uRPF将数据包的源地址和存储在转发信息库(FIB)中的信息进行对照,以判定数据包的合法性。FIB是Cisco CEF技术中的一张表,包含从路由表中复制过来的转发信息,可以将其视为路由表的镜像,FIB包含所有已知的路由信息,设备采用FIB就能提高数据包转发的速度,由于uRPF以FIB中的信息为过依据,因此在使用uRPF之前必须首先配置CEF。
uRPF的两种工作模式:
• 严格模式(strict):检查数据包的源地址是否在FIB中,且源地址是否是CEF确定的最佳返回路由接口接收。
在多宿主连接中,有可能返回的最佳连接与接收接口不同,这样容易产生问题。鉴于此尽在单宿主连接中使用该模式,若存在多条相同度量的最佳路径也可以使用uRPF,如配置了度量方差(Metric variance)的EIGRP。
建议一下两种情况使用严格模式:1、仅有一条进出网络的连接;2、满足要求的单宿主客户与核心网络连接。
• 松散模式(loose):仅检查数据包的源地址是不是在FIB中,不检查源地址是不是由最佳返回路径的接口接收,松散模式的灵活性更大,一般在多宿主连接(包括网络内部)普遍存在的情况下使用。
注意:uRPF只能在输入接口使用。因此,若网络和ISP之间存在一条单宿主主连接,则应该只配置uRPF以监控来自ISP的流量。由于uRPF以CEF转发速率工作,与采用传统的ACL防止地址欺骗相比,uRPF可以有效提高设备的性能,当uRPF被配置在工作速率超过1Mbps的接口,此区别将更加明显。
uRPF配置:
可以看出在模式选项后面还可以配合ACL使用,以确定数据包的转发或丢弃。
注意,仅在数据包无法通过uRPF校验时,才需要使用ACL。
验证uRPF配置:
查看指定接口配置的uRPF:
show cef interface interface
查看全局uRPF数据包计数信息:
show ip traffic //会出现很多statistics,如IP、ICMP、IGMP、OSPF、PIM等
查看指定接口丢弃(验证丢弃)或转发(抑制验证丢弃)uRPF数据包的信息:
show ip interface interface
