01-16 URPF配置
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
URPF根据报文的源IP地址查找路由表中是否存在去往该地址的路由,并判断报文入接 口与路由出接口是否一致。如果路由表不存在去往该源IP地址的路由或报文入接口与 路由出接口不一致,则丢弃该报文,从而预防IP欺骗,特别是针对伪造源IP地址的DoS 攻击非常有效。
在复杂的网络环境中,会遇到路由不对称的情况,即对端设备记录的路由路径与本端 不一致,此时使能URPF的设备可能会丢弃从合法路径接收的报文,正常转发从非法路 径接收的报文。为了解决该问题,设备实现了以下两种URPF模式:
文档版本 02 (2021-03-17)
版权所有 © 华为技术有限公司
462
S12700, S12700E 系列敏捷交换机 配置指南-安全
图 16-4 多 ISP 场景示意图 URPF
Switch Enterprise
URPF
SwitchA SwitchB URPF
ISP A ISP B
16 URPF 配置 Internet
文档版本 02 (2021-03-17)
版权所有 © 华为技术有限公司
459
S12700, S12700E 系列敏捷交换机 配置指南-安全
Hale Waihona Puke 16 URPF 配置16.2 URPF 原理描述
URPF 模式
在复杂的网络环境中,会遇到路由不对称的情况,即对端设备记录的路由路径与本端 不一致,此时使能URPF的设备可能会丢弃从合法路径接收的报文,正常转发从非法路 径接收的报文。为了解决该问题,设备实现了以下两种URPF模式:
3. 执行命令interface interface-type interfacenumber,进入接口视图。
4. (可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。
缺省情况下,以太网接口处于二层模式。
5. 执行命令urpf { loose | strict } [ allow-defaultroute ],使能接口的URPF功能并配置URPF模式。
定义 目的
URPF(Unicast Reverse Path Forwarding)是单播逆向路径转发的简称,其主要功能 是防止基于源IP地址欺骗的网络攻击行为。
拒绝服务DoS(Denial of Service)攻击是一种阻止连接服务的网络攻击。DoS的攻击 方式有很多种,最基本的DoS攻击就是利用大量合法或伪造的请求占用过多的服务资 源,从而使合法用户无法得到正常服务。
文档版本 02 (2021-03-17)
版权所有 © 华为技术有限公司
463
S12700, S12700E 系列敏捷交换机 配置指南-安全
16 URPF 配置
和EE系列单板,可以执行命令assign resource-mode slot slot-id mode enhanced-ipv4扩展接口板的FIB表项。
1. 在系统视 图下使能 URPF功 能。
2. 在接口下 使能 URPF功 能并配置 URPF模 式。
1. 执行命令system-view,进入系统视图。
2. 执行命令urpf slot slot-id [ based-logic-port ], 使能接口板的全局URPF功能。
缺省情况下,接口板的全局URPF功能未使能。
URPF根据报文的源IP地址查找路由表中是否存在去往该地址的路由,并判断报文入接 口与路由出接口是否一致。如果路由表不存在去往该源IP地址的路由或报文入接口与 路由出接口不一致,则丢弃该报文,从而预防IP欺骗,特别是针对伪造源IP地址的DoS 攻击非常有效。
受益
● 帮助网络维护者防御网络上的IP源攻击,降低对IP源攻击的维护成本。 ● 用户能获得更安全、稳定的网络环境,不用担心因IP源攻击带来的困扰。
缺省情况下,接口未使能URPF功能。
说明 对于ET1D2X48SEC0单板、SC系列单板和EE系列单板,仅 二层以太网接口支持配置URPF严格检查。
仅ET1D2X48SEC0单板、SC系列单板、EE系列单板、X系 列单板支持在VLANIF接口和子接口配置URPF,其中, ET1D2X48SEC0单板、SC系列单板和EE系列单板仅支持配 置松散检查。
在图16-4所示环境中,客户与多个ISP连接,很难保证Enterprise和两个ISP之间路 由的对称性,必须使用URPF松散模式。
客户与多个ISP连接下的URPF可以具有以下应用:
– 如果用户希望某些特殊报文任何情况都可以通过URPF的检查,可以在利用 ACL指定这些特殊的源地址允许通过。
– 许多用户连接的设备可能只有一条缺省路由指向ISP,此时,需要配置允许匹 配缺省路由选项。
特性依赖和限制
●
●
URPF功能对IPv4报文和IPv6报文均进行检查,但不包括如下报文:
– BOOTP报文、DHCP报文和DHCPv6报文
– 源端口号为67、目的端口号为68的报文
– 源端口号为68、目的端口号为67的报文
对于除了X系列单板之外的单板,部署URPF会导致FIB规格减半,建议在业务开展 之前部署URPF。如果业务开展后需要部署URPF,请选择在业务量小的时候进行 配置,并确保FIB规格减半后,能够满足现网业务的需要。对于EC和EC1系列单板
严格模式下的 URPF 应用
