设为首页   锐捷官网
用其他帐号登录:
查看: 1299|回复: 0

[路由器] 防火墙功能 >> URPF(单播反向路径查找)

[复制链接]

761

主题

733

帖子

3830

积分

版主

Rank: 7Rank: 7Rank: 7

积分
3830
发表于 2015-4-30 14:46:18 | 显示全部楼层 |阅读模式
1、什么是URPF

URPF(Unicast Reverse Path Forwarding,单播反向路径查找)基于如下一个事实:网络设备收到的每一个正常通信报文,其应答报文在该网络设备上都应该能够正确地选路,这样应答报文才能到达该连接的发起方,也才能够正常的通信。为了模拟应答报文的选路过程,URPF 根据报文的源 IP 进行选路,根据选路结果判断回复报文是否能够正确地选路。如果不能够正确地选路,则丢弃该报文。 如下图所示,内网 1.0.0.0/8的 PC冒充服务器 202.11.10.2 向外发送报文,这样源IP 报文的回应报文 * 终会路由到服务器 B,对服务器 B 形成攻击。如果 Router A应用 URPF,提取源 IP:202.11.10.2 进行选路判断,这样的攻击报文将会被丢弃。  
8.png
因此,URPF 能够一定程度地阻断源地址欺骗攻击,减少网络被攻击的风险。其应用的范围越广,防护的效应也越明显。


2、网络入口过滤与URPF有什么区别
两者都能够对数据流源地址的合法性进行检测。

区别:

1)URPF增加在默认路由中进行反向查找的功能,而网络入口过滤不在默认路由中查找。

2)URPF增加在反向检测非法后进行ACL匹配的功能,而网络入口过滤功能检测到源地址非法的流量后直接丢弃。


3、什么是严格URPF,什么是宽松URPF

严格URPF

根据报文的源 IP 进行反向路由查找,报文的源端口必须属于选路的出口集合中。如果选路出口只有一个,报文的源端口必须等于该出口,即要求应答报文选路必须从原路返回。缺省在非默认路由中反向查找。

宽松URPF

根据报文的源 IP 进行反向路由查找,只要选路成功即可。这种情况下应答报文不一定沿原路返回,应用于有多条路径到达同一 PC 的情况。缺省在非默认路由中反向查找。


4、严格URPF配置案例

Ruijie#configure terminal  进入全局模式

Ruijie(config)#interface fastEthernet 1/0

进入接口模式,进入接口Fa1/0

Ruijie(config-if)# ip verify unicast source reachable-via rx [allow-default | acl_num]

在Fa1/0上配置严格 URPF,可选项有匹配默认路由和反向查找失败匹配ACL。ACL 的范围为1-199及1300–2699。


5、宽松URPF配置案例

Ruijie#configure terminal  进入全局模式

Ruijie(config)#interface fastEthernet 1/0

进入接口模式,进入接口 Fa1/0

Ruijie(config-if)# ip verify unicast source reachable-via any [allow-default | acl_num]

在 Fa1/0上配置宽松URPF,可选项有匹配默认路由和反向查找失败匹配ACL。ACL的范围为1-199及1300–2699。


6、严格URPF+ACL配置案例

Ruijie(config)#ip access-list standard 10

Ruijie(config-std-nacl)#permit 10.0.0.0 0.0.0.255

Ruijie(config-std-nacl)#exit

Ruijie(config)#interface fastEthernet 1/0

Ruijie(config-if)# ip verify unicast source reachable-via rx 10

在Fa1/0上配置严格URPF,不匹配默认路由,并对反向查找失败的数据进行匹配ACL。

流量经URPF检测失败后,将再次送至ACL10进行匹配;因此源地址为10.0.0.0/24的流量就算URPF匹配失败也可以正常转发。



回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则