- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
18-uRPF配置
本章節下載: 18-uRPF配置 (347.72 KB)
uRPF(unicast Reverse Path Forwarding,單播反向路徑轉發)是一種單播逆向路由查找技術,用來防範基於源地址欺騙的攻擊手段,例如基於源地址欺騙的DoS(Denial of Service,拒絕服務)攻擊和DDoS(Distributed Denial of Service,分布式拒絕服務)攻擊。
對於使用基於IP地址驗證的應用來說,基於源地址欺騙的攻擊手段可能導致未被授權用戶以他人,甚至是管理員的身份獲得訪問係統的權限。因此即使響應報文沒有發送給攻擊者或其它主機,此攻擊方法也可能會造成對被攻擊對象的破壞。
如圖1-1所示,攻擊者在Router A上偽造並向Router B發送大量源地址為2.2.2.1的報文,Router B響應這些報文並向真正的“2.2.2.1”(Router C)回複報文。因此這種非法報文對Router B和Router C都造成了攻擊。如果此時網絡管理員錯誤地切斷了Router C的連接,可能會導致網絡業務中斷甚至更嚴重的後果。
攻擊者也可以同時偽造不同源地址的攻擊報文或者同時攻擊多個服務器,從而造成網絡阻塞甚至網絡癱瘓。
uRPF可以有效防範上述攻擊。一般情況下,設備在收到報文後會根據報文的目的地址對報文進行轉發或丟棄。而uRPF可以在轉發表中查找報文源地址對應的接口是否與報文的入接口相匹配,如果不匹配則認為源地址是偽裝的並丟棄該報文,從而有效地防範網絡中基於源地址欺騙的惡意攻擊行為的發生。
uRPF檢查有嚴格(strict)型和鬆散(loose)型兩種。
不僅檢查報文的源地址是否在轉發表中存在,而且檢查報文的入接口與轉發表是否匹配。
在一些特殊情況下(如非對稱路由,即設備上行流量的入接口和下行流量的出接口不相同),嚴格型uRPF檢查會錯誤地丟棄非攻擊報文。
一般將嚴格型uRPF檢查布置在ISP的用戶端和ISP端之間。
僅檢查報文的源地址是否在轉發表中存在,而不再檢查報文的入接口與轉發表是否匹配。
鬆散型uRPF檢查可以避免錯誤的攔截合法用戶的報文,但是也容易忽略一些攻擊報文。
一般將鬆散型uRPF檢查布置在ISP-ISP端。另外,如果用戶無法保證路由對稱,可以使用鬆散型uRPF檢查。
當設備上配置了缺省路由後,會導致uRPF根據轉發表檢查源地址時,所有源地址都能查到下一跳。針對這種情況,支持用戶配置uRPF是否允許匹配缺省路由。如果允許匹配缺省路由(配置allow-default-route),則當uRPF查詢轉發表得到的結果是缺省路由時,認為查到了匹配的表項;如果不允許匹配缺省路由,則當uRPF查詢轉發表得到的結果是缺省路由時,認為沒有查到匹配的表項。
缺省情況下,如果uRPF查詢轉發表得到的結果是缺省路由,則按沒有查到表項處理,丟棄報文。
運營商網絡邊緣位置一般不會有缺省路由指向客戶側設備,所以一般不需要配置allow-default-route。如果在客戶側邊緣設備接口上麵啟用uRPF,這時往往會有缺省路由指向運營商,此時需要配置allow-default-route。
uRPF的處理流程如圖1-2所示。
圖1-2 uRPF處理流程圖
(1) 檢查地址合法性:對於目的地址是組播地址的報文直接放行。否則,進入步驟(2);
(2) 檢查用戶是否配置為鬆散型檢查,如果是,則根據報文源IP地址查找轉發表;否則,根據報文源IP地址和入接口查找轉發表。檢查完成後進入步驟(3);
(3) 對於源IP地址是全零的報文,如果目的地址是廣播,則放行;如果目的地址不是廣播,則丟棄報文;
(4) 對於源IP地址不是全零的報文,判斷報文的源IP地址在轉發表中是否存在匹配的單播路由:如果不存在,則丟棄報文,否則進入步驟(5);
(5) 如果轉發表中匹配的是上送本機路由,即查到InLoop接口,則檢查報文入接口是否是InLoop接口:如果是,則直接放行,否則丟棄報文;如果轉發表中匹配的不是上送本機路由則繼續步驟(6);
(6) 如果轉發表中匹配的是缺省路由,則檢查用戶是否配置了允許匹配缺省路由(參數allow-default-route):如果沒有配置,則丟棄報文,否則正常轉發;如果轉發表中匹配的不是缺省路由,則直接放行。
圖1-3 uRPF典型組網應用
