欢迎user
09-URPF典型配置指导
本章节下载: 09-URPF典型配置指导 (115.07 KB)
目 录
URPF(Unicast Reverse Path Forwarding,单播反向路径转发)的主要功能是用于防止基于源地址欺骗的网络攻击行为。
源地址欺骗攻击为入侵者构造出一系列带有伪造源地址的报文,对于使用基于IP地址验证的应用来说,此攻击方法可以导致未被授权用户以他人身份获得访问系统的权限,甚至是以管理员权限来访问。即使响应报文不能达到攻击者,同样也会造成对被攻击对象的破坏。
URPF检查有严格(strict)型和松散(loose)型两种。
不仅检查报文的源地址是否在FIB表中存在,而且检查报文的入接口与FIB表是否匹配。
在一些特殊情况下(如非对称路由),严格型检查会错误的丢弃非攻击报文。
一般将严格型检查布置在ISP的用户端和ISP端之间。
仅检查报文的源地址是否在FIB表中存在,而不再检查报文的入接口与FIB表是否匹配。
松散型检查可以避免错误的拦截合法用户的报文,但是也容易忽略一些攻击报文。
一般将松散型检查布置在ISP-ISP端。另外,如果用户无法保证路由对称,可以使用松散型检查。
图1-1 URPF典型配置组网图
如图1-1所示,在ISP网络中存在DoS(Denial of Service)攻击,导致网络中的用户无法正常访问,运营商希望能够在出口设备上对报文的源IP地址进行验证,阻止非法用户用伪造的源IP地址进行DoS攻击。
配置URPF功能,对用户报文的源地址进行反查。在ISP与用户端,配置严格URPF,在ISP与ISP端,配置松散URPF。
产品 |
软件版本 |
S7500E系列以太网交换机 |
Release 6300系列,Release 6600系列,Release 6610系列 |
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
# 使能严格型URPF检查。
<Switch> system-view
[Switch] ip urpf strict
# 仅S5800&S5820X系列以太网交换机的Release 1211和CE3000-32F以太网交换机的Release 1211版本支持配置使能松散型URPF检查。
<Switch> system-view
[Switch] ip urpf loose
以S5800&S5820X系列以太网交换机的Release 1110软件版本为例:
#
ip urpf strict
#
开启URPF功能时,交换机可能会出现路由规格减半情况(路由规格减半情况为:交换机支持的最大可容纳的路由数,在开启URPF功能后变为开启前的一半)。并且当交换机的路由数超过该交换机可最大容纳的路由数一半时,URPF功能将不能开启,避免了路由表项丢失以及由其引起的数据包丢失。具体情况请参见各产品的URPF配置手册。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!