প্রান্তে ইউনিকাস্ট আরপিএফ

ইউনিকাস্ট আরপিএফ এমন উত্সের ঠিকানাগুলি রোধ করবে যা তাদের অনুমতি দেওয়া উচিত। ইউআরপিএফ-এর জন্য সিসকো ডকুমেন্টেশন পড়ার সময়, আমি লক্ষ্য করেছি যে এটি আপলিংক ইন্টারফেসে রাউটিং-টেবিলের সাহায্যে ব্যবহারের অনুমতি দেওয়ার বিকল্প রয়েছে।

আমার প্রশ্ন হ'ল এটি যদি কোনও ডিফল্ট রুটে চলে যায় তবে কী সমস্ত উত্সের ঠিকানা দেওয়া যাবে না? এই মুহুর্তে ইউআরপিএফ কী উপকার করবে?

আমি নিশ্চিত যে আমি কিছু মিস করছি, তাই আমি সত্যিই সঠিক দিকের একটি পয়েন্ট চাই।

ইউনিকাস্ট রিভার্স পাথ ফরওয়ার্ডিং (আরপিএফ) তিনটি স্বতন্ত্র পদ্ধতিতে ফাংশন করে এবং বিশেষত স্পুফড আইপি অ্যাড্রেসগুলি থেকে রাউটারের আক্রমণ ভেক্টরকে হ্রাস করতে সম্ভবত সহায়তা করতে পারে।

কঠোর মোড

(config-if)#ip verify unicast source reachable-via rx

কঠোর মোডে, একটি রাউটার একটি ম্যাচিং রুটের জন্য ফরওয়ার্ডিং ইনফরমেশন বেস (এফআইবি) টেবিলের বিপরীতে আগত প্যাকেটের উত্স আইপি ঠিকানাটি পরীক্ষা করবে এবং এটি পরীক্ষা করবে। যদি সেই উত্সের আইপি ঠিকানার রুটটি ইন্টারফেসের মাধ্যমে পৌঁছতে পারে তবে এটি প্যাকেটটি প্রাপ্ত হবে। ডিফল্টরূপে, একটি ডিফল্ট রুট কঠোর মোডে বিবেচিত হয় না (উপরে কনফিগার করা হিসাবে)।

কঠোর মোড বিকল্পসমূহ:

প্রদত্ত ইন্টারফেসে ইউনিকাস্ট আরপিএফ কঠোর মোডের কনফিগারেশন অনুসরণ করার পরে, রাউটার আর সেই ইন্টারফেসে নিজেকে পিং করতে পারে না:

#sh ip int bri | ex unas|Int
FastEthernet0/0            11.0.11.1

#ping 11.0.11.1                                    
.....
Success rate is 0 percent (0/5)

ইউআরপিএফ ড্রপ প্যাকেটগুলির যাচাইকরণ:

#show ip int fa0/0 | i ^  [1-9]+ verification drops
     5 verification drops
#show ip traffic | i unicast
     0 no route, 5 unicast RPF, 0 forced drop

এই আচরণটি allow-self-pingসিনট্যাক্স যুক্ত করে পরিবর্তন করা যেতে পারে :

(config-if)#ip verify unicast source reachable-via rx allow-self-ping

অতিরিক্ত হিসাবে, আপনার প্রশ্নে উল্লিখিত হিসাবে, কঠোর মোড আগত প্যাকেটের উত্স আইপি ঠিকানাগুলিকে একটি ডিফল্ট রুটের বিপরীতে চেক করার অনুমতি দিতে পারে। এটি সিনট্যাক্স দ্বারা সক্ষম করা হয়েছে allow-default:

কঠোর মোডে, allow-defaultনিজে থেকে সিনট্যাক্স যুক্ত করা কেবল আগত প্যাকেটের উত্স আইপি ঠিকানা থেকে প্রাপ্তি রোধ করবে যা প্রাপ্তির চেয়ে আলাদা ইন্টারফেসের মাধ্যমে বেরিয়ে এসেছে। এটি ধরে নেওয়া হচ্ছে যে রাউটারে কোনও অ্যাক্সেস-তালিকা বা নাল রুট কনফিগার করা নেই। সমস্ত প্রাপ্ত রুটযোগ্য উত্স ঠিকানা যা তারা প্রাপ্ত ইন্টারফেসের বাইরে পৌঁছনীয় হয় সেগুলি নির্দিষ্ট রুটের সাথে বা ডিফল্ট রুটের সাথে মিলবে।

