URPF技术:单播逆向路径转发的简称。
URPF技术:单播逆向路径转发的简称。
URPF技术:单播逆向路径转发的简称,其主要功能是防止基于源地址欺骗的网络攻击行为。有两种模式:
严格模式
松散模式
严格模式:
建议在路由对称的环境下使用URPF严格模式,即:不仅要求在转发表中存在相应表项,还要求接口一定匹配才能通过URPF检查。
如果两个网络边界路由器(此处为USG)之间只有一条路径的话,这时,路由能够保证是对称的,使用严格模式能够最大限度的保证网络的安全性。
松散模式:
在不能保证路由对称的环境下使用URPF的松散模式,即:不检查接口是否匹配,只要存在针对源地址的路由,报文就可以通过。
URPF处理流程
URPF的处理流程:
如果报文的源地址在USG的FIB表中存在。
strict型检查,反向查找报文出接口,若只有一个出接口和报文的入接口一一匹配,则报文通过检查;否则报文将被拒绝。当有多个出接口和报文的入接口相匹配时,必须使用loose型检查。
对于loose型检查,当报文的源地址在USG的FIB表中存在(不管反向查找的出接口和报文的入接口是否一致),报文就通过检查;否则报文将被拒绝。
如果报文的源地址在USG的FIB表中不存在,则检查缺省路由及URPF的allow-default-route参数。
对于配置了缺省路由,但没有配置参数allow-default-route的情况。只要报文的源地址在USG的FIB表中不存在,该报文都将被拒绝。
对于配置了缺省路由,同时又配置了参数allow-default-route的情况。如果是strict检查,只要缺省路由的出接口与报文的入接口一致,则报文将通过URPF的检查,进行正常的转发。如果缺省路由的出接口和报文的入接口不一致,则报文将拒绝。如果是loose型检查,报文都将通过URPF的检查,进行正常的转发。
URPF处理流程
当且仅当报文被拒绝后,才去匹配ACL列表。如果被ACL允许通过,则报文继续进行正常的转发;如果被ACL拒绝,则报文被丢弃。
URPF配置:
进入接口视图:
[USG] interface interface-type interface-number
启用接口URPF功能:
[USG] ip urpf loose allow-default-route acl 3000
操作步骤:
执行命令system-view,进入系统视图。
执行命令interface interface-type interface-number,进入接口视图。
可以使能URPF功能的接口包括GE接口、VLAN IF接口、Eth-Trunk接口、Tunnel接口和子接口。
使能接口URPF功能。
IPv4网络中执行命令ip urpf { loose | strict } [ allow-default-route ] [ acl acl-number ]。
IPv6网络中执行命令ipv6 urpf { loose | strict } [ allow-default-route ] [ acl6 acl-number ]。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » URPF技术:单播逆向路径转发的简称。
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm