- 1、本文档共3页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
配置URPF
配置URPF
1配置URPF
在以下的介绍中所指的路由器,代表了一般意义下的路由器以及运行了路由协议的以太网交换机。为提高可读性,在手册的描述中将不另行说明。
1.1URPF简介
1.1.1URPF概述
URPF(Unicast Reverse Path Forwarding,单播反向路径转发)的主要功能是用于防止基于源地址欺骗的网络攻击行为。
源地址欺骗攻击为入侵者构造出一系列带有伪造源地址的报文,对于使用基于IP地址验证的应用来说,此攻击方法可以导致未被授权用户以他人身份获得访问系统的权限,甚至是以管理员权限来访问。即使响应报文不能达到攻击者,同样也会造成对被攻击对象的破坏。
图1-1源地址欺骗攻击示意图
如图1-1所示,在Router A上伪造源地址为2.2.2.1/8的报文,向服务器Router B发起请求,Router B响应请求时将向真正的“2.2.2.1/8”发送报文。这种非法报文对Router B和Router C都造成了攻击。
URPF技术可以应用在上述环境中,阻止基于源地址欺骗的攻击。
1.1.2URPF处理流程
URPF检查有严格(strict)型和松散(loose)型两种。此外,还可以支持ACL与链路层、缺省路由的检查。
URPF的处理流程如下:
(1) 首先检查源地址合法性。
l 对于广播地址,直接予以丢弃。
l 对于全零地址,如果目的地址不是广播,则丢弃(源地址为0.0.0.0,目的地址为255.255.255.255的报文,可能是DHCP或者BOOTP报文,不做丢弃处理)。
(2) 如果报文的源地址在路由器的FIB表中存在
l 对于strict型检查,反向查找报文出接口,若其中至少有一个出接口和报文的入接口相匹配,则报文通过检查;否则报文将被拒绝(反向查找是指查找以该报文源IP地址为目的IP地址的报文的出接口)。
l 对于loose型检查,报文通过检查。
(3) 如果报文的源地址在路由器的FIB表中存在,且报文通过了检查,则检查链路层信息。
l 如果没有配置参数link-check,则认为报文通过检查,进行正常的转发。
l 如果配置了参数link-check,则根据FIB表中的下一跳查询ARP表,并比较IP报文源MAC地址与ARP表中的MAC地址是否一致,如果两者一致,则报文通过检查;如果查询失败或两者不一致,则报文将被拒绝。
(4) 如果报文的源地址在路由器的FIB表中不存在,则检查缺省路由及URPF的allow-default-route参数。
l 如果没有配置缺省路由,则不管是strict型检查还是loose型检查,该报文都将被拒绝;
l 对于配置了缺省路由,但没有配置参数allow-default-route的情况,不管是strict型检查还是loose型检查,该报文都将被拒绝;
l 对于配置了缺省路由,同时又配置了参数allow-default-route的情况下,如果是strict型检查,只要缺省路由的出接口与报文的入接口一致,则报文将通过URPF的检查,进行正常的转发;如果缺省路由的出接口和报文的入接口不一致,则报文将被拒绝。如果是loose型检查,报文都将通过URPF的检查,进行正常的转发。
(5) 当且仅当报文被拒绝后,才去匹配ACL。如果被ACL允许通过,则报文继续进行正常的转发(此类报文称为被抑制丢弃的报文);如果被ACL拒绝,则报文被丢弃。
1.2配置URPF
用户可在接口配置URPF功能,接口配置只对单个接口生效。
表1-1配置接口URPF
配置步骤 命令 说明 进入系统视图 system-view - 进入接口视图 interfaceinterface-type interface-number - 在接口使能URPF检查 ip urpf { loose | strict} [ allow-default-route ] [ acl acl-number ] [ link-check ] 必选
缺省情况下,接口禁止URPF检查
l URPF检查仅对接口收到的报文有效。
l 如果在接口使能URPF检查功能,用户可以通过display ip interface命令查看URPF功能丢弃报文的统计信息(URPF Information:Drops表示被丢弃的报文数目;Suppressed drops表示被抑制丢弃的报文数目)。
1.3URPF典型配置举例
1.3.1URPF配置举例
1.组网需求
客户路由器Router A与ISP路由器Router B直连,在Router B的接口Ethernet1/1上启动URPF,要求严格检查,源地址在ACL 2010中的报文在任何情况下都能通过检查;在Router A的接口Ethernet1/1上启动URPF,要求严格检查,同
您可能关注的文档
最近下载
- 实验室检测培训总结.docx VIP
- 大学学110周年庆典综艺晚会舞美灯光音响舞台工程投标文件(技术标).docx
- 《中华人民共和国安全生产法》试题.doc VIP
- 公路工程质量检验评定标准(JTG F801-2017)培训课件.pptx
- ASCO 胰腺癌领域治疗新进展.pptx
- 高三读后续写题库练习题55篇(含范文解析).pdf VIP
- 2024届湖北省七市州高三3月联考语文试题评讲课件.pptx
- 食品生产企业食品安全主要主体责任清单、每日食品安全检查记录.pdf VIP
- 急性上消化道出血急诊诊治流程--危重病课件.ppt
- 湖北省七市州2024届高三下学期3月联考二模语文试题及答案解析.docx
文档评论(0)