uRPF配置案例

最新推荐文章于 2022-05-12 17:52:46 发布

half ~summer

最新推荐文章于 2022-05-12 17:52:46 发布

阅读量1.5k

点赞数

分类专栏： CCIE学习路由实验

本文链接：https://blog.csdn.net/qinshangwy/article/details/104703838

版权

CCIE学习同时被 2 个专栏收录

102 篇文章 13 订阅

订阅专栏

路由实验

45 篇文章 6 订阅

订阅专栏

案例配置拓扑
在这里插入图片描述
2.案例配置需求
1、按照拓扑完成基础IP配置；
2、 R1到任何网段的数据包都发向12.1.1.2(即R2)
3、 R3到任何网段的数据包都发向34.1.1.4（即R4）
4、 R2到任何网段的数据包都发向23.1.1.3(即R3)
5、 R4到12.1.1.0/24网段的数据包发往R2，R4到3.3.3.3/32网段的数据包发往R3，
6、在R2的S1/0口启用uRPF检测
7、配置R2的uRPF，对源地址3.3.3.3的流量即使检查失败，也能通过。
案例配置思路
1、根据拓扑配置IP地址；

R1(config)#interface fastEthernet 0/0
R1(config-if)#ip address 12.1.1.1 255.255.255.0
R1(config-if)#no shutdown 
R2(config)#interface fastEthernet 0/0
R2(config-if)#ip address 12.1.1.2 255.255.255.0
R2(config-if)#no shutdown 
R2(config-if)#interface fastEthernet 0/1
R2(config-if)#ip address 23.1.1.2 255.255.255.0
R2(config-if)#no shutdown 
R2(config-if)#interface serial 1/0
R2(config-if)#ip address 24.1.1.2 255.255.255.0
R2(config-if)#no shutdown
R3(config-if)#interface fastEthernet 0/1
R3(config-if)#ip address 23.1.1.3 255.255.255.0
R3(config-if)#no shutdown  
R3(config-if)#interface fastEthernet 0/0
R3(config-if)#ip address 34.1.1.3 255.255.255.0
R3(config-if)#no shutdown
R3(config)#interface loopback 0            
R3(config-if)#ip address 3.3.3.3 255.255.255.0 R4(config-if)#interface serial 1/0
R4(config-if)#ip address 24.1.1.4 255.255.255.0
R4(config-if)#no shutdown
R4(config-if)#interface fastEthernet 0/0
R4(config-if)#ip address 34.1.1.4 255.255.255.0
R4(config-if)#no shutdown

2.配置静态路由

R1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.2
R2(config)#ip route 0.0.0.0 0.0.0.0 23.1.1.3
R3(config)#ip route 0.0.0.0 0.0.0.0 34.1.1.4
R4(config)#ip route 3.3.3.0 255.255.255.0 34.1.1.3
R4(config)#ip route 12.1.1.0 255.255.255.0 24.1.1.2

3.在R2的S1/0口启用uRPF检测

2(config)#interface serial 1/0              
R2(config-if)#ip verify unicast reverse-path ?  
  <1-199>          A standard IP access list number
  <**加粗样式**1300-2699>      A standard IP expanded access list number
  allow-self-ping  Allow router to ping itself (opens vulnerability in
                   verification)
  <cr>

R2(config-if)#ip verify unicast reverse-path 100 
R2(config)#access-list 100 permit ip host 3.3.3.3 any

案例检验结果
1、测试R3和12.1.1.1的连通性（没有设置ACL以前）：
在这里插入图片描述因为R2的S1/0口开启uRPF检测之后，导致不通。
可以看到，有5个数据包因为uRPF被丢弃，正是因为R2到R3的loopback0 (3.3.3.3)是从F0/1出去的，所以以R3的loopback0 (3.3.3.3)为源的数据包必须也从F0/1进来，所以从S1/0进来被uRPF检查失败，所以默认丢弃，如果不想丢弃，必须配置ACL允许。
在这里插入图片描述

2、配置R2的uRPF，对源地址3.3.3.3的流量即使检查失败，也能通过，配置ACL
因为只对源地址3.3.3.3的流量即使检查失败，也能通过，对于其它地址仍然是拒绝。

**案例总结及其它**

1、 uRPF只能在in方向上开启
2、在正常情况下，如果一个数据包无法通过uRPF检查，那么该数据包默认是丢弃的。
3、可以让某些即使检查失败的数据包也能通过，要做到这一点，就可以在开启uRPF除加ACL，其中检查失败的数据包，是丢弃还是放行，全由ACL来决定，ACL允许，就放行，ACL拒绝，就丢弃。