Чтобы предотвратить спуфинг IP-адреса источника (RFC 2827), я включил фильтрацию обратного пути (RPF) на моем Cisco ASA 5505.
Топология прибл. как это. Каждый сегмент имеет свою подсеть IPv4 и подсеть IPv6.
guests
vlan 40 |
|
vlan 2 | vlan 10
outside --------- ASA -------- inside
|
|
vlan 30 |
dmz
Я включил RPF вот так:
ip verify reverse-path interface outside
ip verify reverse-path interface inside
ip verify reverse-path interface guests
ip verify reverse-path interface dmz
На внешнем интерфейсе я вижу, что некоторые вещи блокируются RPF, как и ожидалось, например:
Feb 20 2014 11:25:06: %ASA-1-106021: Deny ICMP reverse path check from <ip1> to <ip2> on interface outside
Однако на всех других интерфейсах я вижу десятки событий IPv6-ICMP в минуту, например:
Feb 20 2014 11:27:21: %ASA-1-106021: Deny IPv6-ICMP reverse path check from :: to ff02::16 on interface guests
Feb 20 2014 11:27:21: %ASA-1-106021: Deny IPv6-ICMP reverse path check from :: to ff02::1:ff73:8762 on interface guests
Feb 20 2014 11:27:21: %ASA-1-106021: Deny IPv6-ICMP reverse path check from :: to ff02::1:ffed:4b2d on interface guests
Эти IP-адреса кажутся Связанные с IPv6-рассылкой, согласно Википедии. Я не специалист по многоадресной рассылке.
Почему они запускают проверку RPF и что я могу с ними поделать? Это неправильная конфигурация с моей стороны или нет, могу ли я как-то остановить поток предупреждений?
В :: адрес - это неуказанный адрес. Его не часто используют на проводе, но в определенных случаях его использование разрешено. Один пример указан в RFC 3810 раздел 5.2.13, что объясняет, что пакеты ff02::16.
Такие пакеты не кажутся подделанными и не должны вызывать ошибку RPF. Поэтому я думаю, что это ошибка реализации в ASA. Я не могу быть уверен, не увидев реальных пакетов. Вероятно, будет хорошей идеей открыть для этого дело Cisco TAC.