In diesem Dokument wird beschrieben, wie Sie Remote Triggered Blackhole (Remote Triggered Blackhole (RTBH) auf dem Aggregation Services Router (ASR) 9000 konfigurieren.
Für dieses Dokument bestehen keine speziellen Anforderungen.
Diese Informationen in diesem Dokument basieren auf Cisco IOS-XR® und ASR 9000.
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Wenn Sie die Ursache eines Angriffs kennen (z. B. durch eine Analyse von NetFlow-Daten), können Sie Containment-Mechanismen wie Zugriffskontrolllisten (ACLs) anwenden. Wenn Angriffsdatenverkehr erkannt und klassifiziert wird, können Sie die entsprechenden ACLs für die erforderlichen Router erstellen und bereitstellen. Da dieser manuelle Prozess zeitaufwendig und komplex sein kann, verwenden viele Benutzer das Border Gateway Protocol (BGP), um Informationen, die nicht an alle Router gesendet werden, schnell und effizient weiterzugeben. Bei diesem Verfahren, RTBH, wird der nächste Hop der IP-Adresse des Opfers auf die Null-Schnittstelle festgelegt. Der an das Opfer gerichtete Datenverkehr wird beim Eindringen in das Netzwerk verworfen.
Eine weitere Option besteht darin, Datenverkehr von einer bestimmten Quelle zu verwerfen. Diese Methode ähnelt dem zuvor beschriebenen Drop, verlässt sich jedoch auf die vorherige Bereitstellung von Unicast Reverse Path Forwarding (uRPF), das ein Paket verwirft, wenn seine Quelle "ungültig" ist, das Routen zu null0 enthält. Mit dem gleichen Mechanismus des zielbasierten Drop wird ein BGP-Update gesendet, und dieses Update legt den nächsten Hop für eine Quelle auf null0 fest. Der gesamte Datenverkehr, der über eine Schnittstelle mit aktiviertem uRPF eingeht, verwirft den Datenverkehr von dieser Quelle.
Wenn die Funktion uRPF auf dem ASR9000 aktiviert ist, kann der Router keine rekursive Suche auf null0 durchführen. Das bedeutet, dass die von Cisco IOS verwendete Source-basierte RTBH-Filterungskonfiguration nicht direkt von Cisco IOS-XR auf dem ASR9000 verwendet werden kann. Alternativ wird die Next-Hop Disard-Option (Routing Policy Language, RPL) (eingeführt in Cisco IOS XR Version 4.3.0) verwendet.
Konfigurieren Sie eine Richtlinie für die statische Routenumverteilung, die eine Community auf statischen Routen festlegt, die mit einem speziellen Tag gekennzeichnet sind, und wenden Sie sie im BGP an:
route-policy RTBH-trigger
if tag is 777 then
set community (1234:4321, no-export) additive
pass
else
pass
endif
end-policy
router bgp 65001
address-family ipv4 unicast
redistribute static route-policy RTBH-trigger
!
neighbor 192.168.102.1
remote-as 65001
address-family ipv4 unicast
route-policy bgp_all in
route-policy bgp_all out
Konfigurieren Sie eine statische Route mit dem speziellen Tag für das Quellpräfix, das schwarz gehalten werden muss:
router static
address-family ipv4 unicast
10.7.7.7/32 Null0 tag 777
Konfigurieren Sie eine Routenrichtlinie, die mit dem auf dem Trigger-Router festgelegten Community-Satz übereinstimmt, und konfigurieren Sie Next-Hop Disard:
route-policy RTBH
if community matches-any (1234:4321) then
set next-hop discard
else
pass
endif
end-policy
Wenden Sie die Routenrichtlinie auf die iBGP-Peers an:
router bgp 65001
address-family ipv4 unicast
!
neighbor 192.168.102.2
remote-as 65001
address-family ipv4 unicast
route-policy RTBH in
route-policy bgp_all out
Konfigurieren Sie an den Grenzschnittstellen den Modus "uRPF Lose":
interface TenGigE0/0/2/2
cdp
ipv4 address 192.168.101.2 255.255.255.0
ipv4 verify unicast source reachable-via any
Auf dem Grenz-Router wird das Präfix 10.7.7.7/32 als Nexthop-Disard markiert:
RP/0/RSP0/CPU0:router#show bgp
BGP router identifier 10.210.0.5, local AS number 65001
BGP generic scan interval 60 secs
BGP table state: Active
Table ID: 0xe0000000 RD version: 12
BGP main routing table version 12
BGP scan interval 60 secs
Status codes: s suppressed, d damped, h history, * valid, > best
i - internal, r RIB-failure, S stale, N Nexthop-discard
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
N>i10.7.7.7/32 192.168.102.2 0 100 0 ?
RP/0/RSP0/CPU0:router#show bgp 10.7.7.7/32
BGP routing table entry for 10.7.7.7/32
Versions:
Process bRIB/RIB SendTblVer
Speaker 12 12
Last Modified: Jul 4 14:37:29.048 for 00:20:52
Paths: (1 available, best #1, not advertised to EBGP peer)
Not advertised to any peer
Path #1: Received by speaker 0
Not advertised to any peer
Local
192.168.102.2 (discarded) from 192.168.102.2 (10.210.0.2)
Origin incomplete, metric 0, localpref 100, valid, internal best, group-best
Received Path ID 0, Local Path ID 1, version 12
Community: 1234:4321 no-export
RP/0/RSP0/CPU0:router#show route 10.7.7.7/32
Routing entry for 10.7.7.7/32
Known via "bgp 65001", distance 200, metric 0, type internal
Installed Jul 4 14:37:29.394 for 01:47:02
Routing Descriptor Blocks
directly connected, via Null0
Route metric is 0
No advertising protos.
Sie können auf den Eingangs-Linecards überprüfen, ob RPF-Verwerfungen auftreten:
RP/0/RSP0/CPU0:router#show cef drop location 0/0/CPU0
CEF Drop Statistics
Node: 0/0/CPU0
Unresolved drops packets : 0
Unsupported drops packets : 0
Null0 drops packets : 10
No route drops packets : 17
No Adjacency drops packets : 0
Checksum error drops packets : 0
RPF drops packets : 48505 <=====
RPF suppressed drops packets : 0
RP destined drops packets : 0
Discard drops packets : 37
GRE lookup drops packets : 0
GRE processing drops packets : 0
LISP punt drops packets : 0
LISP encap err drops packets : 0
LISP decap err drops packets :
Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
29-Jul-2013 |
Erstveröffentlichung |