登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

10-安全配置指导

目录

15-URPF配置

本章节下载 15-URPF配置  (153 KB)

15-URPF配置

  录

1 配置URPF

1.1 URPF简介

1.1.1 URPF概述

1.1.2 URPF处理流程

1.2 配置URPF

1.3 URPF典型配置举例

1.3.1 URPF配置举例

 

1 配置URPF

说明

本文中的“SPC单板”指的是单板丝印以“SPC”开头(如SPC-GT48L)的接口板。

 

1.1  URPF简介

1.1.1  URPF概述

URPF(Unicast Reverse Path Forwarding,单播反向路径转发)的主要功能是用于防止基于源地址欺骗的网络攻击行为。

源地址欺骗攻击为入侵者构造出一系列带有伪造源地址的报文,对于使用基于IP地址验证的应用来说,此攻击方法可以导致未被授权用户以他人身份获得访问系统的权限,甚至是以管理员权限来访问。即使响应报文不能到达攻击者,同样也会造成对被攻击对象的破坏。

图1-1 源地址欺骗攻击示意图

 

如上图所示,在Router A上伪造源地址为2.2.2.1/8的报文,向服务器Router B发起请求,Router B响应请求时将向真正的“2.2.2.1/8”发送报文。这种非法报文对Router B和Router C都造成了攻击。

URPF技术可以应用在上述环境中,阻止基于源地址欺骗的攻击。

1.1.2  URPF处理流程

URPF检查有严格(strict)型和松散(loose)型两种。此外,还可以支持缺省路由的检查。

URPF的处理流程如下:

(1)      首先检查源地址合法性。

·              对于广播地址,直接予以丢弃;

·              对于全零地址,如果目的地址不是广播,则丢弃(源地址为0.0.0.0,目的地址为255.255.255.255的报文,可能是DHCP或者BOOTP报文,不做丢弃处理)。

(2)      如果报文的源地址在路由器的FIB表中存在。

·              对于strict型检查,则反向查找报文出接口,若其中至少有一个出接口和报文的入接口相匹配,则报文通过检查;否则报文将被丢弃(反向查找是指查找以该报文源IP地址为目的IP地址的报文的出接口);

·              对于loose型检查,报文通过检查。

(3)      如果报文的源地址在路由器的FIB表中不存在,则检查缺省路由及URPF的allow-default-route参数。

·              如果没有配置缺省路由,则不管是strict型检查还是loose型检查,该报文都将被丢弃;

·              对于配置了缺省路由,但没有配置参数allow-default-route的情况,不管是strict型检查还是loose型检查,该报文都将被丢弃;

·              对于配置了缺省路由,同时又配置了参数allow-default-route的情况下,如果是strict型检查,只要缺省路由的出接口与报文的入接口一致,则报文将通过URPF的检查,进行正常的转发;如果缺省路由的出接口和报文的入接口不一致,则报文将丢弃。如果是loose型检查,报文都将通过URPF的检查,进行正常的转发。

1.2  配置URPF

表1-1 配置URPF

配置步骤

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

使能URPF检查

ip urpf { loose | strict } [ allow-default-route ]

必选

缺省情况下,接口上禁止URPF检查,在隧道接口上配置此命令不生效

looseallow-default-route参数仅在系统工作模式为SPE模式时支持,关于系统工作模式的介绍,请参见“

基础配置指导”中的“设备管理”。

 

说明

·       SPC单板上,仅VLAN接口支持URPF严格检查功能。

·       URPF检查仅对接口收到的报文有效。

·       当系统工作模式为SPE模式时,使能URPF检查后,IPv6 URPF检查自动生效。其它系统工作模式下,IPv6 URPF检查无法生效。

 

1.3  URPF典型配置举例

1.3.1  URPF配置举例

1. 组网需求

客户路由器Router A与ISP路由器Router B直连,在Router B的接口GigabitEthernet3/1/1上启动URPF,要求严格检查;在Router A的接口GigabitEthernet3/1/1上启动URPF,要求严格检查,并同时允许对缺省路由进行特殊处理。

2. 组网图

图1-2 URPF配置举例组网图

 

3. 配置步骤

(1)      配置Router B

# 配置接口GigabitEthernet3/1/1的IP地址。

<RouterB> system-view

[RouterB] interface GigabitEthernet 3/1/1

[RouterB-GigabitEthernet3/1/1] ip address 1.1.1.2 255.255.255.0

# 在接口GigabitEthernet3/1/1上使能严格URPF检查。

[RouterB-GigabitEthernet3/1/1] ip urpf strict

(2)      配置Router A

# 配置接口GigabitEthernet3/1/1。

<RouterA> system-view

[RouterA] interface GigabitEthernet 3/1/1

[RouterA-GigabitEthernet3/1/1] ip address 1.1.1.1 255.255.255.0

# 在接口GigabitEthernet3/1/1上使能严格URPF检查,同时允许对缺省路由进行特殊处理。

[RouterA-GigabitEthernet3/1/1] ip urpf strict allow-default-route

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们