通常在ISP上配置uRPF,在ISP與用戶端,配置嚴格型uRPF檢查,在ISP與ISP端,配置鬆散型uRPF檢查。
用戶可在全局和接口上配置uRPF功能,全局配置對設備的所有接口生效。
當同時在全局和接口上配置uRPF功能時,接口上的配置優先生效。
全局或接口上開啟uRPF功能後,IPv6 uRPF功能會同時開啟。全局或同一接口下uRPF和IPv6 uRPF的檢查模式、是否允許默認路由的配置應保持一致。
嚴格型uRPF檢查與等價路由功能同時使用時,等價路由不超過8條時,匹配等價路由的業務報文進行嚴格型uRPF檢查,超過8條等價路由時業務報文將進行鬆散型uRPF檢查。
接口上的uRPF功能僅適用於:三層以太網接口、三層以太網子接口、三層聚合接口、三層聚合子接口、Vlan接口。
配置uRPF功能後短時間內,三層業務流量不通,請合理規劃組網配置。
uRPF檢查僅對接口收到的報文有效。
三層以太網接口配置uRPF功能後,不支持作為隧道公網接口。
uRPF檢查功能對被隧道封裝後的報文不生效。配置的uRPF檢查模式不同,設備對該報文的處理結果有所不同:
· 設備上配置鬆散uRPF檢查時,直接放行該報文。
· 設備上配置嚴格uRPF檢查時,直接丟棄該報文。
在MPLS網絡中,如果本設備為倒數第二跳設備分配了隱式空標簽,則從該倒數第二跳設備收到的MPLS報文無法進行嚴格型uRPF檢查。關於MPLS隱式空標簽的詳細介紹,請參見“MPLS配置指導”中的“MPLS基礎”。
配置鬆散型uRPF檢查時不建議配置allow-default-route參數,否則可能導致防攻擊能力失效。
Super VLAN、Private VLAN、SAVA、業務板代理模式不能與uRPF功能同時開啟。Super VLAN和Private VLAN功能的詳細介紹請參見“二層技術-以太網交換配置指導”中的“VLAN”。SAVA功能的詳細介紹請參見“安全配置指導”中的“SAVA”。業務板代理模式的詳細介紹請參見“基礎配置指導”中的“設備管理”。
表1-1 配置全局uRPF
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
在全局下打開uRPF功能 |
ip urpf { loose | strict } [ allow-default-route ] |
缺省情況下,uRPF功能處於關閉狀態 |
表1-2 配置接口uRPF
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
開啟uRPF功能 |
ip urpf { loose | strict } [ allow-default-route ] |
缺省情況下,uRPF功能處於關閉狀態 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置uRPF後的運行情況,通過查看顯示信息驗證配置的效果。
表1-3 uRPF顯示和維護
|
配置步驟 |
命令 |
|
顯示uRPF的配置應用情況(獨立運行模式) |
display ip urpf [ interface interface-type interface-number ] [ slot slot-number ] |
|
顯示uRPF的配置應用情況(IRF模式) |
display ip urpf [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
· 客戶交換機Switch A與ISP交換機Switch B直連,在Switch B上配置嚴格型uRPF檢查。
· 在Switch A上配置嚴格型uRPF檢查,同時允許匹配缺省路由。
圖1-4 uRPF配置舉例組網圖
# 配置嚴格型uRPF檢查。
[SwitchB] ip urpf strict
# 配置嚴格型uRPF檢查,同時允許匹配缺省路由。
[SwitchA] ip urpf strict allow-default-route
uRPF(unicast Reverse Path Forwarding,單播反向路徑轉發)是一種單播逆向路由查找技術,用來防範基於源地址欺騙的攻擊手段,例如基於源地址欺騙的DoS(Denial of Service,拒絕服務)攻擊和DDoS(Distributed Denial of Service,分布式拒絕服務)攻擊。
