NE40E路由器配置URPF检测不生效

发布时间:  2016-06-19 浏览次数:  136 下载次数:  0
问题描述

NE40E路由器接口GE2/0/0配置URPF(Unicast Reverse Path Forwarding)是单播逆向路径转发检查不生效。


具体配置如下:
<XZIDC_NE40_1>dis curr int gi2/0/0
#
interface GigabitEthernet2/0/0
description TO_FW-1_GigabitEthernet2/0/0
undo shutdown
ip address 111.xxx.xxx.5 255.255.255.252
qppb-policy ip-precedence destination
ospf network-type p2p
ip urpf strict allow-default   //配置接口URPF检查
#


测试方法如下:
伪造源地址2.2.2.2从NE40E路由器接口GigabitEthernet2/0/0进入,但是测试数据包被路由正常转发,没有被URPF检查丢弃
关于2.2.2.2的路由表如下:
<XZIDC_NE40_1>dis ip routing-table 2.2.2.2
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Table : Public
Summary Count : 1
Destination/Mask    Proto  Pre  Cost       Flags NextHop         Interface

    0.0.0.0/0       BGP    20   0           RD   111.11.200.1    GigabitEthernet2/1/0

解决方案

ip urpf strict allow-default命令说明如下:

strict:URPF将进行严格检查,即不但要求在转发表中存在相应表项,还要求接口一定匹配才能通过URPF检查。
allow-default:对匹配缺省路由的报文进行转发。

将接口配置更改如下:测试成功

<XZIDC_NE40_1>dis curr int gi2/0/0
#
interface GigabitEthernet2/0/0
description TO_FW-1_GigabitEthernet2/0/0
undo shutdown
ip address 111.xxx.xxx.5 255.255.255.252
qppb-policy ip-precedence destination
ospf network-type p2p
ip urpf strict    //不增加allow-default参数。
#

END