos los derechos reservados.