单播反向路径转发uRPF
uRPF将数据包的源地址和存储在转发信息库(FIB)中的信息进行对照,以判定数据包的合法性。FIB是Cisco CEF技术中的一张表,包含从路由表中复制过来的转发信息,可以将其视为路由表的镜像,FIB包含所有已知的路由信息,设备采用FIB就能提高数据包转发的速度,由于uRPF以FIB中的信息为过依据,因此在使用uRPF之前必须首先配置CEF。
uRPF的两种工作模式:
• 严格模式(strict):检查数据包的源地址是否在FIB中,且源地址是否是CEF确定的最佳返回路由接口接收。
在多宿主连接中,有可能返回的最佳连接与接收接口不同,这样容易产生问题。鉴于此尽在单宿主连接中使用该模式,若存在多条相同度量的最佳路径也可以使用uRPF,如配置了度量方差(Metric variance)的EIGRP。
建议一下两种情况使用严格模式:1、仅有一条进出网络的连接;2、满足要求的单宿主客户与核心网络连接。
• 松散模式(loose):仅检查数据包的源地址是不是在FIB中,不检查源地址是不是由最佳返回路径的接口接收,松散模式的灵活性更大,一般在多宿主连接(包括网络内部)普遍存在的情况下使用。
注意:uRPF只能在输入接口使用。因此,若网络和ISP之间存在一条单宿主主连接,则应该只配置uRPF以监控来自ISP的流量。由于uRPF以CEF转发速率工作,与采用传统的ACL防止地址欺骗相比,uRPF可以有效提高设备的性能,当uRPF被配置在工作速率超过1Mbps的接口,此区别将更加明显。
uRPF配置:
可以看出在模式选项后面还可以配合ACL使用,以确定数据包的转发或丢弃。
注意,仅在数据包无法通过uRPF校验时,才需要使用ACL。
验证uRPF配置:
查看指定接口配置的uRPF:
show cef interface interface
查看全局uRPF数据包计数信息:
show ip traffic //会出现很多statistics,如IP、ICMP、IGMP、OSPF、PIM等
查看指定接口丢弃(验证丢弃)或转发(抑制验证丢弃)uRPF数据包的信息:
show ip interface interface
最新文章
- Mac入门(三)使用brew安装软件
- 【bzoj2648】 SJY摆棋子
- xcode8.2 打包问题
- jetty for linux 启用日志
- 2016.8.21 JavaScript 入门
- 文件浏览器及数码相框 -2.3.2-freetype_arm-1
- 201521123071《Java程序设计》第五周学习总结
- Linux Debugging(四): 使用GDB来理解C++ 对象的内存布局(多重继承,虚继承)
- 时间复杂度O(n),空间复杂度O(1)解斐波那契数列
- 协方差(Covariance)
- spring @Configuration的使用
- Neutron 网络基本概念
- POJ1821 Fence
- Java中类似C#中Task.wait()的类CountDownLatch
- linux less命令详情
- 机器学习入门-随机森林温度预测的案例 1.datetime.datetime.datetime(将字符串转为为日期格式) 2.pd.get_dummies(将文本标签转换为one-hot编码) 3.rf.feature_importances_(研究样本特征的重要性) 4.fig.autofmt_xdate(rotation=60) 对标签进行翻转
- 当JS出现的Cannot read property 'XXX' of null错误
- C#、C++、Java、Python 选择哪个好?
- (转)使用 python Matplotlib 库绘图
- LeetCode - 66. Plus One(0ms)