素材来源:华为路由器配置指南
一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持!
附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验
目标
应用基于流的URPF,防止某些类型的报文进行源地址欺骗攻击。
组网需求
本例在ISP入口点启动URPF功能。如图1所示,客户路由器DeviceA与ISP路由器DeviceB直连,在DeviceB的接口GE1/0/0上启动URPF,要求严格检查。源地址在ACL 2010中的报文在任何情况下都能通过检查;在DeviceA的接口GE1/0/0上启动URPF,要求严格检查,使能缺省路由匹配。
配置思路
- 在ISP路由器端配置流量策略,允许指定网段的流量通过URPF检查;
- 在客户端路由器的接口上配置IP地址,并使能URPF功能。
操作步骤
- 配置A1-2
配置ACL 2010,允许10.1.1.0/24网段的流量通过URPF检查。
A1-2:
acl number 2010
rule 5 permit source 10.1.1.0 0.0.0.255
配置流分类,定义基于ACL的匹配规则。
A1-2:
traffic classifier classifier1 operator or
if-match acl 2010
定义流行为,配置URPF功能。
A1-2:
traffic behavior behavior1
ip urpf strict
定义流量策略,将流分类与流行为关联。
A1-2:
traffic policy policy1
classifier classifier1 behavior behavior1
将流量策略应用到接口上。
A1-2:
interface GigabitEthernet0/2/1
undo shutdown
ip address 172.19.139.2 255.255.255.252
traffic-policy policy1 inbound
- 配置A1-1
配置接口
A1-1:
interface GigabitEthernet0/2/1
undo shutdown
ip address 172.19.139.1 255.255.255.252
在接口上使能URPF功能,要求URPF做严格检查,并使能缺省路由匹配。
A1-1:
interface GigabitEthernet0/2/1
ip urpf strict #
默认使能缺省路由匹配