玩转华为ENSP模拟器系列 | 配置URPF示例

最新推荐文章于 2024-05-20 20:42:03 发布
最新推荐文章于 2024-05-20 20:42:03 发布
阅读量822 收藏 2
点赞数
分类专栏: 实验笔记 文章标签: 华为 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guolianggsta/article/details/124736541
版权

素材来源:华为路由器配置指南

一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持!

附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验

目标

应用基于流的URPF,防止某些类型的报文进行源地址欺骗攻击。

组网需求

本例在ISP入口点启动URPF功能。如图1所示,客户路由器DeviceA与ISP路由器DeviceB直连,在DeviceB的接口GE1/0/0上启动URPF,要求严格检查。源地址在ACL 2010中的报文在任何情况下都能通过检查;在DeviceA的接口GE1/0/0上启动URPF,要求严格检查,使能缺省路由匹配。

配置思路

  • 在ISP路由器端配置流量策略,允许指定网段的流量通过URPF检查;
  • 在客户端路由器的接口上配置IP地址,并使能URPF功能。

操作步骤

  1. 配置A1-2

配置ACL 2010,允许10.1.1.0/24网段的流量通过URPF检查。

A1-2:
acl number 2010
 rule 5 permit source 10.1.1.0 0.0.0.255

配置流分类,定义基于ACL的匹配规则。

A1-2:
traffic classifier classifier1 operator or
 if-match acl 2010

定义流行为,配置URPF功能。

A1-2:
traffic behavior behavior1
 ip urpf strict

定义流量策略,将流分类与流行为关联。

A1-2:
traffic policy policy1
 classifier classifier1 behavior behavior1

将流量策略应用到接口上。

A1-2:
interface GigabitEthernet0/2/1
 undo shutdown
 ip address 172.19.139.2 255.255.255.252
 traffic-policy policy1 inbound
  1. 配置A1-1

配置接口

A1-1:
interface GigabitEthernet0/2/1
 undo shutdown
 ip address 172.19.139.1 255.255.255.252

在接口上使能URPF功能,要求URPF做严格检查,并使能缺省路由匹配。

A1-1:
interface GigabitEthernet0/2/1
 ip urpf strict #
默认使能缺省路由匹配

 

