• 单播反向路径转发uRPF


    uRPF将数据包的源地址和存储在转发信息库(FIB)中的信息进行对照,以判定数据包的合法性。FIB是Cisco CEF技术中的一张表,包含从路由表中复制过来的转发信息,可以将其视为路由表的镜像,FIB包含所有已知的路由信息,设备采用FIB就能提高数据包转发的速度,由于uRPF以FIB中的信息为过依据,因此在使用uRPF之前必须首先配置CEF

    uRPF的两种工作模式:

        • 严格模式(strict):检查数据包的源地址是否在FIB中,且源地址是否是CEF确定的最佳返回路由接口接收。
        在多宿主连接中,有可能返回的最佳连接与接收接口不同,这样容易产生问题。鉴于此尽在单宿主连接中使用该模式,若存在多条相同度量的最佳路径也可以使用uRPF,如配置了度量方差(Metric variance)的EIGRP。
        建议一下两种情况使用严格模式:1、仅有一条进出网络的连接;2、满足要求的单宿主客户与核心网络连接。
        
        • 松散模式(loose):仅检查数据包的源地址是不是在FIB中,不检查源地址是不是由最佳返回路径的接口接收,松散模式的灵活性更大,一般在多宿主连接(包括网络内部)普遍存在的情况下使用。
        
        注意:uRPF只能在输入接口使用。因此,若网络和ISP之间存在一条单宿主主连接,则应该只配置uRPF以监控来自ISP的流量。由于uRPF以CEF转发速率工作,与采用传统的ACL防止地址欺骗相比,uRPF可以有效提高设备的性能,当uRPF被配置在工作速率超过1Mbps的接口,此区别将更加明显。

    uRPF配置:


    可以看出在模式选项后面还可以配合ACL使用,以确定数据包的转发或丢弃。
    注意,仅在数据包无法通过uRPF校验时,才需要使用ACL。


    验证uRPF配置:
    查看指定接口配置的uRPF:
    show cef interface interface

    查看全局uRPF数据包计数信息:

    show ip traffic //会出现很多statistics,如IP、ICMP、IGMP、OSPF、PIM等

    查看指定接口丢弃(验证丢弃)或转发(抑制验证丢弃)uRPF数据包的信息:

    show ip interface interface

    好好学习,天天向上!
  • 相关阅读:
    vue子组件获取父组件方法
    css hack
    【Educational Codeforces Round 87 (Rated for Div. 2)】前4题
    【某次ks】20200512
    NoI Online 2反思
    RMQ&LCA
    杂谈
    高手训练矩乘T3
    0118ACM自闭赛
    网络流初步学习笔记
  • 原文地址:https://www.cnblogs.com/MomentsLee/p/10162775.html
Copyright © 2020-2023  润新知