- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
19-URPF配置
本章节下载: 19-URPF配置 (147.38 KB)
l 在以下的介绍中所指的路由器,代表了一般意义下的路由器以及运行了路由协议的以太网交换机。为提高可读性,在手册的描述中将不另行说明。
l 仅S5500-EI系列以太网交换机支持URPF特性。
URPF(Unicast Reverse Path Forwarding,单播反向路径转发)的主要功能是用于防止基于源地址欺骗的网络攻击行为。
源地址欺骗攻击为入侵者构造出一系列带有伪造源地址的报文,对于使用基于IP地址验证的应用来说,此攻击方法可以导致未被授权用户以他人身份获得访问系统的权限,甚至是以管理员权限来访问。即使响应报文不能达到攻击者,同样也会造成对被攻击对象的破坏。
如图1-1所示,在Router A上伪造源地址为2.2.2.1/8的报文,向服务器Router B发起请求,Router B响应请求时将向真正的“2.2.2.1/8”发送报文。这种非法报文对Router B和Router C都造成了攻击。
URPF技术可以应用在上述环境中,阻止基于源地址欺骗的攻击。
URPF的处理流程如下:
(1) 首先检查源地址合法性。
l 对于广播地址,直接予以丢弃。
l 对于全零地址,如果目的地址不是广播,则丢弃。(源地址为0.0.0.0,目的地址为255.255.255.255的报文,可能是DHCP报文,不做丢弃处理。)
(2) 如果报文的源地址在路由器的FIB表中存在
反向查找报文出接口,若其中至少有一个出接口和报文的入接口相匹配,则报文通过检查,进行正常的转发;否则报文将被拒绝。(反向查找是指查找以该报文源IP地址为目的IP地址的报文的出接口)
(3) 如果报文的源地址在路由器的FIB表中不存在
l 如果配置了缺省路由,只要缺省路由的出接口与报文的入接口一致,则报文将通过URPF的检查,进行正常的转发;如果缺省路由的出接口和报文的入接口不一致,则报文将被拒绝。
l 如果没有配置缺省路由,该报文将被拒绝。
表1-1 配置全局URPF
|
配置步骤 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
在全局使能URPF检查 |
ip urpf strict |
必选 缺省情况下,全局禁止URPF检查 |
l 当本系列以太网交换机开启URPF功能时,会出现路由规格减半情况(路由规格减半情况为:交换机支持的最大可容纳的路由数,在开启URPF功能后变为开启前的一半)。
l 当交换机的路由数超过该交换机可最大容纳的路由数一半时,URPF功能将不能开启,避免了路由表项丢失以及由其引起的数据包丢失。
客户交换机Switch A与ISP交换机Switch B直连,在Switch B和Switch A上启动URPF,防止基于源地址欺骗的网络攻击行为。
图1-2 URPF配置举例组网图
(1) 配置Switch A
# 配置URPF检查。
<SwitchA> system-view
[SwitchA] ip urpf strict
(2) 配置Switch B
# 配置URPF检查。
<SwitchB> system-view
[SwitchB] ip urpf strict
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