তবে, আপনি যদি নাল রুটগুলি নিযুক্ত করে থাকেন তবে ইউআরপিএফ চেকটি ডিফল্ট রুটে যাওয়ার আগে প্রথমে সুনির্দিষ্ট সুনির্দিষ্ট রুটের মূল্যায়ন করা হবে এবং জানা দূষিত আইপি রেঞ্জের জন্য একটি কালো তালিকা (গুলি) হিসাবে কাজ করবে।

উদাহরণ - 3.0.০.০.০/৮ থেকে উত্সাহিত সমস্ত ট্র্যাফিক ইউআরপিএফ চেক দ্বারা নামিয়ে দেওয়া হবে:

(config-if)#ip verify unicast source reachable-via rx allow-default
(config)#ip route 3.0.0.0 255.0.0.0 null 0

Bad-Source-RTR#ping 11.0.11.1 so l1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 11.0.11.1, timeout is 2 seconds:
Packet sent with a source address of 3.3.3.3 
.....
Success rate is 0 percent (0/5)

তদতিরিক্ত, আপনি allow-defaultঅনুমোদিত এবং অস্বীকৃত ঠিকানাগুলির কাঠামোগত তালিকাটি সম্পাদন করতে সিনট্যাক্স যুক্ত করার পরিবর্তে একটি অ্যাক্সেস-কন্ট্রোল তালিকা (এসিএল) নির্দিষ্ট করতে পারেন । ঠিকানাগুলি যেগুলি ইন্টারফেসের বাইরে এসে পৌঁছেছিল এবং সংজ্ঞাযুক্ত এসিএলে ম্যাচ করা হয় সেগুলি বাদ দেওয়া হয় বা সে অনুযায়ী অনুমতি দেওয়া হয়।

!
access-list 23 permit 3.0.0.0 0.255.255.255
access-list 23 deny   4.0.0.0 0.255.255.255 log
access-list 23 permit any
!
(config)#int fa0/0                                 
(config-if)#ip verify unicast source reachable-via rx 23

অবশেষে, আপনি allow-defaultসিনট্যাক্স সহ একটি এসিএল নির্দিষ্ট করতে পারেন , তবে এর কোনও প্রভাব থাকবে না। প্যাকেটগুলি allow-defaultবিকল্পের সাথে নির্দিষ্ট এসিএলগুলির বিরুদ্ধে চেক করা হবে না ।

#ip verify unicast source reachable-via rx allow-default ? 
  <1-199>          A standard IP access list number
  <1300-2699>      A standard IP expanded access list number

লুজ মোড

R1(config-if)#ip verify unicast source reachable-via any

আলগা মোডে, একটি রাউটার একটি ইনকামিং প্যাকেটের উত্স আইপি ঠিকানাটি পরীক্ষা করবে এবং এটি কোনও মিলের রুটের জন্য FIB টেবিলের বিপরীতে পরীক্ষা করবে। যদি সেই উত্সের আইপি ঠিকানার রুটটি অ্যাক্সেসযোগ্য হয় তবে প্যাকেটটি ইন্টারফেসটি গ্রহণ না করেই প্রাপ্ত হতে পারে । ডিফল্টরূপে, একটি ডিফল্ট রুটটি আলগা মোডে বিবেচনা করা হয় না (উপরে কনফিগার করা হিসাবে)।

আলগা মোড এবং কঠোর মোডের অনুরূপ কনফিগারেশন বিকল্প রয়েছে; প্রধান পার্থক্য হ'ল ব্যবহৃত বাক্য গঠন ( anyবনাম rx) এবং আগত প্যাকেটের উত্স আইপি ঠিকানাটি যে ইন্টারফেসটি পেয়েছিল তা মাধ্যমে পৌঁছনীয় কিনা।

(config-if)#ip verify unicast source reachable-via any ?
  <1-199>          A standard IP access list number
  <1300-2699>      A standard IP expanded access list number
  allow-default    Allow default route to match when checking source address
  allow-self-ping  Allow router to ping itself (opens vulnerability in
                   verification)

ভিআরএফ মোড

ভিআরএফ মোড কোনও প্রদত্ত ভিআরএফ-তে আলগা বা কঠোর মোডের উত্তোলন করতে পারে এবং কোনও ইবিজিপি প্রতিবেশীর জন্য কনফিগার করা ভিআরএফ টেবিলের বিপরীতে আগত প্যাকেটের উত্স আইপি ঠিকানাটি মূল্যায়ন করবে।

তথ্যসূত্র:
সিসকো ইউআরপিএফ সাদা কাগজ ইউনিকাস্ট
বিপরীত পথ ফরোয়ার্ডিং
ইউআরপিএফ কনফিগারেশন গাইড