Configurar o IPv6 Black-Holing através da interface Null0

Opções de download

  • PDF     (218.2 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (100.0 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (85.7 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:30 de julho de 2012
ID do documento:113635

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve como configurar Black-Holing em IPv6 através da interface Null0. O roteamento Black Hole é um método que permite que o administrador bloqueie o tráfego indesejável, como o tráfego de fontes ilegais ou o tráfego gerado por um ataque de negação de serviço (DoS), roteando dinamicamente o tráfego para uma interface inoperante ou para um host projetado para coletar informações para investigação, o que atenua o impacto do ataque na rede.

Prerequisites

Requirements

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Ter uma compreensão do protocolo de roteamento BGP e sua operação

  • Ter uma compreensão do esquema de endereçamento IPv6

Componentes Utilizados

As informações neste documento são baseadas no Cisco 7200 Series Router com Cisco IOS® Software Release 15.0(1).

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Observação: use a Command Lookup Tool (somente clientes registrados) para encontrar mais informações sobre os comandos usados neste documento.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

configure-ipv6-black-holing-01.gif

Nesta rede, os roteadores e R1 e R2 formam uma relação de eBGP entre si. Os roteadores usam OSPFv3 para se comunicar internamente. No roteador R1, o Black-holing é obtido pela configuração de Null0 de tal forma que todos os pacotes com endereço de origem 20:20::20/128 sejam direcionados para Null0. Em outras palavras, todo o tráfego roteado para Null0 é descartado.

Configurações de exemplo

Este documento utiliza as seguintes configurações:

Roteador R1 
!
hostname R1
!
no ip domain lookup
ip cef
ipv6 unicast-routing
ipv6 cef
!
!
interface Loopback1
 no ip address
 ipv6 address AA::1/128
 ipv6 enable
 ipv6 ospf 10 area 0
!
interface Loopback10
 no ip address
 ipv6 address AA:10::10/128
 ipv6 enable
!
interface FastEthernet1/0
 no ip address
 speed auto
 duplex auto
 ipv6 address 2012:AA::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
!
router bgp 6501
 bgp router-id 1.1.1.1
 bgp log-neighbor-changes
 no bgp default ipv4-unicast
 neighbor BB::1 remote-as 6502
 neighbor BB::1 ebgp-multihop 2
 neighbor BB::1 update-source Loopback1
 !
 address-family ipv4
 exit-address-family
 !
 address-family ipv6
  redistribute static
  network AA:10::10/128
  neighbor BB::1 activate
 exit-address-family
!
ipv6 route 20:20::20/128 Null0
ipv6 router ospf 10
 router-id 1.1.1.1
!
end

Roteador R2 
!
hostname R2
!
ipv6 unicast-routing
ipv6 cef
!
!
interface Loopback1
 no ip address
 ipv6 address BB::1/128
 ipv6 enable
 ipv6 ospf 10 area 0
!
interface Loopback20
 no ip address
 ipv6 address 20:20::20/128
 ipv6 enable
!
interface FastEthernet1/0
 no ip address
 speed auto
 duplex auto
 ipv6 address 2012:AA::2/64
 ipv6 enable
 ipv6 ospf 10 area 0
!
router bgp 6502
 bgp router-id 2.2.2.2
 bgp log-neighbor-changes
 no bgp default ipv4-unicast
 neighbor AA::1 remote-as 6501
 neighbor AA::1 ebgp-multihop 2
 neighbor AA::1 update-source Loopback1
 !
 address-family ipv4
 exit-address-family
 !
 address-family ipv6
  network 20:20::20/128
  neighbor AA::1 activate
 exit-address-family
!
ipv6 router ospf 10
 router-id 2.2.2.2
!
end

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Para verificar a configuração do eBGP, use os comandos show ipv6 route bgp e show bgp ipv6 unicast no roteador R1.

Roteador R1
show ipv6 route 
R1#show ipv6 route bgp
IPv6 Routing Table - default - 7 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
       B - BGP, HA - Home Agent, MR - Mobile Router, R - RIP
       I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary
       D - EIGRP, EX - EIGRP external, ND - Neighbor Discovery
       O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
       ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2

!--- The router R2 advertises the network 20:20::20/128, !--- but still the routing table is empty.
Para verificar quais são as rotas recebidas pelo BGP, use o comando show bgp ipv6 unicast. 
R1#show bgp ipv6 unicast
BGP table version is 3, local router ID is 1.1.1.1
Status codes: s suppressed, d damped, h history, * valid, > best, I - internal,
              r RIB-failure, S Stale
Origin codes: I - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*  20:20::20/128    BB::1                    0             0 6502 I
*>                  ::                       0         32768 ?
*> AA:10::10/128    ::                       0         32768 I

!--- Note that the route 20:20::20/128 is received, !--- but it is not installed in the routing table.

Use a origem como interface de loopback 20 para tentar fazer ping no roteador R1 a partir do roteador R2.

R2#ping ipv6 AA:10::10 source lo20

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to AA:10::10, timeout is 2 seconds:
Packet sent with a source address of 20:20::20
.....
Success rate is 0 percent (0/5)

!--- The reason is the ICMP packet reaches !--- router R1 with source address as !--- 20:20::20/128 and therefore gets dropped.

Tente fazer ping no roteador R1 a partir do roteador R2 sem usar a interface de loopback como origem.

R2#ping AA:10::10

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to AA:10::10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/61/180 ms

!--- In this case, the ICMP packet has !--- the source address as BB::1.

Se a instrução ipv6 route 20:20::20/128 Null0 for removida do roteador R1, a rota 20:20::20/128 anunciada pelo roteador R2 será instalada na tabela de roteamento do roteador R1. Este é o exemplo de saída:

No roteador R1 
R1(config)#no ipv6 route 20:20::20/128 Null0



!--- The Null0 command in removed from router R1.


R1#show bgp ipv6 unicast
BGP table version is 7, local router ID is 1.1.1.1
Status codes: s suppressed, d damped, h history, * valid, > best, I - internal,
              r RIB-failure, S Stale
Origin codes: I - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*> 20:20::20/128    ::                       0         32768 ?
*                   BB::1                    0             0 6502 I
*> AA:10::10/128    ::                       0         32768 I

!--- After the removal of the statement, !--- the route 20:20::20/128 is shown as best route.


R1#show ipv6 route bgp
IPv6 Routing Table - default - 7 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
       B - BGP, HA - Home Agent, MR - Mobile Router, R - RIP
       I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary
       D - EIGRP, EX - EIGRP external, ND - Neighbor Discovery
       O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
       ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
B   20:20::20/128 [20/0]
    via BB::1


!--- You can see that the route is displayed in routing table.

Agora, tente fazer ping no roteador R1 a partir do roteador R2 com a origem como interface de loopback Lo 20.

R2#ping ipv6  AA:10::10 source lo20

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to AA:10::10, timeout is 2 seconds:
Packet sent with a source address of 20:20::20
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/54/140 ms

!--- You can see that the ping is successful.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
30-Jul-2012
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos