13-URPF命令
本章节下载: 13-URPF命令 (105.22 KB)
本文中的 “业务处理板”指的是单板丝印为“CR-SPE-3020-E-I”的单板,“普通型接口板”指的是单板丝印为“CR-SPC-XP8LEF-I/CR-SPC-XP4LEF-I/CR-SPC-GP48LEF/CR-SPC-GT48LEF”的单板,“增强型接口板”指的是单板丝印为“CR-SPC-PUP4L-E-I/CR-SPC-XP4L-E-I”的单板。
【命令】
ip urpf { loose | strict } [ allow-default-route ] [ acl acl-number ]
undo ip urpf
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
loose:松散型检查。仅检查报文的源地址是否在FIB表中存在,而不再检查报文的入接口与FIB表是否匹配。
strict:严格型检查。不仅检查报文的源地址是否在FIB表中存在,而且检查报文的入接口与FIB表是否匹配。
allow-default-route:允许匹配缺省路由。
acl acl-number:访问控制列表。acl-number 用来指定ACL规则号,取值范围为2000~3999。其中:
· 基本ACL,acl-number取值范围为2000~2999;
· 高级ACL,acl-number取值范围为3000~3999。
【描述】
ip urpf命令用来在接口上使能URPF检查,防止基于源地址欺骗的网络攻击行为。undo ip urpf命令用来在接口上禁止URPF检查。
缺省情况下,接口上禁止URPF检查。
需要注意的是:
· 在隧道接口上配置此命令不生效。
· 普通型接口板仅支持IPv4 URPF严格检查功能,allow-default-route和acl关键字设备可见但功能不生效,即配置allow-default-route或acl关键字后功能与ip urpf strict命令的功能相同。
· 业务处理板和增强型接口板不支持URPF与IPv6 ACL检查配合使用。
· 业务处理板上的RPR接口、三层聚合接口和三层虚拟以太网接口均不支持URPF与IPv4 ACL检查配合使用。
【举例】
# 在接口GigabitEthernet3/1/1上使能严格URPF检查,同时允许匹配缺省路由,并配置ACL列表号为2999。
<Sysname> system-view
[Sysname] interface GigabitEthernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip urpf strict allow-default-route acl 2999
# 在接口GigabitEthernet 3/1/1上使能松散URPF检查。
<Sysname> system-view
[Sysname] interface GigabitEthernet 3/1/1
[Sysname-GigabitEthernet3/1/1] ip urpf loose
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!