13-URPF配置
本章节下载: 13-URPF配置 (188.72 KB)
在以下的介绍中所指的路由器,代表了一般意义下的路由器以及运行了路由协议的以太网交换机。为提高可读性,在手册的描述中将不另行说明。
URPF(Unicast Reverse Path Forwarding,单播反向路径转发)的主要功能是用于防止基于源地址欺骗的网络攻击行为,例如基于源地址欺骗的DoS(Denial of Service,拒绝服务)攻击和DDoS(Distributed Denial of Service,分布式拒绝服务)攻击。
源地址欺骗攻击为入侵者构造出一系列带有伪造源地址的报文来产生攻击,对于使用基于IP地址验证的应用来说,此攻击方法可以导致未被授权用户以他人身份获得访问系统的权限,甚至是以管理员权限来访问。即使响应报文不能达到攻击者,同样也会造成对被攻击对象的破坏。
如图1-1所示,在Router A上伪造源地址为2.2.2.1的报文,以非常高的速率向服务器Router B发起请求,Router B响应请求时将向真正的“2.2.2.1”发送报文。这种非法报文对Router B和Router C都造成了攻击。
URPF技术可以应用在上述环境中,对报文的源地址进行反查,并依据其合法性对报文进行过滤,阻止基于源地址欺骗的攻击。
URPF检查有严格(strict)型和松散(loose)型两种。
不仅检查报文的源地址是否在FIB表中存在,而且检查报文的入接口与FIB表是否匹配。
在一些特殊情况下(如非对称路由),严格型检查会错误的丢弃非攻击报文。
一般将严格型检查布置在ISP的用户端和ISP端之间。
仅检查报文的源地址是否在FIB表中存在,而不再检查报文的入接口与FIB表是否匹配。
松散型检查可以避免错误的拦截合法用户的报文,但是也容易忽略一些攻击报文。
一般将松散型检查布置在ISP-ISP端。另外,如果用户无法保证路由对称,可以使用松散型检查。
组播报文不进行URPF检查。
URPF的处理流程如图1-2所示。
图1-2 URPF处理流程图
(1) 首先检查源地址合法性:
l 对于广播地址,直接予以丢弃。
l 对于全零地址,如果目的地址不是广播,则丢弃。(源地址为0.0.0.0,目的地址为255.255.255.255的报文,可能是DHCP或者BOOTP报文,不做丢弃处理。)
l 否则,进入步骤(2)。
(2) 然后检查报文的源地址在FIB表中是否存在匹配的路由。如果在FIB表中查找失败,则进入步骤(6),否则进入步骤(3);
(3) 查看是否是loose型检查,如果是,则进入步骤(8);否则查看报文的源地址在FIB表中匹配的路由是否是直连路由。如果是直连路由,则进入步骤(5),否则进入步骤(4);
(4) 检查报文源地址与入接口是否匹配。反向查找报文出接口(反向查找是指查找以该报文源IP地址为目的IP地址的报文的出接口),若其中至少有一个出接口和报文的入接口相匹配,则进入步骤(8);如果不匹配,进入步骤(9);
(5) 检查报文的源IP地址在ARP表中是否存在匹配的ARP表项。如果在ARP表中查找失败,则进入步骤(8);否则进入步骤(9);
(6) 检查FIB中是否存在缺省路由,如果没有存在缺省路由,则进入步骤(9);否则进入步骤(7);
(7) 查看是否是loose型检查,如果是,则进入步骤(8);否则检查缺省路由的出接口是否与报文的入接口一致,如果一致,则进入步骤(8),如果不一致,则进入步骤(9);
(8) 报文通过检查,进行正常转发。
(9) 交换机丢弃该报文。
图1-3 URPF典型组网应用
在ISP与用户端,配置严格URPF,在ISP与ISP端,配置松散URPF。
表1-1 配置全局URPF
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
在全局使能URPF检查 |
ip urpf { loose | strict } |
必选 缺省情况下,全局禁止URPF检查 |
LSQ1SRP1CB主控板不支持松散型URPF检查。
当本系列交换机开启URPF功能时,可能会有路由规格减半情况出现,详细情况请参考表1-2。
主控板类型 |
单板类型 |
是否会出现路由减半 |
|
LSQ1SRP1CB、LSQ1MPUA、LSQ1MPUB LSQ1SRPA |
l SC单板(型号后两位为SC的单板,如LSQ1GP48SC) l SD 单板(型号后两位为SD的单板,如LSQ1GP48SD) l EB 单板(型号后两位为EB的单板,如LSQ1GP48EB) |
SC单板会出现路由减半 |
SD单板和EB单板在非路由扩展模式下路由减半 |
LSQ1CGP24TSC、LSQ1SRPD、LSQ1SUPA |
SC单板和主控板都会出现路由减半 |
l 路由规格减半情况为:启动URPF前单板最大可容纳的路由数,启动后最大为该路由数的一半。
l 当单板的路由数超过该单板可最大容纳的路由数一半时,URPF功能将不能开启,避免了路由表项丢失以及由其引起的数据包丢失。
l 有关路由扩展模式的介绍请参见“基础配置指导”中的“设备管理配置”。
客户交换机Switch A与ISP交换机Switch B直连,在Switch B和Switch A上启动严格型URPF检查,防止基于源地址欺骗的网络攻击行为。
图1-4 URPF配置举例组网图
(1) 配置Switch A
# 配置严格型URPF检查。
<SwitchA> system-view
[SwitchA] ip urpf strict
(2) 配置Switch B
# 配置严格型URPF检查。
<SwitchB> system-view
[SwitchB] ip urpf strict
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!