登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

02-IP业务分册

目录

09-URPF配置

本章节下载 09-URPF配置  (178.42 KB)

09-URPF配置

  录

第1章 URPF配置

1.1 URPF技术简介

1.2 URPF配置

1.3 URPF典型配置举例

1.3.1 配置举例1

1.3.2 配置举例2

 

第1章  URPF配置

下表列出了本章所包含的内容。

如果您需要……

请阅读……

了解URPF的基本原理和概念

URPF技术简介

配置URPF

URPF配置

配置举例

URPF典型配置举例

 

&  说明:

本章中提到的业务处理板主要指LSB1NAMB0板。

 

1.1  URPF技术简介

URPF(Unicast Reverse Path Forwarding,单播反向路径查找)是用来防止基于源地址欺骗的网络攻击行为的特性。其主要功能是防止基于源地址欺骗的网络攻击行为。

一般情况下,路由交换机针对目的地址查找路由,如果找到了就转发报文,否则丢弃该报文。

在URPF功能启动后,通过获取报文的源地址和入接口,交换机以源地址为目的地址在转发表中查找路由,如果查到的路由出接口和接收该报文的入接口不匹配,交换机认为该报文的源地址是伪装的,丢弃该报文。

通过URPF特性,交换机就能有效地防范网络中通过修改源地址而进行的恶意攻击行为。例如一种常见的攻击模型如下:

图1-1 源地址欺骗攻击示意图

在SwitchA上伪造源地址为2.1.1.1的报文,向服务器SwitchB发起请求,SwitchB如果不进行URPF检查,SwitchB响应请求时将向真正的“2.1.1.1”发送报文。这种非法报文对SwitchB和SwitchC都造成了攻击。

1.2  URPF配置

URPF配置包括:

l              报文重定向配置

l              配置接口使能URPF功能

l              显示接口配置信息

l              将URPF统计计数器置零

urpf enable命令为设置某个VLAN接口下使能URPF功能,并指定相应的业务处理板完成处理。至于将数据流引向业务处理板,是通过在端口视图下配置重定向到业务处理板实现。

  注意:

URPF功能和VPLS功能互相排斥,因此在同一VLAN接口视图下,不能同时使能URPF功能和VPLS功能。

 

上述配置完成后,可以通过display urpf命令查询当前VLAN接口使能URPF的情况,如果使能且指定的NAM业务处理板在位,可以查询到相应的统计数据。

VLAN接口使能URPF时,长时间运行,计数器不断增大,因此有必要清除该接口下URPF相关的统计数据,可以通过 reset urpf statistic命令清除接口接收数据包数和丢弃数据包数的统计记录,将URPF统计计数器置零。

URPF的配置过程如表1-1

表1-1 配置接口使能URPF,并指定相应的业务处理板完成处理

配置项

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface ethernetX/1/X

-

报文重定向配置

traffic-redirect inbound ip-group { acl-number | acl-name } [ rule rule link-group { acl-number | acl-name } [ rule rule [ system-index index ] ] | link-group { acl-number | acl-name } rule rule ] slot slotnum designated-vlan vlanidex

必选

目前业务板不支持组播,可以通过ACL限制组播报文重定向到业务板

退回到系统视图

quit

-

进入VLAN接口视图

interface vlan-interface vlan-id

-

配置接口使能URPF功能

urpf enable to slot slotid

必选,在VLAN接口视图下使能URPF功能,并指定相应的业务处理板槽位进行URPF检查操作。

缺省情况下,不启动URPF功能。

显示配置的信息

display urpf

-

将URPF统计计数器清零

reset urpf statistic

-

 

&  说明:

l      重定向配置仅对访问列表中动作为permit的规则有效。

l      在配置traffic-redirect重定向报文时,需通过ACL限制组播报文重定向到业务板。

 

1.3  URPF典型配置举例

1.3.1  配置举例1

1. 组网需求

同路由器不一样的是,交换机是在VLAN接口上使能URPF功能,在各个端口上只是配置重定向功能,将特定要进行检查的报文送到业务处理板,业务处理板完成URPF检查后,转发或者丢弃。