如图16-2所示,AS1和AS2分别与AS3建立单连接。在SwitchC的Interface1接口和 Interface2接口上配置URPF,可以保护AS3免受来自AS1和AS2的源地址欺骗攻击。
如果AS1中的主机PC A伪造了一个源地址为10.2.2.2的报文,向AS3中的Server发送请 求。SwitchC在接收到这个报文后,检查其入接口是否匹配,发现源地址为10.2.2.2的 报文应该从Interface2进入,则SwitchC认为该报文源地址是伪造的,直接丢弃该报 文。
3. (可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。
缺省情况下,以太网接口处于二层模式。
4. 执行命令urpf { loose | strict } [ allow-defaultroute ],使能接口的URPF功能并配置URPF模式。
缺省情况下,接口未使能URPF功能。
说明 仅ET1D2X48SEC0单板、SC系列单板和EE系列单板支持 based-logic-port。
如果指定based-logic-port关键字,则仅支持在逻辑接口 (VLANIF接口或子接口)下配置URPF功能,以太网接口 (二层以太网接口或三层以太网接口)下的URPF功能会 失效。如果未指定based-logic-port关键字,则仅支持在 以太网接口下配置URPF功能,逻辑接口下的URPF功能会 失效。
● 严格模式
严格模式下,设备不仅要求路由表中存在去往报文源IP地址的路由,还要求报文 入接口与路由出接口一致。
建议在路由对称的环境下使用严格模式。例如两个网络边界设备之间只有一条路 径,此时使用严格模式能够保证网络的安全性。
● 松散模式
松散模式下,设备仅要求路由表中存在去往报文源IP地址的路由,不要求报文入 接口与路由出接口一致。
● 严格模式
严格模式下,设备不仅要求路由表中存在去往报文源IP地址的路由,还要求报文 入接口与路由出接口一致。
建议在路由对称的环境下使用严格模式。例如两个网络边界设备之间只有一条路 径,此时使用严格模式能够保证网络的安全性。
● 松散模式
松散模式下,设备仅要求路由表中存在去往报文源IP地址的路由,不要求报文入 接口与路由出接口一致。
从AS2发向Server的正常报文,检查通过后,被正常转发。
文档版本 02 (2021-03-17)
版权所有 © 华为技术有限公司
461
S12700, S12700E 系列敏捷交换机 配置指南-安全
图 16-2 URPF 严格模式应用环境示意图
AS1
10.1.1.1/24 PC A
SwitchA
source:10.2.2.2 destination:10.3.3.3
建议在不能保证路由对称的环境下使用松散模式。例如两个网络边界设备之间有 多条路径,路由的对称性无法保证,此时松散模式既可以有效地阻止网络攻击, 又可以避免合法报文被错误丢弃。
工作机制
URPF的工作机制如图16-1所示。
文档版本 02 (2021-03-17)
版权所有 © 华为技术有限公司
460
S12700, S12700E 系列敏捷交换机 配置指南-安全
对于ET1D2X48SEC0单板,当通过assign resource-mode 命令配置设备的资源分配模式为enhanced-ipv4模式或者 ipv4-ipv6 6:1模式时,即使不配置缺省路由,urpf { loose | strict } allow-default-route命令也可以生效, 设备进行URPF检查时,允许去往报文源IP地址的路由为缺 省路由。
AS2
URPF enabled
10.2.2.2/24 PC B
SwitchB
Interface1
Interface2 SwitchC
source:10.2.2.2 destination:10.3.3.3
16 URPF 配置 AS3
10.3.3.3/24 Server
松散模式下的 URPF 应用
两个网络边界设备之间多个连接有单ISP和多ISP两种场景。 ● 单ISP场景
建议在不能保证路由对称的环境下使用松散模式。例如两个网络边界设备之间有 多条路径,路由的对称性无法保证,此时松散模式既可以有效地阻止网络攻击, 又可以避免合法报文被错误丢弃。
文档版本 02 (2021-03-17)
版权所有 © 华为技术有限公司
464
S12700, S12700E 系列敏捷交换机 配置指南-安全
文档版本 02 (2021-03-17)
S12700, S12700E 系列敏捷交换机 配置指南-安全
16 URPF 配置
16 URPF 配置
16.1 URPF简介 16.2 URPF原理描述 16.3 URPF应用场景 16.4 URPF配置注意事项 16.5 URPF缺省配置 16.6 配置URPF 16.7 配置URPF功能示例
16.1 URPF 简介
图 16-3 单 ISP 场景示意图
URPF
SwitchA
Enterprise
ISP
Switch
URPF
SwitchB URPF
如图16-3所示,为了保证可靠性,某公司网络和某个ISP之间有两条连接。这时就 不能够保证Enterprise和ISP之间路由的对称性,必须使用URPF松散模式。
● 多ISP场景
图 16-1 URPF 工作机制 接收报文
16 URPF 配置
路由表 是否有去往该源IP
地址的路由?
