评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置URPF检查模式
背景信息
在复杂的网络环境中应用URPF时,会遇到路由不对称的情况,即对端设备记录的路由路径不一样,此时使能URPF的设备可能丢弃合法报文,造成设备不能正确转发。
为了解决以上复杂网络中应用URPF的问题,设备实现了URPF的两种工作模式:
- 严格模式
严格模式下,设备不仅要求报文源地址在FIB表中存在相应表项,还要求接口匹配才能通过URPF检查。
建议在路由对称的环境下使用URPF严格模式,例如两个网络边界设备之间只有一条路径的话,这时,使用严格模式能够最大限度的保证网络的安全性。
- 松散模式
松散模式下,设备不检查接口是否匹配,只要FIB表中存在该报文源地址的路由,报文就可以通过。
建议在不能保证路由对称的环境下使用URPF的松散模式,例如两个网络边界设备之间如果有多条路径连接的话,路由的对称性就不能保证,在这种情况下,URPF的松散模式也可以保证较强的安全性。
操作步骤
- 执行命令system-view,进入系统视图。
- 配置URPF检查模式(CE12800E):
- (对于以太网接口)执行命令undo portswitch,配置接口切换到三层模式。
缺省情况下,以太网接口处于二层模式。
如果接口下有任何二层的配置存在,该命令都不能执行成功。请先将接口下的二层配置全部清除,然后再执行undo portswitch命令。
如果涉及的以太网接口较多,可以在系统视图下执行命令undo portswitch batch interface-type { interface-number1 [ to interface-number2 ] } &<1-10>,批量切换以太网接口的工作模式。
- (对于以太网接口)执行命令undo portswitch,配置接口切换到三层模式。
- 配置URPF检查模式(CE12800):
执行命令ip urpf { loose | strict | allow default-route },配置URPF检查模式。
缺省情况下,全局未配置URPF检查功能,如果接口下使能URPF功能,则检查模式为松散检查。
- 执行命令commit,提交配置。
