URPF应用场景

严格模式下的URPF应用

如图15-3所示，AS1和AS2与AS3之间为单连接。在SwitchC的Interface1接口和Interface2接口上配置URPF，可以保护AS3免受来自AS1和AS2的源地址欺骗攻击。

如果AS1中的主机PC A伪造了一个源地址为2.2.2.2的报文，向AS3中的Server发送请求。SwitchC在接收到这个报文后，检查其入接口是否匹配，发现源地址为2.2.2.2的报文应该从Interface2进入，则SwitchC认为该报文源地址是伪造的，直接丢弃该报文。

从AS2发向Server的正常报文，检查通过后，被正常的转发。

图15-3 URPF单宿主客户应用环境示意图

松散模式下的URPF应用

两个网络边界设备之间多个连接有单宿主单ISP客户和多宿主多ISP客户两种情况。

• 单宿主单ISP客户

  图15-4 URPF单宿主单ISP客户应用环境示意图
  
  

  如图15-4所示，为了保证可靠性，某公司网络和某个ISP之间有两条连接。这时就不能够保证Enterprise和ISP之间路由的对称性，必须使用URPF松散模式。

• 多宿主多ISP客户

  图15-5 URPF多宿主多ISP客户应用环境示意图
  
  

  在图15-5所示环境中，客户与多个ISP连接，很难保证Enterprise和两个ISP之间路由的对称性，必须使用URPF松散模式。

  客户与多个ISP连接下的URPF可以具有以下应用：

  • 如果用户希望某些特殊报文任何情况都可以通过URPF的检查，可以在利用ACL指定这些特殊的源地址允许通过。

  • 许多用户连接的设备可能只有一条缺省路由指向ISP，此时，需要配置允许匹配缺省路由选项。