uRPF测试
uRPF测试
1.测试拓扑
2.基本配置
R1:
interface FastEthernet0/0
ip address 202.100.1.1 255.255.255.0
no shut
!
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
no shut
!
ip route 0.0.0.0 0.0.0.0 202.100.1.3
ip route 192.168.0.0 255.255.0.0 192.168.1.2
R2:
interface Loopback0
ip address 192.168.2.2 255.255.255.0
!
interface Loopback1
ip address 2.2.2.2 255.255.255.0
!
interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.0
no shut
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1
R3:
interface Loopback0
ip address 192.168.2.2 255.255.255.0
!
interface Loopback1
ip address 3.3.3.3 255.255.255.0
!
interface FastEthernet0/0
ip address 202.100.1.3 255.255.255.0
no shut
!
ip route 0.0.0.0 0.0.0.0 202.100.1.1
3.uRPF的宽松模式
A.确认IP CEF打开
B.如下配置,因为R1有到192.168.0.0的路由,所以R3#ping 192.168.1.2 source 192.168.2.2,在R2上debug ip icmp能看到包。
interface FastEthernet0/0
ip verify unicast source reachable-via any
但是,R3#ping 192.168.1.2 source 3.3.3.3,无法ping通,因为R1上没有去往3.3.3.3的路由
C.如果允许默认路由的话,,R3#ping 192.168.1.2 source 3.3.3.3,能够通
R1(config)#int f0/0
R1(config-if)#ip verify unicast source reachable-via any allow-default
D.如果希望自己能ping通自己,需要添加 allow-self-ping关键字
4.uRPF的严谨模式
A.如果采用严谨模式,因为192.168.0.0/16网段地址接口在f0/0,所以R3#ping 192.168.1.2 source 192.168.2.2,在R2上debug ip icmp抓不到包。
interface FastEthernet0/0
ip verify unicast source reachable-via rx allow-default allow-self-ping
通过上面配置可以防止来做公网,且源地址为内网地址的数据包的攻击,
另一方面,R2#ping 3.3.3.3 source 2.2.2.2,数据包虽然能到达R3,但是返回来时被R1拒绝了,因为R1没有去往2.2.2.2的路由。
如果R1上面有到内网所有网段的路由,那么通过如下方式可以禁止内网伪造数据包出公网,从而避免充当肉鸡和堵塞互联网出口:
R1(config)#int f0/1
2.基本配置
R1:
interface FastEthernet0/0
ip address 202.100.1.1 255.255.255.0
no shut
!
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
no shut
!
ip route 0.0.0.0 0.0.0.0 202.100.1.3
ip route 192.168.0.0 255.255.0.0 192.168.1.2
R2:
interface Loopback0
ip address 192.168.2.2 255.255.255.0
!
interface Loopback1
ip address 2.2.2.2 255.255.255.0
!
interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.0
no shut
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1
R3:
interface Loopback0
ip address 192.168.2.2 255.255.255.0
!
interface Loopback1
ip address 3.3.3.3 255.255.255.0
!
interface FastEthernet0/0
ip address 202.100.1.3 255.255.255.0
no shut
!
ip route 0.0.0.0 0.0.0.0 202.100.1.1
3.uRPF的宽松模式
A.确认IP CEF打开
B.如下配置,因为R1有到192.168.0.0的路由,所以R3#ping 192.168.1.2 source 192.168.2.2,在R2上debug ip icmp能看到包。
interface FastEthernet0/0
ip verify unicast source reachable-via any
但是,R3#ping 192.168.1.2 source 3.3.3.3,无法ping通,因为R1上没有去往3.3.3.3的路由
C.如果允许默认路由的话,,R3#ping 192.168.1.2 source 3.3.3.3,能够通
R1(config)#int f0/0
R1(config-if)#ip verify unicast source reachable-via any allow-default
D.如果希望自己能ping通自己,需要添加 allow-self-ping关键字
4.uRPF的严谨模式
A.如果采用严谨模式,因为192.168.0.0/16网段地址接口在f0/0,所以R3#ping 192.168.1.2 source 192.168.2.2,在R2上debug ip icmp抓不到包。
interface FastEthernet0/0
ip verify unicast source reachable-via rx allow-default allow-self-ping
通过上面配置可以防止来做公网,且源地址为内网地址的数据包的攻击,
另一方面,R2#ping 3.3.3.3 source 2.2.2.2,数据包虽然能到达R3,但是返回来时被R1拒绝了,因为R1没有去往2.2.2.2的路由。
如果R1上面有到内网所有网段的路由,那么通过如下方式可以禁止内网伪造数据包出公网,从而避免充当肉鸡和堵塞互联网出口:
R1(config)#int f0/1
R1(config-if)#ip verify unicast source reachable-via rx allow-self-ping
本文转自 碧云天 51CTO博客,原文链接:http://blog.51cto.com/333234/1045776,如需转载请自行联系原作者