欢迎user
49-uRPF典型配置举例
本章节下载: 49-uRPF典型配置举例 (110.23 KB)
目 录
本章介绍uRPF(Unicast Reverse Path Forwarding,单播反向路径转发)功能,该功能主要是用于防止基于源地址欺骗的网络攻击行为。
uRPF检查有严格(strict)型和松散(loose)型两种。
不仅检查报文的源地址是否在FIB表中存在,而且检查报文的入接口与FIB表是否匹配。一般将严格型检查布置在ISP的用户端和ISP端之间。
仅检查报文的源地址是否在FIB表中存在,而不再检查报文的入接口与FIB表是否匹配。一般将松散型检查布置在ISP-ISP端。另外,如果用户无法保证路由对称,可以使用松散型检查。
当交换机的路由数超过该交换机可最大容纳的路由数一半时,uRPF功能将不能开启。
表1 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图1所示,ISP A和客户端分别与ISP B和ISP C相连,ISP B与ISP C相连。
现要求通过uRPF功能实现ISP B和ISP C之间允许源IP地址与FIB表相匹配的报文通过,ISP C和客户端之间允许源IP地址和入接口与FIB表都匹配的报文通过。
图1 uRPF典型配置组网图
# 配置严格型uRPF检查。
<Switch> system-view
[Switch] ip urpf strict
# 配置松散型uRPF检查。
<Switch> system-view
[Switch] ip urpf loose
配置了严格型uRPF功能,通过display fib命令进行查看,源IP地址和入接口与FIB表都匹配的报文才可通过uRPF检查。
配置了松散型uRPF功能,通过display fib命令进行查看,源IP地址与FIB表相匹配的报文即可通过uRPF检查。
#
ip urpf strict
#
ip urpf loose
#
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!