为了防止IP源地址欺骗(RFC 2827),我在思科ASA 5505上启用了反向path过滤(RPF)。
拓扑结构是aprox。 喜欢这个。 每个网段都有自己的IPv4子网和IPv6子网。
宾客
vlan 40 |
|
vlan 2 | vlan 10
外面--------- ASA --------里面
|
|
vlan 30 |
DMZ
我已经启用了这样的RPF:
ip verify reverse-path interface outside ip verify reverse-path interface inside ip verify reverse-path interface guests ip verify reverse-path interface dmz 在外部界面上,我看到有些东西被RPF阻止,如:
Feb 20 2014 11:25:06: %ASA-1-106021: Deny ICMP reverse path check from <ip1> to <ip2> on interface outside
但是,在所有其他接口上,我会看到数十个IPv6-ICMP事件,如下所示:
Feb 20 2014 11:27:21: %ASA-1-106021: Deny IPv6-ICMP reverse path check from :: to ff02::16 on interface guests Feb 20 2014 11:27:21: %ASA-1-106021: Deny IPv6-ICMP reverse path check from :: to ff02::1:ff73:8762 on interface guests Feb 20 2014 11:27:21: %ASA-1-106021: Deny IPv6-ICMP reverse path check from :: to ff02::1:ffed:4b2d on interface guests
根据维基百科,这些IP似乎是IPv6多播相关的 。 我不是多播的专家。
他们为什么触发RPF检查,我能做些什么呢? 这是我的一个错误的configuration或不是,我可以以某种方式停止警报洪水?
:: address是未指定的地址。 它不常用在电线上,但在某些情况下允许使用。 一个例子在RFC 3810第5.2.13节中给出 ,它解释了到ff02::16的数据包。
这样的数据包似乎并不欺骗,不应该引发RPF错误。 因此我认为这是ASA中的一个实现错误。 我不能确定,但没有看到实际的数据包。 为此,打开思科TAC案例可能是一个好主意。