ME60由于URPF部署导致互联接口时断时通

发布时间:  2014-12-16 浏览次数:  158 下载次数:  0
问题描述
网络中部署URPF,通过OSPF实现设备间互通。其中RouterA和RouterB之间Cost值是800,RouterC与RouterA、RouterB之间cost值是1000。

配置完成后,RouterA Ping RouterC接口GE1/0/1地址时,发现时断时通
处理过程
1. 在RouterC上执行display ip routing-table命令,检查OSPF路由表项,发现OSPF路由表正常。
2. 结合URPF原理,分析Ping报文来回路径,RouterA Ping RouterC接口GE1/0/1地址时,去方向报文路径中RouterA->RouterB->RouterC Cost为1800(800+1000),RouterA->RouterC Cost为2000(1000+1000),优选前者。回包路径为RouterC->RouterA 或RouterC->RouterB->RouterA COST都为1800(1000+800),所以2条路径等值。
• 当回包与发包路径一致时,URPF检测通过,可以ping通。
• 当回包与发包路径不一致时,URPF检测不通过,丢弃报文,导致无法ping通
3. 设备接收到报文,获取报文的目的地址,针对目的地址查找转发表,如果找到了就转发报文,否则丢弃该报文。而URPF通过获取报文的源地址和入接口,在转发表中查找以源地址为目的地址的表项,该表项对应的出接口是否与入接口匹配,如果不匹配,则认为源地址是非法的,直接丢弃该报文。通过这种方式,URPF能够有效地防范网络中通过修改报文源IP地址而进行恶意攻击。
4. 因此,该问题是由于互联接口配置URPF,并且两条路径的Cost相同,检查接收的报文时,从一条路径接收的报文通过,而从另外一条路径接收的报文不通过,出现Ping测试时断时通。
解决方案
1. 执行命令system-view,进入系统视图。
2. 执行命令interface interface-type interface-number,进入互联接口视图。
3. 执行命令undo ip urpf,指删除接口上URPF的配置。
完成上述操作后,RouterA Ping RouterC接口GE1/0/1的IP地址,可以正常ping通,故障排除。
建议与总结
建议将URPF部署在网络接入侧或网络侧,互联端口不需部署URPF。

END