为了防止 IP 源地址欺骗 (RFC 2827),我在 Cisco ASA 5505 上启用了反向路径过滤 (RPF)。
拓扑结构大致如下。每个段都有自己的 IPv4 子网和 IPv6 子网。
客人
VLAN 40 |
|
VLAN 2 | VLAN 10
外部 --------- ASA -------- 内部
|
|
VLAN 30 |
非军事区
我已经像这样启用了 RPF:
ip verify reverse-path interface outside
ip verify reverse-path interface inside
ip verify reverse-path interface guests
ip verify reverse-path interface dmz
在外部界面上,我看到一些东西被 RPF 阻止,正如预期的那样,例如:
Feb 20 2014 11:25:06: %ASA-1-106021: Deny ICMP reverse path check from <ip1> to <ip2> on interface outside
然而,在所有其他接口上,我每分钟都会看到数十个 IPv6-ICMP 事件,如下所示:
Feb 20 2014 11:27:21: %ASA-1-106021: Deny IPv6-ICMP reverse path check from :: to ff02::16 on interface guests
Feb 20 2014 11:27:21: %ASA-1-106021: Deny IPv6-ICMP reverse path check from :: to ff02::1:ff73:8762 on interface guests
Feb 20 2014 11:27:21: %ASA-1-106021: Deny IPv6-ICMP reverse path check from :: to ff02::1:ffed:4b2d on interface guests
这些 IP 似乎是IPv6-多播相关根据 Wikipedia。我不是多播方面的专家。
为什么它们会触发 RPF 检查?我该怎么办?这是我的配置错误吗?我能以某种方式阻止大量警报吗?
答案1
该::地址是未指定的地址。它不经常在线上使用,但在某些情况下允许使用。一个例子是RFC 3810 第 5.2.13 节,它向 解释数据包ff02::16。
此类数据包似乎不是伪造的,不应触发 RPF 错误。因此,我认为这是 ASA 中的一个实现错误。但是,如果没有看到实际数据包,我无法确定。为此开立 Cisco TAC 案例可能是个好主意。