2. 组网图

图1-2 URPF典型配置案例组网图

3. 配置步骤

在SwitchB上5槽为业务处理板,6槽和3槽为普通接口板。

# 配置VLAN1000。

[H3C] vlan 1000

[H3C-vlan1000] port Ethernet 3/1/30

[H3C-vlan1000] port GigabitEthernet6/1/2

[H3C] interface vlan-interface 1000

[H3C-Vlan-interface1000] ip address 10.10.10.1 24

# 配置流模板,6槽和3槽接入板流模板关心报文目的MAC和以太网协议字段。

[H3C] flow-template user-defined slot 3 dmac 00-00-00 ethernet-protocol

[H3C] flow-template user-defined slot 6 dmac 00-00-00 ethernet-protocol

# 配置二层的ACL规则。

[H3C]acl number 4000

# 配置具体的Rule 允许IP报文通过,并且DMAC必须是接口MAC01-02-03。

[H3C-acl-link-4000] rule 0 permit ip egress 01-02-03 00-00-00

# 在以太网端口下配置报文重定向。

[H3C] interface ethernet 3/1/30

[H3C-Ethernet3/1/30] flow-template user-defined

[H3C-Ethernet3/1/30] traffic-redirect inbound link-group 4000 slot 5 vlan 1000

[H3C-Ethernet3/1/30] quit

[H3C] interface GigabitEthernet 6/1/2

[H3C-GigabitEthernet6/1/2] flow-template user-defined

[H3C-GigabitEthernet6/1/2] traffic-redirect inbound link-group 4000 slot 5 designated-vlan 1000

[H3C-GigabitEthernet6/1/2] quit

# 在VLAN 1000下使能URPF功能。

[H3C] interface vlan-interface 1000

[H3C-Vlan-Interface1000] urpf enable to slot 5

1.3.2  配置举例2

1. 组网需求

NAM业务处理板在5号槽,配置了vlan-interface 1000和vlan-interface 1001,两接口均使能URPF(指定5槽位),端口Ethernet6/1/1为Trunk 口,允许VLAN 1000和VLAN 1001的报文通过。

要求端口Ethernet6/1/1能够分别对VLAN1000和VLAN 1001的报文进行URPF检查。

2. 组网图

图1-3 URPF典型配置案例组网图

3. 配置步骤

# 配置VLAN信息。

[H3C] vlan 1000

[H3C-vlan1000] vlan 1001

[H3C-vlan1001] quit

[H3C] interface ethernet 6/1/1

[H3C-Ethernet6/1/1]quit

[H3C] vlan 1001

[H3C-vlan1001] quit

[H3C] interface vlan-interface 1000

[H3C-Vlan-interface1000] ip address 10.10.10.1 24

[H3C-Vlan-interface1000] interface vlan-interface 1001

[H3C-Vlan-interface1001] ip address 11.11.11.1 24

# 在VLAN接口下使能URPF。

[H3C-Vlan-interface1000] urpf enable to slot 5

[H3C-Vlan-interface1000] interface vlan 1001

[H3C-Vlan-interface1001]urpf enable to slot 5

# 配置二层的ACL规则。

<H3C> system-view

[H3C] acl number 4000

# 允许入VLAN为1000的IP报文通过,并且DMAC必须是接口MAC000f-e239-a9b8。

[H3C-acl-link-4000] rule 0 permit ip ingress 1000 egress 000f-e239-a9b8 0000-0000-0000

# 允许入VLAN为1001的IP报文许通过。

[H3C-acl-link-4000] rule 1 permit ip ingress 1001 egress 000f-e239-a9b8 0000-0000-0000

# 配置用户自定义流模板。

[H3C] flow-template user-defined slot 6 vlanid ethernet-protocol dmac 00-00-00

# 在端口下使用该流模板,并配置重定向。

[H3C-Ethernet6/1/1] flow-template user-defined

[H3C-Ethernet6/2/1]traffic-redirect inbound link-group 4000 rule 0 slot 5 designated-vlan 1000

[H3C-Ethernet6/1/1] traffic-redirect inbound link-group 4000 rule 1 slot 5 designated-vlan 1001

需要注意的是:acl number 4000中配置的rule 规则的入VLAN ID 必须和 配置重定向指定的VLAN ID一致,Trunk口根据VLAN进行URPF检查

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们