Интерфейс Dummy

Интерфейс Dummy выполняет функции, аналогичные интерфейсу Loopback. Однако в отличие от интерфейса Loopback, который может быть только один, интерфейс Dummy может быть несколько.

Примечание

Dummy-интерфейсы всегда остается в состоянии активен (UP) аналогично Loopback-интерфейсу.

На системах с несколькими резервными каналами связи и маршрутами рекомендуется использовать выделенный адрес для управления и динамических протоколов маршрутизации. Однако назначение этого адреса физическому каналу связи является рискованным: если этот канал выйдет из строя, адрес станет недоступным. Общее решение заключается в том, чтобы назначить управляющий адрес на loopback-интерфейс (виртуальный интерфейс обратной петли) или dummy-интерфейс (фиктивный интерфейс) и анонсировать этот адрес через все физические каналы, чтобы он был доступен через любой из них. Поскольку в системах на базе Linux может быть только один loopback-интерфейс, предпочтительнее использовать dummy-интерфейс для этой цели, поскольку их можно добавлять, удалять и отключать независимо друг от друга.

Интерфейс Dummy получают имена в формате «dumN», где «N» — идентификатор, присвоенный интерфейсу.

Настройка dummy-интерфейса

  1. Назначить dummy-интерфейсу IP-адрес и префикс сети:

set interfaces dummy dumN address <address>

где:

  • <address> – IPv4-адрес или IPv6-адрес для интерфейса в формате <x.x.x.x/x> и <h:h:h:h:h:h:h:h/x> соответственно. Возможно указать несколько адресов для интерфейса.

  1. Установить описания для dummy-интерфейса:

set interfaces dummy dumN description <description>

где:

  • <description> – описание интерфейса.

  1. Установить значение MTU для dummy-интерфейса:

set interfaces dummy dumN mtu <mtu>

где:

  • <mtu> – значение MTU для dummy-интерфейса. Возможно указать значение в диапазоне от «68» до «16000». По умолчанию используется значение «1500».

  1. Отключить dummy-интерфейс:

set interfaces dummy dumN disable

После отключения интерфейс будет переведен в состояние административного отключения (A/D).

Дополнительные настройки dummy-интерфейса

  1. Включить политику проверки источника по обратному пути, как указано в RFC 3704:

set interfaces dummy dumN ip source-validation <strict | loose | disable>

где <strict | loose | disable> - режим проверки источника. Возможно указать следующие значения:

  • strict - каждый входящий пакет проверяется по FIB, и принимается только если пришёл через оптимальный (наилучший) обратный путь, определенный в таблице маршрутизации. Все пакеты, не удовлетворяющие этому условию, автоматически отбрасываются.

  • loose - адрес источника каждого входящего пакета также проверяется по FIB, и если адрес источника не достижим ни через один интерфейс, проверка пакета будет неудачной.

  • disable - нет проверки источника.

В настоящее время в RFC 3704 рекомендуется включать «strict» режим для предотвращения подмены IP адресов в результате DDos атак. При использовании асимметричной или другой сложной маршрутизации рекомендуется использовать «loose» режим.

  1. Отключить IP-форвардинг (пересылку пакетов) для dummy-интерфейса:

set interfaces dummy dumN ip|ipv6 disable-forwarding

  1. Настроить IPv6-адрес на dummy-интерфейсе, используя механизм EUI-64 для автоматической генерации уникального идентификатора интерфейса:

set interfaces dummy dumN ipv6 address eui64 <prefix>

где <prefix> - префикс IPv6 в формате <h:h:h:h:h:h:h:h/64>.

  1. Отключить автоматическое назначение link-local IPv6-адреса на dummy-интерфейсе:

set interfaces dummy dumN ipv6 address no-default-link-local

  1. Перенаправить входящий трафик с dummy-интерфейса на другой интерфейс:

set interfaces dummy dumN redirect <интерфейс>

где <интерфейс> - имя интерфейса, на который будет перенаправляться весь входящий трафик. Интерфейс должен быть определён в системе.

  1. Разместить dummy-интерфейс в определенном экземпляре VRF:

set interfaces dummy dumN vrf <vrf>

где <vrf> - имя VRF.

SPAN

Функция зеркалирования интерфейсов в ARMA Стена позволяет копировать входящий и исходящий трафик интерфейса на другой интерфейс. Функция используется для анализа трафика и должна поддерживаться принимающим устройством, например, коммутатором.

Для настройки зеркалирования dummy-интерфейса для входящего трафика необходимо ввести команду:

set interfaces dummy dumN mirror ingress eth1

Входящий трафик на интерфейсе «dumN» копируется на интерфейс «eth1». Интерфейсы приведены в качестве примера.

Для настройки зеркалирования dummy-интерфейса для исходящего трафика необходимо ввести команду:

set interfaces dummy dumN mirror egress eth1

Исходящий трафик на интерфейсе «dumN» копируется на интерфейс «eth1». Интерфейсы приведены в качестве примера.

Мониторинг dummy-интерфейса

  1. Вывести информацию о dummy-интерфейсах:

admin@ngfwos:~$ show interfaces dummy

Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface        IP Address                                         S/L  Description
---------        ----------                                         ---  -----------
dumN             х.х.х.х/x                                        u/u

admin@ngfwos:~$

  1. Вывести подробную информацию о dummy-интерфейсе:

admin@ngfwos:~$ show interfaces dummy dumN

dum1: <BROADCAST,NOARP,UP,LOWER_UP> mtu 16000 qdisc noqueue state UNKNOWN group default qlen 1000
    link/ether 4a:7b:19:48:fd:1e brd ff:ff:ff:ff:ff:ff
    inet х.х.х.х/x brd х.х.х.х scope global dum1
       valid_lft forever preferred_lft forever
    inet6 fe80::487b:19ff:fe48:fd1e/64 scope link
       valid_lft forever preferred_lft forever

    RX:  bytes  packets  errors  dropped  overrun       mcast
             0        0       0        0        0           0
    TX:  bytes  packets  errors  dropped  carrier  collisions
             0        0       0        0        0           0

admin@ngfwos:~$