URPF---源地址校验

系统视图

10GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、VLANIF接口视图

<HUAWEI> system-view

[~HUAWEI] ip urpf strict

[~HUAWEI] vlan 100
[*HUAWEI-vlan100] quit
[*HUAWEI] interface vlanif 100
[*HUAWEI-Vlanif100] ip urpf enable

S6700、S9300系列的交换机：

1. 执行命令system-view，进入系统视图。

2. 执行命令interface interface-type interface-number，进入接口视图。

3. （可选）对于以太网接口，执行命令undo portswitch，配置接口切换到三层模式。缺省情况下，以太网接口处于二层模式，二层模式下不能开启URPF。URPF只能在三层接口启用。

4. 执行命令urpf { loose | strict } [ allow-default-route ]，使能接口的URPF功能并配置URPF模式。缺省情况下，接口未使能URPF功能。

 

H3C全局开启uRPF　

　　配置步骤

　　(1)     进入系统视图。

　　system-view

　　(2)     开启全局uRPF功能。

　　ip urpf { loose | strict }

　　缺省情况下，uRPF功能处于关闭状态。

　　

　　uRPF显示和维护

　　在完成上述配置后，在任意视图下执行display命令可以显示配置uRPF后的运行情况，通过查看显示信息验证配置的效果。

　　[H3C]dis ip urpf
　　Global uRPF configuration information:
　　Check type: strict
　　Allow default route

 

 

思科、锐捷uRPF（Unicast Reverse Path Forwarding 单播的反向路径转发）

 

（1）uRPF概述 
uRPF功能是让路由器具备防IP欺骗或IP伪造的能力。uRPF所认为的IP伪造，是指某个IP的数据包的并不应该从某个接口进来，却从某个接口进来了，那么这样的数据包便认为是具有IP欺骗性质的，默认是被丢弃的。 
（2）uRPF检测 
当路由器从某个开启了uRPF的接口上收到数据包之后，都会检测该数据包的源IP地址，同时与路由表中的路由条目作对比，经过判断后，如果到达这个源IP的出口确实是这个开了uRPF的接口，则数据包被转发，否则被丢弃。 
因为uRPF开启后，所有从此接口进入的数据包都要被检测，速度将会变慢，所以必须开启CEF后，才能开启uRPF。uRPF只能在in方向上开启，在做检查时，所有到源IP的最优路径都认为是可行的。 
在正常情况下，如果一个数据包无法通过uRPF检查，那么该数据包默认是丢弃的，但是有时因为特殊原因，可以让某些即使检查失败的数据包也能通过，要做到这一点，就可以在开启uRPF除加ACL，其中检查失败的数据包，是丢弃还是放行，全由ACL来定，ACL允许，就放行，ACL拒绝，就丢弃。 
（3）Strict Mode 严格模式 
Router (config-if)# ip verify unicast source reachable-via rx
 在接口上开启uRPF的严格模式 
Router (config-if)# ip verify unicast reverse-path 
Loose Mode 宽松模式 
Router (config-if)# ip verify unicast source reachable-via any 在接口上开启uRPF的宽松模式 
（4）uRPF 配置 
Router(config-if)#ip verify unicast reverse-path 
接口上开启uRPF,默认检测进入接口的所有数据包。 
Router(config)#access-list 100 permit ip host 3.3.3.3 any 
Router(config-if)#ip verify unicast reverse-path 100