是
匹配的路由是否
是
为缺省路由?
否
是
否
是否允许 匹配的路由为
否
缺省路由?
丢弃
报文 入接口与路由出口
否
是否一致?
是否为URPF
否
松散模式?
否
是
是
允许该报文通过
是
是否能匹配 流行为是重定向的
流策略?
16.3 URPF 应用场景
16.4 URPF 配置注意事项
涉及网元
无需其他网元配合。
License 支持
URPF特性是交换机的基本特性,无需获得License许可即可应用此功能。
V200R020C00 版本特性支持情况
S12700, S12700E系列交换机中所有款型均支持URPF。 说明
如需了解交换机软件配套详细信息,请点击硬件查询工具。
16 URPF 配置
操作步骤
单板 X系列单板
除了X系列 单板之外的 单板
配置逻辑
操作步骤
在接口下使 能URPF功能 并配置URPF 模式即可。
1. 执行命令system-view,进入系统视图。
2. 执行命令interface interface-type interfacenumber,进入接口视图。
16.5 URPF 缺省配置
表 16-1 URPF 缺省配置 参数 URPF功能
缺省值 未使能
16.6 配置 URPF
前置任务
在配置URPF之前,需完成以下任务: ● 配置接口的链路层协议参数,使接口的链路协议状态为Up。
16.6.1 配置 URPF 功能
背景信息
拒绝服务DoS(Denial of Service)攻击是一种阻止连接服务的网络攻击。DoS的攻击 方式有很多种,最基本的DoS攻击就是利用大量合法或伪造的请求占用过多的服务资 源,从而使合法用户无法得到正常服务。
在复杂的网络环境中,会遇到路由不对称的情况,即对端设备记录的路由路径与本端 不一致,此时使能URPF的设备可能会丢弃从合法路径接收的报文,正常转发从非法路 径接收的报文。为了解决该问题,设备实现了以下两种URPF模式:
文档版本 02 (2021-03-17)
版权所有 © 华为技术有限公司
462
S12700, S12700E 系列敏捷交换机 配置指南-安全
图 16-4 多 ISP 场景示意图 URPF
Switch Enterprise
URPF
SwitchA SwitchB URPF
ISP A ISP B
16 URPF 配置 Internet
文档版本 02 (2021-03-17)
版权所有 © 华为技术有限公司
459
S12700, S12700E 系列敏捷交换机 配置指南-安全
Hale Waihona Puke 16 URPF 配置16.2 URPF 原理描述
URPF 模式
在复杂的网络环境中,会遇到路由不对称的情况,即对端设备记录的路由路径与本端 不一致,此时使能URPF的设备可能会丢弃从合法路径接收的报文,正常转发从非法路 径接收的报文。为了解决该问题,设备实现了以下两种URPF模式:
3. 执行命令interface interface-type interfacenumber,进入接口视图。
4. (可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。
缺省情况下,以太网接口处于二层模式。
5. 执行命令urpf { loose | strict } [ allow-defaultroute ],使能接口的URPF功能并配置URPF模式。
定义 目的
URPF(Unicast Reverse Path Forwarding)是单播逆向路径转发的简称,其主要功能 是防止基于源IP地址欺骗的网络攻击行为。
拒绝服务DoS(Denial of Service)攻击是一种阻止连接服务的网络攻击。DoS的攻击 方式有很多种,最基本的DoS攻击就是利用大量合法或伪造的请求占用过多的服务资 源,从而使合法用户无法得到正常服务。
文档版本 02 (2021-03-17)
版权所有 © 华为技术有限公司
463
S12700, S12700E 系列敏捷交换机 配置指南-安全
16 URPF 配置
和EE系列单板,可以执行命令assign resource-mode slot slot-id mode enhanced-ipv4扩展接口板的FIB表项。
1. 在系统视 图下使能 URPF功 能。
2. 在接口下 使能 URPF功 能并配置 URPF模 式。
1. 执行命令system-view,进入系统视图。
2. 执行命令urpf slot slot-id [ based-logic-port ], 使能接口板的全局URPF功能。