热爱编程的通信人
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为 ME60 V800R010C10SPC500 配置指南 - URPF配置
04-05
通过URPF配置,能够解决基于源地址欺骗的攻击。 1 URPF概述 2 URPF支持的License和配置注意事项 3 配置接口URPF 4 配置基于流的URPF 5 维护URPF 6 URPF配置举例
uRPF配置案例
openlab网工之路
03-06 1384
案例配置拓扑 2.案例配置需求 1、 按照拓扑完成基础IP配置; 2、 R1到任何网段的数据包都发向12.1.1.2(即R2) 3、 R3到任何网段的数据包都发向34.1.1.4(即R4) 4、 R2到任何网段的数据包都发向23.1.1.3(即R3) 5、 R4到12.1.1.0/24网段的数据包发往R2,R4到3.3.3.3/32网段的数据包发往R3, 6、 在R2的S1/0口启用uRPF检测...
华为URPF
qq_47529104的博客
04-21 595
概述 对于传统的网络转发设备来说,主要依靠的就是路由表,只要有路由就转发,如果没有就不转发。可以说对于要转发的报文,网络转发设备是无条件的完全信任,这就导致了IP欺骗的问题,这也是诸多内网IP欺骗的来源,列如在一个局域网的内部,可以在某台主机上面使用流量制造工具进行虚假流量的制造,这些流量的目的可能就是对当前网络进行扰乱。 像IP-MAC的绑定也可以防范IP欺骗以及ARP欺骗,IP-MAC绑定技术主要是人为设置的IP-MAC的映射关系,于是在报文转发或者arp记录学习的过程中就会对映射关系进行检查,
URPF
weixin_34072159的博客
09-20 964
URPF------Unicast Rerverse Path Forward URPF称为单手反向路径转发,其功能是在路由器用来防止IP欺骗或者IP伪造的。但URPF只能在路由器接口的入方向上应用,由于在接口上开启了URPF,所有路由器转发速度会相应地慢,所以要在接口上开启URPF,路由器必须开启cef转发。 当在一个接口上开启URPF时,从这个接口进入的数据都将会对数...
手把手教你玩华为eNSP模拟器
热门推荐
networktp的博客
02-10 1万+
文章目录华为 eNSP 模拟器介绍华为 eNSP 模拟器安装安装步骤华为 eNSP 模拟器搭建网络界面介绍新建拓扑网络连通数据抓包文末彩蛋 华为 eNSP 模拟器介绍 模拟器是什么?顾名思义,就是根据原理制作的仿真工具。通常指的是用纯软件的手段来仿真某一种硬件机能。日常生活中,常见的模拟器有安卓模拟器,在电脑安装安卓模拟器软件后,就可以在电脑上玩手机游戏了。 华为 eNSP 模拟器是什么? 华为 eNSP ,又称华为企业网络仿真平台,是华为提供的一款免费的网络仿真工具平台,主要是对企业网的路由器、交换机
华为ensp模拟器安装包
10-26
ensp:华为模拟器软件,可以模拟交换机、路由器、防火墙、终端等设备 。对于刚接触到网络这一方面的小伙伴,在没有情况接触到真机的情况下,使用此模拟器将理论学习运用到实践上还是非常有必要的,具体安装步骤参考我...
华为ensp模拟器(Enterprise Network Simulation Platform)
06-21
华为ensp模拟器(Enterprise Network Simulation Platform)是华为官方推出的一款强大的图形化网络仿真工具平台,ensp模拟器主要对企业网路由器、交换机、WLAN等设备进行软件仿真,从而得以完美地呈现真实设备部署实景...
华为eNSP模拟器全部安装包.zip
05-17
一整套适配的华为模拟器安装包: 含eNSP,以及适配的环境软件VirtualBox-5.2.26-128414-Win、WinPcap_4_1_3、Wireshark-win64-3.6.5等
华为ensp模拟器,方便练习使用
02-11
华为ensp模拟器,方便练习使用
HuaWei ❀ URPF-单手反向路径转发原理
无糖可乐没有灵魂
06-11 818
URPF协议原理 1、工作模式 在复杂的网络环境中应用URPF时,会遇到路由不对称的情况,即对端设备记录的路由路径不一致,此时使用URPF的设备可能会丢弃合法报文,造成设备不能正常转发; 为了解决以上复杂网络中应用URPF的问题,设备实现了URPF的两种工作模式: (1)严格模式 严格模式下,设备不仅要求报文源地址在FIB表中存在相应表项,还要去接口匹配才能通过URPF检查; 建议在路由对称的环境下使用URPF严格模式,例如两个网络边界设备之间只有一条路径的话,这时使用严格模式能够最大限度的保证网络的安全性
URPF-防止虚假地址***
weixin_34247299的博客
06-02 485
URPF (Unicast Reverse Path Forwarding)是单播逆向路径转发的简称,其主要功能是防止基于源地址欺骗的网络***行为。之所以称为“逆向”,是针对正常的路由查找而言的。一般情况下,路由器接收到包后,获取包的目的地址,针对目的地址查找路由Pair(Dst-IP, NextHop),如果找到了就转发包,否则丢弃该包。uRPF通过获取包的源地址和入接口...
URPF简介
qq_41062084的博客
01-15 7278
URPF简介 1.定义 URPF(Unicast Reverse Path Forwarding)单播逆向路径转发,其主要功能是防止ARP源地址欺骗。 2.URPF原理简介 URPF主要通过对数据包源IP地址进行合法性检查实现预防ARP源地址欺骗的功能。 主要有松散和严格两种工作模式。 (1)松散模式 图1-1 图1-1中Router1地址为10.0.0.1,其伪造源地址的10.1.1.1的数据包发送至Router2,Router2收到数据包后会对接收到的数据包进行源IP匹配检查,发现..
