所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R013C00 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
URPF配置命令

URPF配置命令

命令支持情况

默认所有款型均支持本章节命令,如有个别命令行或参数存在差异,请详见具体命令行中的说明。

ip urpf disable

命令功能

ip urpf disable命令用来去使能对指定流进行URPF检查功能。

undo ip urpf disable命令用来取消去使能对指定流进行URPF检查的配置。

缺省情况下,流行为中未去使能URPF检查功能。

说明:

SA系列单板(ET1D2X12SSA0单板除外)不支持此功能。

命令格式

ip urpf disable

undo ip urpf disable

参数说明

视图

流行为视图

缺省级别

2:配置级

使用指南

应用场景

配置接口的URPF检查功能后,设备对进入接口的所有报文都进行URPF检查。此时如果要保证某些特定的报文不被丢弃,比如设备信任从某个服务器过来的所有报文,不对其进行URPF检查,可以配置对指定流去使能URPF功能。在流行为中去使能URPF检查功能,并将这个流行为与一个流分类关联到一个流策略后,当流策略应用到全局、单板、接口或VLAN时,系统对全局、单板、接口或VLAN上满足流分类的流不再进行URPF检查。

后续任务

执行traffic policy命令创建流策略,并在流策略视图下执行classifier behavior命令将相应的流分类跟配置了禁止URPF检查的流行为绑定。

注意事项

undo ip urpf disable命令仅能在流行为中取消配置禁止URPF检查功能,不能使能URPF检查功能。如果要对单板或接口上所有的流都进行逆向地址检查,则需要分别执行命令urpf(系统视图)urpf(接口视图)配置URPF功能。

使用实例

# 取消流行为b1的URPF检查功能。

<HUAWEI> system-view
[HUAWEI] traffic behavior b1
[HUAWEI-behavior-b1] ip urpf disable

urpf(接口视图)

命令功能

urpf命令用来使能接口的URPF功能并配置URPF模式。

undo urpf命令用来去使能接口的URPF功能。

缺省情况下,接口未使能URPF功能。

说明:

对于ET1D2X48SEC0单板、SC系列单板和EE系列单板,仅二层以太网接口支持配置URPF严格检查。

ET1D2X48SEC0单板、SC系列单板、EE系列单板、X系列单板支持在VLANIF接口和子接口配置URPF。

命令格式

urpf { loose | strict } [ allow-default-route ]

undo urpf

参数说明

参数 参数说明 取值
loose URPF将进行松散检查。设备仅要求路由表中存在去往报文源IP地址的路由,不要求报文入接口与路由出接口一致。 -
strict URPF将进行严格检查。设备不仅要求路由表中存在去往报文源IP地址的路由,还要求报文入接口与路由出接口一致。 -
allow-default-route 允许去往报文源IP地址的路由为缺省路由。

如果不配置该参数,设备进行URPF检查时,不允许去往报文源IP地址的路由为缺省路由。

-

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

拒绝服务DoS(Denial of Service)攻击是一种阻止连接服务的网络攻击。DoS的攻击方式有很多种,最基本的DoS攻击就是利用大量合法或伪造的请求占用过多的服务资源,从而使合法用户无法得到正常服务。

URPF根据报文的源IP地址查找路由表中是否存在去往该地址的路由,并判断报文入接口与路由出接口是否一致。如果路由表不存在去往该源IP地址的路由或报文入接口与路由出接口不一致,则丢弃该报文,从而预防IP欺骗,特别是针对伪造源IP地址的DoS攻击非常有效。

在复杂的网络环境中,会遇到路由不对称的情况,即对端设备记录的路由路径与本端不一致,此时使能URPF的设备可能会丢弃从合法路径接收的报文,正常转发从非法路径接收的报文。为了解决该问题,设备实现了以下两种URPF模式:
  • 严格模式

    严格模式下,设备不仅要求路由表中存在去往报文源IP地址的路由,还要求报文入接口与路由出接口一致。

    建议在路由对称的环境下使用严格模式。例如两个网络边界设备之间只有一条路径,此时使用严格模式能够保证网络的安全性。

  • 松散模式

    松散模式下,设备仅要求路由表中存在去往报文源IP地址的路由,不要求报文入接口与路由出接口一致。

    建议在不能保证路由对称的环境下使用松散模式。例如两个网络边界设备之间有多条路径,路由的对称性无法保证,此时松散模式既可以有效地阻止网络攻击,又可以避免合法报文被错误丢弃。

前置任务

对于除X系列单板之外的单板,执行命令urpf(系统视图)使能全局URPF功能后,接口下的配置才会生效。

注意事项

Eth-Trunk接口视图下,本命令与service type tunnel命令冲突,两者不能同时配置。

如果在二层以太网接口上配置URPF严格检查,从其子接口进入的报文将无法通过URPF严格检查。如果将二层以太网接口的配置改为URPF松散检查,从其子接口进入的报文可以通过URPF松散检查。

对于ET1D2X48SEC0单板,当通过assign resource-mode命令配置设备的资源分配模式为enhanced-ipv4模式或者ipv4-ipv6 6:1模式时,allow-default-route不生效。