缺省情况下,接口板的全局URPF功能未使能。
URPF根据报文的源IP地址查找路由表中是否存在去往该地址的路由,并判断报文入接 口与路由出接口是否一致。如果路由表不存在去往该源IP地址的路由或报文入接口与 路由出接口不一致,则丢弃该报文,从而预防IP欺骗,特别是针对伪造源IP地址的DoS 攻击非常有效。
受益
● 帮助网络维护者防御网络上的IP源攻击,降低对IP源攻击的维护成本。 ● 用户能获得更安全、稳定的网络环境,不用担心因IP源攻击带来的困扰。
缺省情况下,接口未使能URPF功能。
说明 对于ET1D2X48SEC0单板、SC系列单板和EE系列单板,仅 二层以太网接口支持配置URPF严格检查。
仅ET1D2X48SEC0单板、SC系列单板、EE系列单板、X系 列单板支持在VLANIF接口和子接口配置URPF,其中, ET1D2X48SEC0单板、SC系列单板和EE系列单板仅支持配 置松散检查。
在图16-4所示环境中,客户与多个ISP连接,很难保证Enterprise和两个ISP之间路 由的对称性,必须使用URPF松散模式。
客户与多个ISP连接下的URPF可以具有以下应用:
– 如果用户希望某些特殊报文任何情况都可以通过URPF的检查,可以在利用 ACL指定这些特殊的源地址允许通过。
– 许多用户连接的设备可能只有一条缺省路由指向ISP,此时,需要配置允许匹 配缺省路由选项。
特性依赖和限制
●
●
URPF功能对IPv4报文和IPv6报文均进行检查,但不包括如下报文:
– BOOTP报文、DHCP报文和DHCPv6报文
– 源端口号为67、目的端口号为68的报文
– 源端口号为68、目的端口号为67的报文
对于除了X系列单板之外的单板,部署URPF会导致FIB规格减半,建议在业务开展 之前部署URPF。如果业务开展后需要部署URPF,请选择在业务量小的时候进行 配置,并确保FIB规格减半后,能够满足现网业务的需要。对于EC和EC1系列单板
严格模式下的 URPF 应用
如图16-2所示,AS1和AS2分别与AS3建立单连接。在SwitchC的Interface1接口和 Interface2接口上配置URPF,可以保护AS3免受来自AS1和AS2的源地址欺骗攻击。
如果AS1中的主机PC A伪造了一个源地址为10.2.2.2的报文,向AS3中的Server发送请 求。SwitchC在接收到这个报文后,检查其入接口是否匹配,发现源地址为10.2.2.2的 报文应该从Interface2进入,则SwitchC认为该报文源地址是伪造的,直接丢弃该报 文。
3. (可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。
缺省情况下,以太网接口处于二层模式。
4. 执行命令urpf { loose | strict } [ allow-defaultroute ],使能接口的URPF功能并配置URPF模式。
缺省情况下,接口未使能URPF功能。
说明 仅ET1D2X48SEC0单板、SC系列单板和EE系列单板支持 based-logic-port。
如果指定based-logic-port关键字,则仅支持在逻辑接口 (VLANIF接口或子接口)下配置URPF功能,以太网接口 (二层以太网接口或三层以太网接口)下的URPF功能会 失效。如果未指定based-logic-port关键字,则仅支持在 以太网接口下配置URPF功能,逻辑接口下的URPF功能会 失效。
● 严格模式
严格模式下,设备不仅要求路由表中存在去往报文源IP地址的路由,还要求报文 入接口与路由出接口一致。
建议在路由对称的环境下使用严格模式。例如两个网络边界设备之间只有一条路 径,此时使用严格模式能够保证网络的安全性。
● 松散模式
松散模式下,设备仅要求路由表中存在去往报文源IP地址的路由,不要求报文入 接口与路由出接口一致。
● 严格模式
严格模式下,设备不仅要求路由表中存在去往报文源IP地址的路由,还要求报文 入接口与路由出接口一致。
建议在路由对称的环境下使用严格模式。例如两个网络边界设备之间只有一条路 径,此时使用严格模式能够保证网络的安全性。
● 松散模式
松散模式下,设备仅要求路由表中存在去往报文源IP地址的路由,不要求报文入 接口与路由出接口一致。
从AS2发向Server的正常报文,检查通过后,被正常转发。
文档版本 02 (2021-03-17)
版权所有 © 华为技术有限公司
461
S12700, S12700E 系列敏捷交换机 配置指南-安全