對於使用基於IP地址驗證的應用來說,基於源地址欺騙的攻擊手段可能導致未被授權用戶以他人,甚至是管理員的身份獲得訪問係統的權限。因此即使響應報文沒有發送給攻擊者或其它主機,此攻擊方法也可能會造成對被攻擊對象的破壞。
如圖2-1所示,攻擊者在Router A上偽造並向Router B發送大量源地址為2000::1的報文,Router B響應這些報文並向真正的“2000::1”(Router C)回複報文。因此這種非法報文對Router B和Router C都造成了攻擊。如果此時網絡管理員錯誤地切斷了Router C的連接,可能會導致網絡業務中斷甚至更嚴重的後果。
攻擊者也可以同時偽造不同源地址的攻擊報文或者同時攻擊多個服務器,從而造成網絡阻塞甚至網絡癱瘓。
uRPF可以有效防範上述攻擊。一般情況下,設備在收到報文後會根據報文的目的地址對報文進行轉發或丟棄。而uRPF可以在轉發表中查找報文源地址對應的接口是否與報文的入接口相匹配,如果不匹配則認為源地址是偽裝的並丟棄該報文,從而有效地防範網絡中基於源地址欺騙的惡意攻擊行為的發生。
IPv6 uRPF檢查有嚴格(strict)型和鬆散(loose)型兩種。
不僅檢查報文的源地址是否在IPv6轉發表中存在,而且檢查報文的入接口與IPv6轉發表是否匹配。
在一些特殊情況下(如非對稱路由,即設備上行流量的入接口和下行流量的出接口不相同),嚴格型IPv6 uRPF檢查會錯誤地丟棄非攻擊報文。
一般將嚴格型IPv6 uRPF檢查布置在ISP的用戶端和ISP端之間。
僅檢查報文的源地址是否在IPv6轉發表中存在,而不再檢查報文的入接口與IPv6轉發表是否匹配。
鬆散型IPv6 uRPF檢查可以避免錯誤的攔截合法用戶的報文,但是也容易忽略一些攻擊報文。
一般將鬆散型IPv6 uRPF檢查布置在ISP-ISP端。另外,如果用戶無法保證路由對稱,可以使用鬆散型IPv6 uRPF檢查。
當設備上配置了缺省路由後,會導致IPv6 uRPF根據IPv6轉發表檢查源地址時,所有源地址都能查到下一跳。針對這種情況,支持用戶配置IPv6 uRPF是否允許匹配缺省路由。如果允許匹配缺省路由(配置allow-default-route),則當IPv6 uRPF查詢IPv6轉發表得到的結果是缺省路由時,認為查到了匹配的表項;如果不允許匹配缺省路由,則當IPv6 uRPF查詢IPv6轉發表得到的結果是缺省路由時,認為沒有查到匹配的表項。
缺省情況下,如果IPv6 uRPF查詢IPv6轉發表得到的結果是缺省路由,則按沒有查到表項處理,丟棄報文。
運營商網絡邊緣位置一般不會有缺省路由指向客戶側設備,所以一般不需要配置allow-default-route。如果在客戶側邊緣設備接口上麵啟用IPv6 uRPF,這時往往會有缺省路由指向運營商,此時需要配置allow-default-route。
IPv6 uRPF的處理流程如圖2-2所示。
圖2-2 IPv6 uRPF處理流程圖
(1) 檢查地址合法性:對於目的地址是組播地址的報文直接放行。否則,進入步驟(2);
(2) 檢查用戶是否配置為鬆散型檢查,如果是,則根據報文源IP地址查找IPv6轉發表;否則,根據報文源IP地址和入接口查找IPv6轉發表。檢查完成後進入步驟(3);
(3) 對於源地址是鏈路本地地址的報文,檢查報文入接口是否是InLoop接口:如果是,則直接放行,否則進入步驟(4);
(4) 對於源地址是全零地址的報文,直接丟棄報文,否則進入步驟(5);
(5) 檢查報文的源地址在IPv6轉發表中是否存在匹配的單播路由:如果在IPv6轉發表中查找失敗,則丟棄報文,否則進入步驟(6);
(6) 如果IPv6轉發表中匹配的是上送本機路由,則檢查報文入接口是否是InLoop接口:如果是,則直接放行,否則丟棄報文;如果IPv6轉發表中匹配的不是上送本機路由則繼續步驟(7);
(7) 如果IPv6轉發表中匹配的是缺省路由,則檢查用戶是否配置了允許匹配缺省路由(參數allow-default-route),如果沒有配置,則丟棄報文,否則進行正常轉發;如果IPv6轉發表中匹配的不是缺省路由,則直接放行。
圖2-3 IPv6 uRPF典型組網應用
通常在ISP上配置uRPF,在ISP與用戶端,配置嚴格型IPv6 uRPF檢查,在ISP與ISP端,配置鬆散型IPv6 uRPF檢查。
用戶可在全局和接口上配置IPv6 uRPF功能,全局配置對設備的所有接口生效。
當同時在全局和接口上配置IPv6 uRPF功能時,接口上的配置優先生效。
