由于互联端口启用URPF特性导致 ping测试时通时不通问题

发布时间:  2012-12-12 浏览次数:  86 下载次数:  0
问题描述
 

ABC三台设备三角形组网,3台路由器之间运行ospf,互联端口均配置urpf,AB之间cost为800,C与A、B之间cost为1000,A 路由器ping C路由器上与B的互联地址,发现时通时不通问题。

处理过程
 

1.检查ospf路由表一切正常,ospf无异常
2.通过在B 路由器ping C路由器上与A的互联地址,同样发现时通时不通问题,路由器本身应无问题
3.urpf 原理设备接收到报文,获取报文的目的地址,针对目的地址查找转发表,如果找到了就转发报文,否则丢弃该报文。而URPF 通过获取报文的源地址和入接口,在转发表中查找源地址对应的接口是否与入接口匹配,如果不匹配,则认为源地址是伪装的,直接丢弃该报文。通过这种方式,URPF 能够有效地防范网络中通过修改报文源IP地址而进行恶意攻击行为的发生。
4.结合urpf 原理,分析ping报文来回路径,A PING C路由器上与B的互联地址时,去方向报文路径为A-B-C COST为1800,A-C COST为2000,优选前者。回包路径为C-A 或C-B-A COST都为1800,所以2条等值。
  当回包与发包路径一致时C-B-A ,URPF 检测通过,可以ping通。
  当回包与发包路径不一致时C-A,URPF 检测不通过,丢弃,无法ping通

根因
 

URPF检查不通过导致PING不通

解决方案
 

将urpf部署在网络接入侧或网络侧,互联端口不需部署urpf。

建议与总结
建议将urpf部署在网络接入侧或网络侧,互联端口不需部署urpf。

END