uRPF技术:
单播逆向路径转发(Unicast Reverse Path Forwarding),其主要功能是防止基于源地址欺骗的网络攻击行为。
在没有配置uRPF技术时,网络设备不检查数据包的源地址,只关心能不能到达目的地址。由此,产生了虚假源地址欺骗网络攻击行为,例如基于源地址欺骗的DOS攻击和DDOS攻击。
uRPF有两种模式:
1.松散模式(loose)
设备检查流入数据包的源地址,在此设备上只要有和源地址相同网段的明细路由就能会放行。
2.严格模式(strict)
设备检查流入数据包的源地址,在此设备上不仅要有和源地址相同网段的明细路由,还要求这条路由必须是从这个接口学习而来的才能放行。
命令格式
华为:
ip urpf { loose | strict | allow default-route }
undo ip urpf { loose | strict | allow default-route }
视图
CE12800交换机:
系统视图
10GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、VLANIF接口视图
<HUAWEI> system-view
[~HUAWEI] ip urpf strict
[~HUAWEI] vlan 100 [*HUAWEI-vlan100] quit [*HUAWEI] interface vlanif 100 [*HUAWEI-Vlanif100] ip urpf enable
S6700、S9300系列的交换机:
-
执行命令system-view,进入系统视图。
-
执行命令interface interface-type interface-number,进入接口视图。
-
(可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。缺省情况下,以太网接口处于二层模式,二层模式下不能开启URPF。URPF只能在三层接口启用。
-
执行命令urpf { loose | strict } [ allow-default-route ],使能接口的URPF功能并配置URPF模式。缺省情况下,接口未使能URPF功能。
H3C全局开启uRPF
配置步骤
(1) 进入系统视图。
system-view
(2) 开启全局uRPF功能。
ip urpf { loose | strict }
缺省情况下,uRPF功能处于关闭状态。
uRPF显示和维护
在完成上述配置后,在任意视图下执行display命令可以显示配置uRPF后的运行情况,通过查看显示信息验证配置的效果。
[H3C]dis ip urpf
Global uRPF configuration information:
Check type: strict
Allow default route
思科、锐捷uRPF(Unicast Reverse Path Forwarding 单播的反向路径转发)
(1)uRPF概述
uRPF功能是让路由器具备防IP欺骗或IP伪造的能力。uRPF所认为的IP伪造,是指某个IP的数据包的并不应该从某个接口进来,却从某个接口进来了,那么这样的数据包便认为是具有IP欺骗性质的,默认是被丢弃的。
(2)uRPF检测
当路由器从某个开启了uRPF的接口上收到数据包之后,都会检测该数据包的源IP地址,同时与路由表中的路由条目作对比,经过判断后,如果到达这个源IP的出口确实是这个开了uRPF的接口,则数据包被转发,否则被丢弃。
因为uRPF开启后,所有从此接口进入的数据包都要被检测,速度将会变慢,所以必须开启CEF后,才能开启uRPF。uRPF只能在in方向上开启,在做检查时,所有到源IP的最优路径都认为是可行的。
在正常情况下,如果一个数据包无法通过uRPF检查,那么该数据包默认是丢弃的,但是有时因为特殊原因,可以让某些即使检查失败的数据包也能通过,要做到这一点,就可以在开启uRPF除加ACL,其中检查失败的数据包,是丢弃还是放行,全由ACL来定,ACL允许,就放行,ACL拒绝,就丢弃。
(3)Strict Mode 严格模式
Router (config-if)# ip verify unicast source reachable-via rx
在接口上开启uRPF的严格模式
Router (config-if)# ip verify unicast reverse-path
Loose Mode 宽松模式
Router (config-if)# ip verify unicast source reachable-via any 在接口上开启uRPF的宽松模式
(4)uRPF 配置
Router(config-if)#ip verify unicast reverse-path
接口上开启uRPF,默认检测进入接口的所有数据包。
Router(config)#access-list 100 permit ip host 3.3.3.3 any
Router(config-if)#ip verify unicast reverse-path 100
标签:源地址,uRPF,ip,URPF,接口,---,视图,数据包 From: https://www.cnblogs.com/Mingcheng/p/17784226.html