图 16-2 URPF 严格模式应用环境示意图
AS1
10.1.1.1/24 PC A
SwitchA
source:10.2.2.2 destination:10.3.3.3
建议在不能保证路由对称的环境下使用松散模式。例如两个网络边界设备之间有 多条路径,路由的对称性无法保证,此时松散模式既可以有效地阻止网络攻击, 又可以避免合法报文被错误丢弃。
工作机制
URPF的工作机制如图16-1所示。
文档版本 02 (2021-03-17)
版权所有 © 华为技术有限公司
460
S12700, S12700E 系列敏捷交换机 配置指南-安全
对于ET1D2X48SEC0单板,当通过assign resource-mode 命令配置设备的资源分配模式为enhanced-ipv4模式或者 ipv4-ipv6 6:1模式时,即使不配置缺省路由,urpf { loose | strict } allow-default-route命令也可以生效, 设备进行URPF检查时,允许去往报文源IP地址的路由为缺 省路由。
AS2
URPF enabled
10.2.2.2/24 PC B
SwitchB
Interface1
Interface2 SwitchC
source:10.2.2.2 destination:10.3.3.3
16 URPF 配置 AS3
10.3.3.3/24 Server
松散模式下的 URPF 应用
两个网络边界设备之间多个连接有单ISP和多ISP两种场景。 ● 单ISP场景
建议在不能保证路由对称的环境下使用松散模式。例如两个网络边界设备之间有 多条路径,路由的对称性无法保证,此时松散模式既可以有效地阻止网络攻击, 又可以避免合法报文被错误丢弃。
文档版本 02 (2021-03-17)
版权所有 © 华为技术有限公司
464
S12700, S12700E 系列敏捷交换机 配置指南-安全
文档版本 02 (2021-03-17)
S12700, S12700E 系列敏捷交换机 配置指南-安全
16 URPF 配置
16 URPF 配置
16.1 URPF简介 16.2 URPF原理描述 16.3 URPF应用场景 16.4 URPF配置注意事项 16.5 URPF缺省配置 16.6 配置URPF 16.7 配置URPF功能示例
16.1 URPF 简介
图 16-3 单 ISP 场景示意图
URPF
SwitchA
Enterprise
ISP
Switch
URPF
SwitchB URPF
如图16-3所示,为了保证可靠性,某公司网络和某个ISP之间有两条连接。这时就 不能够保证Enterprise和ISP之间路由的对称性,必须使用URPF松散模式。
● 多ISP场景
图 16-1 URPF 工作机制 接收报文
16 URPF 配置
路由表 是否有去往该源IP
地址的路由?
是
匹配的路由是否
是
为缺省路由?
否
是
否
是否允许 匹配的路由为
否
缺省路由?
丢弃
报文 入接口与路由出口
否
是否一致?
是否为URPF
否
松散模式?
否
是
是
允许该报文通过
是
是否能匹配 流行为是重定向的
流策略?
16.3 URPF 应用场景
16.4 URPF 配置注意事项
涉及网元
无需其他网元配合。
License 支持
URPF特性是交换机的基本特性,无需获得License许可即可应用此功能。
V200R020C00 版本特性支持情况
S12700, S12700E系列交换机中所有款型均支持URPF。 说明
如需了解交换机软件配套详细信息,请点击硬件查询工具。
16 URPF 配置
操作步骤
单板 X系列单板
除了X系列 单板之外的 单板
配置逻辑
操作步骤
在接口下使 能URPF功能 并配置URPF 模式即可。
1. 执行命令system-view,进入系统视图。
2. 执行命令interface interface-type interfacenumber,进入接口视图。
16.5 URPF 缺省配置
表 16-1 URPF 缺省配置 参数 URPF功能
缺省值 未使能
16.6 配置 URPF
前置任务
在配置URPF之前,需完成以下任务: ● 配置接口的链路层协议参数,使接口的链路协议状态为Up。
16.6.1 配置 URPF 功能
背景信息
拒绝服务DoS(Denial of Service)攻击是一种阻止连接服务的网络攻击。DoS的攻击 方式有很多种,最基本的DoS攻击就是利用大量合法或伪造的请求占用过多的服务资 源,从而使合法用户无法得到正常服务。