评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
基于可信路径的访问控制
IP网络的开放性决定了,只要路由可达,任何人都可以对目标主机进行访问或者攻击。
对于某一个主机而言,访问它的客户端的报文历经的路径通常是固定的,尤其是在网络边缘,这种路径的固定特性表现得更加明显。
对于电信网络而言,路由器连接的邻接网元的拓扑关系通常在网络规划阶段就已经明确,在网络运营过程中极少修改。
基于以上假设,可以在路由器上部署基于可信路径(trusted path)的访问控制策略,以提升网络的安全性。
图7-6 URPF反向路径转发模型
![]()
URPF配置的详细内容请参见《NE20E 配置指南-安全》中的“URPF配置”。
配置接口URPF
配置基于流的URPF
通过部署URPF,可以判定某个报文的源地址是否合法,如果该报文的路径与URPF学习的路径不符,丢弃该报文,用URPF可以有效防范IP地址欺骗。
配置URPF示例
组网需求
本例在ISP入口点启动URPF功能。如图7-7所示,客户DeviceA与ISP DeviceB直连,在DeviceB的接口GE0/1/0上启动URPF。要求严格检查,源地址在ACL 2010中的报文在任何情况下都能通过检查;在DeviceA的接口GE0/1/0上启动URPF,要求严格检查,使能缺省路由匹配。
| 设备名称 | 接口 | IP地址 |
| Device A | GE0/1/0 | 1.1.1.1/30 |
| Device B | GE0/1/0 | 1.1.1.2/30 |
配置思路
采用如下思路配置URPF:
- 在ISP DeviceB端配置流量策略,允许指定网段的流量通过URPF检查;
- 在客户端DeviceA的接口上配置IP地址,并使能URPF功能。
数据准备
为完成该配置例,需要准备如下数据:
- 各接口的IP地址
- 能够通过URPF检查的网段地址
操作步骤
- 配置DeviceB
# 配置ACL 2010,允许10.1.1.0/24网段的流量通过URPF检查。
<DeviceB> system-view [~DeviceB] acl number 2010 [~DeviceB-acl-basic-2010] rule permit source 10.1.1.0 0.0.0.255 [~DeviceB-acl-basic-2010] commit [~DeviceB-acl-basic-2010] quit
# 配置流分类,定义基于ACL的匹配规则。
[~DeviceB] traffic classifier classifier1 [~DeviceB-classifier-classifier1] if-match acl 2010 [~DeviceB-classifier-classifier1] commit [~DeviceB-classifier-classifier1] quit
# 定义流行为,配置URPF功能。
[~DeviceB] traffic behavior behavior1 [~DeviceB-behavior-behavior1] ip urpf strict [~DeviceB-behavior-behavior1] commit [~DeviceB-behavior-behavior1] quit
# 定义流量策略,将流分类与流行为关联。
[~DeviceB] traffic policy policy1 [~DeviceB-trafficpolicy-policy1] classifier classifier1 behavior behavior1 [~DeviceB-trafficpolicy-policy1] commit [~DeviceB-trafficpolicy-policy1] quit
# 将流量策略应用到接口上。
[~DeviceB] interface gigabitethernet 0/1/0 [~DeviceB-GigabitEthernet0/1/0] undo shutdown [~DeviceB-GigabitEthernet0/1/0] ip address 1.1.1.2 255.255.255.252 [~DeviceB-GigabitEthernet0/1/0] traffic-policy policy1 inbound [~DeviceB-GigabitEthernet0/1/0] commit
- 配置Device A
# 配置接口GE0/1/0。
<DeviceA> system-view [~DeviceA] interface gigabitethernet 0/1/0 [~DeviceA-GigabitEthernet0/1/0] undo shutdown [~DeviceA-GigabitEthernet0/1/0] ip address 1.1.1.1 255.255.255.252 [~DeviceA-GigabitEthernet0/1/0] commit
# 在接口GE0/1/0上使能URPF功能,要求URPF做严格检查,并使能缺省路由匹配。
[~DeviceA-GigabitEthernet0/1/0] ip urpf strict allow-default [~DeviceA-GigabitEthernet0/1/0] commit
配置文件
- DeviceA的配置文件
# sysname DeviceA # interface GigabitEthernet0/1/0 undoshutdown ip address 1.1.1.1 255.255.255.252 ip urpf strict allow-default # return
- DeviceB的配置文件
# sysname DeviceB # acl number 2010 rule 5 permit source 10.1.1.0 0.0.0.255 # traffic classifier classifier1 operator or if-match acl 2010 # traffic behavior behavior1 ip urpf strict # traffic policy policy1 classifier classifier1 behavior behavior1 # interface GigabitEthernet0/1/0 undoshutdown ip address 1.1.1.2 255.255.255.252 traffic-policy policy1 inbound # return