全局或接口上開啟IPv6 uRPF功能後,uRPF功能會同時開啟。全局或同一接口下IPv6 uRPF和uRPF的檢查模式、是否允許默認路由的配置應保持一致。
嚴格型IPv6 uRPF檢查與等價路由功能同時使用時,等價路由不超過8條時,匹配等價路由的業務報文進行嚴格型IPv6 uRPF檢查,超過8條等價路由時業務報文將進行鬆散型IPv6 uRPF檢查。
接口上的IPv6 uRPF功能僅適用於:三層以太網接口、三層以太網子接口、三層聚合接口、三層聚合子接口、Vlan接口。
單板上的IPv6 uRPF功能僅適用於Vlan接口。
配置IPv6 uRPF功能後短時間內,三層業務流量不通,請合理規劃組網配置。
收到源地址前綴大於64bit的報文時,SA係列接口板不支持對其進行IPv6 uRPF檢查。
IPv6 uRPF檢查僅對接口收到的報文有效。
三層以太網接口配置IPv6 uRPF功能後,不支持作為隧道公網接口。
IPv6 uRPF檢查功能對被隧道封裝後的報文不生效。配置的IPv6 uRPF檢查模式不同,設備對該報文的處理結果有所不同:
· 設備上配置鬆散IPv6 uRPF檢查時,直接放行該報文。
· 設備上配置嚴格IPv6 uRPF檢查時,直接丟棄該報文。
在MPLS網絡中,如果本設備為倒數第二跳設備分配了隱式空標簽,則從該倒數第二跳設備收到的MPLS報文無法進行嚴格型IPv6 uRPF檢查。關於MPLS隱式空標簽的詳細介紹,請參見“MPLS配置指導”中的“MPLS基礎”。
配置鬆散型IPv6 uRPF檢查時不建議配置allow-default-route參數,否則可能導致防攻擊能力失效。
Super VLAN、Private VLAN、SAVA、業務板代理模式不能與IPv6 uRPF功能同時開啟。Super VLAN和Private VLAN功能的詳細介紹請參見“二層技術-以太網交換配置指導”中的“VLAN”。SAVA功能的詳細介紹請參見“安全配置指導”中的“SAVA”。業務板代理模式的詳細介紹請參見“基礎配置指導”中的“設備管理”。
表2-1 配置全局IPv6 uRPF
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
在全局下打開IPv6 uRPF功能 |
ipv6 urpf { loose | strict } [ allow-default-route ] |
缺省情況下,IPv6 uRPF功能處於關閉狀態 |
表2-2 配置接口IPv6 uRPF
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
開啟IPv6 uRPF功能 |
ipv6 urpf { loose | strict } [ allow-default-route ] |
缺省情況下,IPv6 uRPF功能處於關閉狀態 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置IPv6 uRPF後的運行情況,通過查看顯示信息驗證配置的效果。
表2-3 IPv6 uRPF顯示和維護
|
配置步驟 |
命令 |
|
顯示IPv6 uRPF的配置應用情況(獨立運行模式) |
display ipv6 urpf [ interface interface-type interface-number ] [ slot slot-number ] |
|
顯示IPv6 uRPF的配置應用情況(IRF模式) |
display ipv6 urpf [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
客戶交換機Switch A與ISP交換機Switch B直連,在Switch B上啟動IPv6 uRPF,要求配置嚴格型IPv6 uRPF檢查;在Switch A上啟動IPv6 uRPF,要求配置嚴格型IPv6 uRPF檢查,同時允許匹配缺省路由。
圖2-4 IPv6 uRPF配置舉例組網圖
# 配置嚴格型IPv6 uRPF檢查。
[SwitchB] ipv6 urpf strict
# 配置嚴格型IPv6 uRPF檢查,同時允許匹配缺省路由。
[SwitchA] ipv6 urpf strict allow-default-route
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