使用实例

# 在二层接口GE1/0/1上使能URPF严格检查,并允许去往报文源IP地址的路由为缺省路由。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] urpf strict allow-default-route
# 在三层接口GE1/0/2上使能URPF松散检查,并允许去往报文源IP地址的路由为缺省路由。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/2
[HUAWEI-GigabitEthernet1/0/2] undo portswitch
[HUAWEI-GigabitEthernet1/0/2] urpf loose allow-default-route

urpf(系统视图)

命令功能

urpf命令用来使能接口板的全局URPF功能。

undo urpf命令用来去使能接口板的全局URPF功能。

缺省情况下,接口板的全局URPF功能未使能。

说明:

X系列单板不支持该命令。

命令格式

urpf slot slot-id [ based-logic-port ]

undo urpf slot slot-id [ based-logic-port ]

说明:

ET1D2X48SEC0单板、SC系列单板和EE系列单板支持based-logic-port

参数说明

参数 参数说明 取值
slot slot-id

指定接口板的槽位号。

根据设备的实际配置情况选取。
based-logic-port
  • 如果指定该关键字,则仅支持在逻辑接口(VLANIF接口或子接口)下配置URPF检查,以太网接口(二层以太网接口或三层以太网接口)下的URPF检查会失效。
  • 如果未指定该关键字,则仅支持在以太网接口下配置URPF检查,逻辑接口下的URPF检查会失效。
-

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

拒绝服务DoS(Denial of Service)攻击是一种阻止连接服务的网络攻击。DoS的攻击方式有很多种,最基本的DoS攻击就是利用大量合法或伪造的请求占用过多的服务资源,从而使合法用户无法得到正常服务。

URPF根据报文的源IP地址查找路由表中是否存在去往该地址的路由,并判断报文入接口与路由出接口是否一致。如果路由表不存在去往该源IP地址的路由或报文入接口与路由出接口不一致,则丢弃该报文,从而预防IP欺骗,特别是针对伪造源IP地址的DoS攻击非常有效。

在复杂的网络环境中,会遇到路由不对称的情况,即对端设备记录的路由路径与本端不一致,此时使能URPF的设备可能会丢弃从合法路径接收的报文,正常转发从非法路径接收的报文。为了解决该问题,设备实现了以下两种URPF模式:
  • 严格模式

    严格模式下,设备不仅要求路由表中存在去往报文源IP地址的路由,还要求报文入接口与路由出接口一致。

    建议在路由对称的环境下使用严格模式。例如两个网络边界设备之间只有一条路径,此时使用严格模式能够保证网络的安全性。

  • 松散模式

    松散模式下,设备仅要求路由表中存在去往报文源IP地址的路由,不要求报文入接口与路由出接口一致。

    建议在不能保证路由对称的环境下使用松散模式。例如两个网络边界设备之间有多条路径,路由的对称性无法保证,此时松散模式既可以有效地阻止网络攻击,又可以避免合法报文被错误丢弃。

注意事项

  • 改变接口板的全局URPF状态会造成短时间内报文转发不正确。
  • 部署URPF会导致FIB规格减半,建议在业务开展之前部署URPF。如果业务开展后需要部署URPF,请选择在业务量小的时候进行配置,并确保FIB规格减半后,能够满足现网业务的需要。对于EC系列单板和EE系列单板,可以执行命令assign resource-mode slot slot-id mode enhanced-ipv4扩展接口板的FIB表项。
  • urpf slot slot-idurpf slot slot-id based-logic-port命令会互相覆盖,仅最后一次配置生效。

后续配置

执行命令urpf(接口视图)使能接口的URPF功能并配置URPF模式。

使用实例

# 使能1号接口板的全局URPF功能。

<HUAWEI> system-view
[HUAWEI] urpf slot 1
Warning: Changing the global URPF status may interrupt some services for several seconds and FIB entries supported may be reduced. Continue? [Y/N]:y
# 将基于以太网接口的URPF功能切换为基于逻辑接口的URPF功能。
<HUAWEI> system-view
[HUAWEI] urpf slot 1 based-logic-port
Warning: Changing the global URPF status may interrupt some services for several seconds and FIB entries supported may be reduced. Continue? [Y/N]: y
Warning: The global URPF mode will be changed from physical interface-based to logical interface-based. The URPF configuration on all Layer 2 or Layer 3 physical interfaces of the card will become invalid. Are you sure to continue? [Y/N]: y
# 将基于逻辑接口的URPF功能切换为基于以太网接口的URPF功能。
<HUAWEI> system-view
[HUAWEI] urpf slot 1
Warning: Changing the global URPF status may interrupt some services for several seconds and FIB entries supported may be reduced. Continue? [Y/N]: y
Warning: The global URPF mode will be changed from logical interface-based to physical interface-based. The URPF configuration on all sub-interfaces or VLANIF interfaces of the card will become invalid. Are you sure to continue? [Y/N]: y
翻译
下载文档
更新时间:2019-04-08

文档编号:EDOC1100065708

浏览量:10377

下载量:200

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页