Juniper. Настройка RPF в динамических профилях

Для примера выполню настройку unicast RPF (reverse-path forwarding) на Juniper MX204.
RPF позволяет снизить влияние атак типа DOS на IPv4 и IPv6 интерфейсы.

Для начала создадим фильтр:

edit firewall filter rpf-pass-dhcp-ixnfo
set term allow-dhcp from destination-port dhcp
set term allow-dhcp from destination-address 255.255.255.255/32
set term allow-dhcp then count rpf-dhcp-traffic
set term allow-dhcp then accept
set term discard-all then discard

И теперь применим его к нужному динамическому профилю:

edit dynamic-profiles
edit DHCP-IP-Demux interfaces demux0 unit "$junos-interface-unit" family inet
set mac-validate strict
set rpf-check fail-filter rpf-pass-dhcp-ixnfo

Unicast RPF имеет строгий и свободный режимы, в динамическом профиле по умолчанию используется строгий режим, пример включения свободного режима:

set rpf-check mode loose

Начиная с версии 19.1R1 можно посмотреть статистику на динамическом логическом интерфейсе:

run show interfaces statistics demux0 detail | match RPF

Если динамический профиль уже используется пользователями, то чтобы применить в нем изменения можно завершить сессии (если это не критично):

run show subscribers
run clear dhcp server binding all
commit

Либо можно включить опцию которая применит новую версию динамического профиля к новым пользователям, а старая версия будет использоваться пока пользователи не переподключатся:

set system dynamic-profile-options versioning

Смотрите также мою статью:
Настройка Juniper MX204

Оставьте комментарий

Добавить комментарий