网络安全之uRPF技术
可乐的热爱
01-14 5606
uRPF技术: 单播逆向路径转发的简称,其主要功能是防止基于源地址欺骗的网络攻击行为。 在没有配置uRPF技术时,网络设备不检查数据包的源地址,只关心能不能到达目的地址。由此,产生了虚假源地址欺骗网络攻击,比如SYN Flood。 uRPF有两种模式: 1.松散模式(loose) 设备检查流入数据包的源地址,在此设备上只要有和源地址相同网段的明细路由就能会放行。 2.严格模式(strict) 设...
huawei 华为 交换机 配置 Dot1q 终结子接口实现跨设备 VLAN 间通信示例
it知识分享 free for nothing..
05-18 571
huawei 华为 交换机 配置 Dot1q 终结子接口实现跨设备 VLAN 间通信示例
华为数据治理案例(附PPT下载)
数据矿工-数据化运营博客
05-17 415
华为作为科技行业的领军企业,成功地将数字化转型作为其发展战略的核心。通过系统的数据治理,华为确保数据的准确性、完整性和安全性,形成了强大的数据湖。这不仅为华为的研发、销售、交付等核心业务领域提供了有力支撑,还通过数据驱动的方式,实现了全球协同和效率提升。华为数字化转型的实践,不仅展现了其技术实力,也为其他企业提供了宝贵的经验和启示。关注【数据化运营圈】下载更多数字化转型方案。
海尔、小米、华为、荣耀:智能硬件走向平台生态战
liukuang110的博客
05-20 554
这四家企业一直都是致力于提供高品质、高性能的产品和服务,以满足用户的需求和期待,因此,其在智能硬件平台化的建设上也是提出了很高的要求,其对于智能硬件平台服务上的投入和竞争更是不相上下。只是,为了推动其智能硬件平台的发展,各企业在生态系统的构建和完善,也纷纷祭出了自己的实力。虽然目前,海尔、小米、华为、荣耀都在智能硬件领域有着自己的发展战略和路径,但在市场环境的不断变化以及各企业技术实力的不断精进下,智能硬件平台最终也将呈现出更多方面的发展趋势,从而为人们的生活和工作带来更多便利和可能。
华为设备IPsecVPN配置记录
weixin_45103766的博客
05-14 252
IPsec加密和验证算法所使用的密钥可以手工配置,也可以通过因特网密钥交换IKE协议动态协商,IKE协议建立在internet安全联盟和密钥管理协议ISAKMP框架之上,采用DH算法在不安全的网络上安全的分发密钥,验证身份,以保证数据传输的安全性。IKE协议可提升密钥的安全性,并降低 IPsec管理复杂度。默认sha2-256验证算法……2.配置Ipsec安全协议(封装模式,安全协议,加密算法和验证算法)IKE SA:主模式和野蛮模式:安全性低已被模板模式取代。RB的配置与RA类似,省略。
华为HCIP认证H12-831新增变题
lwljh134的博客
05-20 455
2.如图所示的OSPFv3网络,区域1为Stub区域,区域2为普通区域,区域3为NSSA区域,R6 Loopback0接口的IPv6地址为2000::6/128,每一台设备的RouterID为10.0.xx其中X为设备的编号,以下描述错误的是哪一项?如图所示网络中,管理员先完成了如选项所示的路由配置,然后在R1-R3所有设备和互联接口上使能MPLS和LDP功能,从而实现PC1访问PC2的流量在网络中基于MPLS转发那么以下哪一选项的路由配置,可以实现该功能?在现网中执行以下哪一操作属于非割接项目?
Linux网络编程:网络基础
最新发布
weixin_73234157的博客
05-20 492
当我们形成计算机网络后,小明要给他的暗恋对象小红发一句“我喜欢你”,结果发给了小芳……,在计算机网络中会出现许许多多的主机,当我们进行网络通信时,我们要通过协议来找到指定的接收方。同理在单台主机中,数据从键盘中读入再转载到当前网卡也是需要协议的。简单来说:协议就是一种约定当计算机在读取数据时,发现数据中存在向网卡输送的标志(协议)时,就往网卡输送。当网卡读取到输送给小红,网卡就不会发送给小芳。
华为ensp模拟器的交换机怎么配置acl
05-05
华为ensp模拟器中,配置ACL可以通过以下步骤实现: 1. 进入交换机的用户视图: ``` system-view ``` 2. 创建ACL: ``` acl number 2000 ``` 其中,acl number为ACL的编号,可以根据实际需要进行调整。 3. 配置ACL规则: ``` rule permit tcp source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 ``` 其中,rule permit表示允许匹配该规则的数据包通过,tcp表示匹配TCP协议的数据包,source和destination分别表示源地址和目的地址,后面的IP地址和掩码表示具体的地址范围。 4. 将ACL应用到接口: ``` interface GigabitEthernet0/0/1 traffic-filter inbound acl 2000 ``` 其中,GigabitEthernet0/0/1为需要应用ACL的接口,traffic-filter表示应用过滤器,inbound表示应用于入流量,acl 2000表示应用编号为2000的ACL。 完成以上步骤后,ACL就已经配置完成了。需要注意的是,ACL的具体配置和应用可能会因网络拓扑和需求而有所不同。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值