FAQ-不支持URPF特性版本NE80E如何配置实现URPF严格Strict特性

发布时间:  2012-07-26 浏览次数:  107 下载次数:  0
问题描述
Q:
不支持URPF特性版本NE80E如何配置实现URPF严格Strict特性?
      
告警信息

处理过程
A:
具体实现NE80E如何配置实现URPF严格Strict特性,通过ACL在NE80E下带业务的端口做以下策略:
(1)做ACL规则,允许源地址为NE80E下带业务网段数据包通过,禁止所有源IP地址数据包通过;
(2)做policy,关联上面做的ACL类classifier和相应动作behavior;
(3)在NE80E对应下行端口inbound方向应用策略;
优点:这样就能有效地防范网络中通过修改源地址而进行的恶意攻击行为的发生,过滤非业务网段欺骗的IP数据包。
缺点:1、加大了数据配置的难度;
      2、业务网段统计要仔细,配置错误导致正常数据包过滤掉的风险。
具体配置命令:
1.配置ACL允许业务网段通过
acl number 3008
 description  For_DingShengWangLuo-1_URPF
 rule 1 permit ip source 203.191.64.0  0.0.7.255
 rule 2 permit ip source 203.191.72.0  0.0.3.255
 rule 3 permit ip source 210.16.144.0 0.0.15.255
 rule 4 permit ip source 221.238.243.0  0.0.0.63
 rule 5 permit ip source 221.238.243.0  0.0.0.63
 rule 6 permit ip source 221.238.147.56 0.0.0.3
 rule 100 deny  ip 
2.配置业务网段classifier
#
traffic classifier urpf-DingShengWangLuo-1 operator and
 if-match acl 3008
4.配置动作
#
traffic behavior DingShengWangLuo-1
 
5.配置即能过滤ACL控制数据,又能控制流量的policy
#
traffic policy urpf-DingShengWangLuo-1
 classifier urpf-DingShengWangLuo-1 behavior DingShengWangLuo-1
7.把policy引用到NE80E下带业务端口
#
int p1/0/0
 traffic-policy urpf-DingShengWangLuo-1 inbound
 
      
根因

建议与总结
URPF的保护策略一般可分为两种:严格Strict和松散Loose。当路由器收到一个数据包,传到IP层处理函数时,URPF处理函数会取出数据包中的源地址进行路由查找。
当保护策略是松散(Loose)时,只需判断FIB表中是否存在源地址的路由,若有,则通过,否则丢弃报文;当保护策略是严格(Strict)时,只有源地址在转发表中存在且该源地址的出接口与报文的入接口一致时,报文才通过检查,否则丢弃该报文。

END