所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

CloudEngine 8800, 7800, 6800, 5800 V200R002C50 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
URPF配置命令

URPF配置命令

说明:
CE6810LI不支持URPF。

ip urpf disable

命令功能

ip urpf disable命令用来去使能对指定流进行URPF检查功能。

undo ip urpf disable命令用来取消去使能对指定流进行URPF检查的配置。

缺省情况下,流行为中未去使能URPF检查功能。

说明:

CE6870EI不支持该命令。

命令格式

ip urpf disable

undo ip urpf disable

参数说明

视图

流行为视图

缺省级别

2:配置级

使用指南

应用场景

配置接口的URPF检查功能后,设备对进入接口的所有报文都进行URPF检查。此时如果要保证某些特定的报文不被丢弃,比如设备信任从某个服务器过来的所有报文,不对其进行URPF检查,可以配置对指定流去使能URPF功能。在流行为中去使能URPF检查功能,并将这个流行为与一个流分类关联到一个流策略后,当流策略应用到全局、接口或VLAN时,系统对全局、接口或VLAN上满足流分类的流不再进行URPF检查。

后续任务

执行traffic policy命令创建流策略,并在流策略视图下执行classifier behavior命令将相应的流分类跟配置了禁止URPF检查的流行为绑定。

注意事项

undo ip urpf disable命令仅能在流行为中取消配置禁止URPF检查功能,不能使能URPF检查功能。如果要对接口上所有的流都进行逆向地址检查,则需要执行命令urpf(接口视图)配置URPF功能。

使用实例

# 取消流行为b1的URPF检查功能。

<HUAWEI> system-view
[~HUAWEI] traffic behavior b1
[*HUAWEI-behavior-b1] ip urpf disable

ip urpf

命令功能

ip urpf命令用来配置URPF检查模式。

undo ip urpf命令用来恢复URPF检查模式为缺省值

缺省情况下,未配置URPF检查模式,如果接口下使能URPF功能,则检查模式为松散检查。

命令格式

ip urpf { loose | strict | allow default-route }

undo ip urpf { loose | strict | allow default-route }

参数说明

参数 参数说明 取值
loose URPF将进行松散检查。只要求报文的源地址在路由表中存在,不管其相应的出接口和报文的入接口是否一致,都将被转发。 -
strict URPF将进行严格检查。报文的源地址要在路由表中存在,同时其相应的出接口和报文的入接口要一致,这样才能被转发。 -
allow-default-route 允许对缺省路由进行特殊处理。 -

视图

系统视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、VLANIF接口视图

说明:

CE6870EI仅支持在系统视图下配置URPF检查模式,其他交换机不支持在系统视图下配置URPF检查模式。

仅CE6880EI支持在VLANIF接口视图下配置此命令,且CE6880EI只能在三层口上配置。

缺省级别

2:配置级

使用指南

应用场景

拒绝服务DoS(Denial of Service)攻击是一种阻止连接服务的网络攻击。DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。

URPF在FIB表中查找数据包的IP源地址是否与数据包的来源接口相匹配,如果没有匹配表项将丢弃该数据包,从而预防IP欺骗,特别是针对伪造IP源地址的DoS攻击非常有效。

URPF通过选择是否配置参数allow default-route来确定对缺省路由的处理方式。
  • 不配置参数allow default-route时,不管是严格检查还是松散检查,如果报文的源地址在FIB表中不存在,该报文将被丢弃。
  • 配置参数allow default-route时,如果报文的源地址在FIB表中不存在,
    • 严格检查模式下,如果缺省路由的出接口与报文的入接口一致,报文将通过URPF检查,进行正常的转发。如果缺省路由的出接口与报文的入接口不一致,则报文将被丢弃。
    • 松散检查模式下,不管缺省路由的出接口和报文的入接口是否一致,都将通过URPF检查,进行正常的转发。

注意事项

建议URPF在业务开展之前就提前规划部署。如果业务开展后需要增加部署URPF功能,请选择在业务量小的时候进行配置,并确保FIB规格减半后,能够满足现网业务的需要。

使用实例

# 使能严格URPF检查。(CE6870EI)

<HUAWEI> system-view
[~HUAWEI] ip urpf strict

# 在接口10GE1/0/1下使能严格URPF检查。(除CE6870EI和CE6880EI外)

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] ip urpf strict

# 在接口10GE1/0/1下使能严格URPF检查。(CE6880EI)

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI] undo portswitch
[*HUAWEI-10GE1/0/1] ip urpf strict

ip urpf enable

命令功能

ip urpf enable命令用来使能接口下的URPF检查功能。

undo ip urpf enable命令用来去使能接口下的URPF检查功能。

缺省情况下,接口下未使能URPF检查功能。

命令格式

ip urpf enable

undo ip urpf enable

参数说明

视图

VLANIF接口视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图

说明:

仅CE6870EI和CE6880EI支持VLANIF接口视图。

CE6870EI和CE6880EI只支持在三层口上配置此命令。

缺省级别

2:配置级

使用指南

接口配置了ip urpf enable命令后就会进行URPF功能的检查,默认检查模式为松散检查。

说明:

对于除CE6870EI交换机外,在三层口上配置URPF功能时,只能以松散模式生效。

对于除CE6870EI交换机外,在三层口上配置MPLS功能后,URPF功能将不生效。

使用实例

# 在VLANIF100接口下使能URPF检查功能。(CE6870EI和CE6880EI

<HUAWEI> system-view
[~HUAWEI] vlan 100
[*HUAWEI-vlan100] quit
[*HUAWEI] interface vlanif 100
[*HUAWEI-Vlanif100] ip urpf enable

# 在10GE1/0/1接口下使能URPF检查功能。(CE6870EI和CE6880EI除外)

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] ip urpf enable
翻译
下载文档
更新时间:2019-03-20

文档编号:EDOC1000166474

浏览量:16158

下载量:407

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页