Unicast Reverse Path Forwarding (Unicast RPF,单播逆向转发)
Unicast RPF 这个功能可以帮助我们减轻(注意不是完全避免,是减轻)伪造的源IP地址(IP Spoofing,IP地址欺骗)的数据包通过路由器所带来的问题。
1.基本概念
Unicast RPF对于进入网络中的那些源IP地址“无法证实”的IP数据包进行丢弃以防止地址欺骗。举个例子来说,对于DoS攻击,攻击者会利用伪造的或者是不断改变的源IP地址以防止攻击被定位或过滤。对于此类攻击,Unicast RPF只转发那些源IP地址在路由表中存在并有效的数据包。
当Unicast RPF在某个接口上启用,路由器检查所有进入此接口的数据包,确定其源IP地址和源接口在路由表中存在。这种“向后看”的能力只有当Cisco express forwarding (CEF) 启用时才生效,因为其依赖于Forwarding Information Base (FIB),FIB是CEF生成的。
Unicast RPF对于进入网络中的那些源IP地址“无法证实”的IP数据包进行丢弃以防止地址欺骗。举个例子来说,对于DoS攻击,攻击者会利用伪造的或者是不断改变的源IP地址以防止攻击被定位或过滤。对于此类攻击,Unicast RPF只转发那些源IP地址在路由表中存在并有效的数据包。
当Unicast RPF在某个接口上启用,路由器检查所有进入此接口的数据包,确定其源IP地址和源接口在路由表中存在。这种“向后看”的能力只有当Cisco express forwarding (CEF) 启用时才生效,因为其依赖于Forwarding Information Base (FIB),FIB是CEF生成的。
注意: Unicast RPF只能在接口的input方向上。
Unicast RPF检查从某个接口上进入路由器的数据包,通过FIB判断该数据包是否通过最优路径到达,如果是,则正常转发,如果找不到逆向(返回源)的路径,说明该数据包的源IP可能被修改,这时需要通过ACL来判定对该数据包是转发还是丢弃。在接口启用Unicast RPF时,ACL是可选项,如果没有配置ACL,则对于找不到逆向路径的数据包会被丢弃!
当数据包到达一个配置了Unicast RPF和ACl的接口,路由器进行以下操作:
Step 1 利用接口上Input方向的ACL对数据包进行检查。
Step 2 Unicast RPF 检查是否有返回源的最佳路径。
Step 3 完成FIB查找。
Step 4 利用出站接口上Output方向的ACL对数据包进行检查。
Step 5 转发数据包。
2.配置命令
(config)# ip cef //启用CEF
(config)# interface 接口名
(config-if)# ip verify unicast reverse-path [ACL编号] //在接口上启用Unicast RPF,ACL为可选项。
查看命令:
# show ip traffic
# show ip interface 接口名
# show access-lists
(config)# ip cef //启用CEF
(config)# interface 接口名
(config-if)# ip verify unicast reverse-path [ACL编号] //在接口上启用Unicast RPF,ACL为可选项。
查看命令:
# show ip traffic
# show ip interface 接口名
# show access-lists
3.下面用例子说明一下:
ip cef
interface serial 0/0
ip verify unicast reverse-path
这个例子中;从serial 0/0口进入的数据包如果找不到逆向路径则丢弃!
ip cef
int eth 0/1
ip address 192.168.200.1 255.255.255.0
ip verify unicast reverse-path 197
ip cef
interface serial 0/0
ip verify unicast reverse-path
这个例子中;从serial 0/0口进入的数据包如果找不到逆向路径则丢弃!
ip cef
int eth 0/1
ip address 192.168.200.1 255.255.255.0
ip verify unicast reverse-path 197
access-list 197 deny ip 192.168.201.0 0.0.0.63 any log-input
access-list 197 permit ip 192.168.201.64 0.0.0.63 any log-input
access-list 197 deny ip 192.168.201.128 0.0.0.63 any log-input
access-list 197 permit ip 192.168.201.192 0.0.0.63 any log-input
access-list 197 deny ip host 0.0.0.0 any log
这个是将Unicast RPF和ACL一起使用的例子。
access-list 197 permit ip 192.168.201.64 0.0.0.63 any log-input
access-list 197 deny ip 192.168.201.128 0.0.0.63 any log-input
access-list 197 permit ip 192.168.201.192 0.0.0.63 any log-input
access-list 197 deny ip host 0.0.0.0 any log
这个是将Unicast RPF和ACL一起使用的例子。
本文转自zcm8483 51CTO博客,原文链接:http://blog.51cto.com/haolun/991672
