欢迎user
07-URPF配置
本章节下载 (122.17 KB)
URPF(Unicast Reverse Path Forwarding,单播反向路径转发)的主要功能是用于防止基于源地址欺骗的网络攻击行为。
源地址欺骗攻击为入侵者构造出一系列带有伪造源地址的报文,对于使用基于IP地址验证的应用来说,此攻击方法可以导致未被授权用户以他人身份获得访问系统的权限,甚至是以管理员权限来访问。即使响应报文不能达到攻击者,同样也会造成对被攻击对象的破坏。
如图1-1所示,在Switch A上伪造源地址为2.2.2.1/8的报文,向服务器Switch B发起请求,Switch B响应请求时将向真正的“2.2.2.1/8”发送报文。这种非法报文对Switch B和Switch C都造成了攻击。
URPF技术可以应用在上述环境中,阻止基于源地址欺骗的攻击。
URPF的处理流程如下:
l 如果报文的源地址在交换机的FIB表中存在,则反向查找报文出接口,若其中至少有一个出接口和报文的入接口相匹配,则报文通过检查;否则报文将被拒绝(反向查找是指查找以该报文源IP地址为目的IP地址的报文的出接口)。
l 如果报文的源地址在交换机的FIB表中不存在,则该报文将被拒绝。
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能URPF检查 |
ip urpf strict |
必选 缺省情况下,禁止URPF检查 |
当S7500E系列以太网交换机开启URPF功能时,可能会有路由规格减半情况出现,详细情况请参考表1-2。
主控板类型 |
单板类型 |
是否会出现路由减半 |
LSQ1SRP1CB、LSQ1MPUA、LSQ1MPUB |
SC单板(型号后两位为SC的单板,如LSQ1GP48SC) |
SC单板会出现路由减半 |
LSQ1SRP2XB、LSQ1SRPB、LSQ1CGP24TSC、LSQ1SRPD、LSQ1SRP12GB |
SC单板和主控板都会出现路由减半 |
l 路由规格减半情况为:启动URPF前单板最大可容纳的路由数,启动后最大为该路由数的一半。
l 当单板的路由数超过该单板可最大容纳的路由数一半时,URPF功能将不能开启,避免了路由表项丢失以及由其引起的数据包丢失。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!