Unicast Reverse Path Forwarding (Unicast RPF,单播逆向转发)
Unicast RPF 这个功能可以帮助我们减轻(注意不是完全避免,是减轻)伪造的源IP地址(IP Spoofing,IP地址欺骗)的数据包通过路由器所带来的问题。
1.基本概念
Unicast RPF对于进入网络中的那些源IP地址“无法证实”的IP数据包进行丢弃以防止地址欺骗。举个例子来说,对于DoS攻击,攻击者会利用伪造的或者是不断改变的源IP地址以防止攻击被定位或过滤。对于此类攻击,Unicast RPF只转发那些源IP地址在路由表中存在并有效的数据包。
当Unicast RPF在某个接口上启用,路由器检查所有进入此接口的数据包,确定其源IP地址和源接口在路由表中存在。这种“向后看”的能力只有当Cisco express forwarding (CEF) 启用时才生效,因为其依赖于Forwarding Information Base (FIB),FIB是CEF生成的。

注意: Unicast RPF只能在接口的input方向上。
Unicast RPF检查从某个接口上进入路由器的数据包,通过FIB判断该数据包是否通过最优路径到达,如果是,则正常转发,如果找不到逆向(返回源)的路径,说明该数据包的源IP可能被修改,这时需要通过ACL来判定对该数据包是转发还是丢弃。在接口启用Unicast RPF时,ACL是可选项,如果没有配置ACL,则对于找不到逆向路径的数据包会被丢弃!
当数据包到达一个配置了Unicast RPF和ACl的接口,路由器进行以下操作:
Step 1 利用接口上Input方向的ACL对数据包进行检查。
Step 2 Unicast RPF 检查是否有返回源的最佳路径。
Step 3 完成FIB查找。
Step 4 利用出站接口上Output方向的ACL对数据包进行检查。
Step 5 转发数据包。
2.配置命令
(config)# ip cef //启用CEF
(config)# interface 接口名
(config-if)# ip verify unicast reverse-path [ACL编号] //在接口上启用Unicast RPF,ACL为可选项。
查看命令:
# show ip traffic
# show ip interface 接口名
# show access-lists
3.下面用例子说明一下:
ip cef
interface serial 0/0
ip verify unicast reverse-path
这个例子中;从serial 0/0口进入的数据包如果找不到逆向路径则丢弃!
ip cef
int eth 0/1
ip address 192.168.200.1 255.255.255.0
ip verify unicast reverse-path 197
access-list 197 deny ip 192.168.201.0 0.0.0.63 any log-input
access-list 197 permit ip 192.168.201.64 0.0.0.63 any log-input
access-list 197 deny ip 192.168.201.128 0.0.0.63 any log-input
access-list 197 permit ip 192.168.201.192 0.0.0.63 any log-input
access-list 197 deny ip host 0.0.0.0 any log
这个是将Unicast RPF和ACL一起使用的例子。
本文转自zcm8483 51CTO博客,原文链接:http://blog.51cto.com/haolun/991672

Unicast RPF,单播逆向转发相关推荐

  1. 强化网络互连设备安全配置脚本

    service nagle //Nagle减轻TCP协议在传送小包上的问题,优化登录连接进程,减少路由器负担: service tcp-keepalives-in //删除意外中断的tcp连接,提供保 ...

  2. 最常见的十种网络攻击行为,你能防住几个?

    随着互联网的快速发展,给我们的生活带来了很多便利,5G网络的即将来临,将带我们进入一个万物互联的时代.然而在网络快速发展的同时,网络安全威胁也越来越严重,网络攻击的规模和复杂性逐年上升,造成的影响越来 ...

  3. CCIE-组播防环机制RPF

    2021.11.20 这次真的再也没有办法骗自己了 3.1 单播路由与组播路由的主要区别  单播路由关心数据包要去哪里 (Destination)  组播路由关心数据包从哪里来 (Source) ...

  4. 计算机网络的三种通讯模式(单播,广播,组播)小结

    1.单播(Unicast) 单播在发送者和每一接收者之间实现点对点网络连接. 如果一台发送者同时给多个的接收者传输相同的数据,也必须相应的复制多份的相同数据包.如果有大量主机希望获得数据包的同一份拷贝 ...

  5. 单播 组播 广播的区别

    单播:1:1 一对一,例如qq单聊 unicast 组播:1:6 一对一组 例如qq讨论组 multicast(多播) 广播:1:100 一对所有 例如qq 群发群聊 broadcast 任播(任意播 ...

  6. vxlan 分布式网关数据包转发过程_Vxlan基础

    一.为什么需要Vxlan 普通的VLAN数量只有4096个,无法满足大规模云计算IDC的需求,而IDC为何需求那么多VLAN呢,因为目前大部分IDC内部结构主要分为两种L2,L3.L2结构里面,所有的 ...

  7. 交换机与路由器技术:远程管理交换机和路由器工作原理、路由器转发数据包的封装过程

    目录 一.通过远程管理方式连接交换机 1.teInet是应用层协议基于传输层TCP,默认端口号:23 2.ssh是应用层协议基于传输层TCP默认端口号:22 3.思路 3.1.telnet 3.2.s ...

  8. 点播, 单播,组播和广播

    FROM:http://blog.csdn.net/onelight1997/article/details/7324950 单播(Singlecast) 组播(Multicast) 广播(Broad ...

  9. 高级计算机网络——相关习题答案及解析(辽宁大学任秀丽主讲)

    目录 一.课后习题答案 1.8习题 1.IP 分组首部中的"TTL"字段和"协议"字段的作用是什么? 2.一个 UDP 用户数据报的数据部分为 4192B,UD ...

最新文章

  1. python处理完数据导入数据库_python操作数据库之批量导入
  2. 2019-03-09-算法-进化(旋转数组)
  3. linux 装windows软件,常用软件的安装(windows/linux)
  4. MySQL索引的Index method中btree和hash的优缺点
  5. 只因少打一个字符 “”,大量谷歌 Chromebook 无法解锁
  6. 入门不简单(《Beginning C# Objects中文版》书评)
  7. 防病毒服务器维护记录表,机房巡检记录表.doc
  8. 制作未来计算机的ppt模板,计算机毕业设计ppt模板.doc
  9. python转换exe详细教程-手把手教你把Python代码转成exe
  10. MyEclipse共享项目到SVN服务器
  11. 2011腾讯QQ通用BUG和变态小秘密!
  12. Objective-C Category 的实现原理
  13. MyBatis学习笔记三——映射配置文件
  14. 基因编辑c语言,基因编辑为何失败?那是因为Cas9霸着C位
  15. ISTQB基础级备考攻略
  16. 使用eNSP配置防火墙USG6000v双机热备(VGMP+HRP+OSPF+NAT)
  17. SwipeToLoadLayout布局中添加自定义控件仿美团、饿了吗等下拉效果
  18. Graphite的安装与部署
  19. greendao出现Failed to change locale for db ‘/data/data/xxx/databases/xxx.db‘ to ‘zh_CN‘.
  20. 吾爱破解java核心技术_这才是某音解析最新源码,别拿第三方的来糊弄人

热门文章

  1. CyclicBarrier实现赛马游戏
  2. Understand安装与使用
  3. 考研经验贴 吉大调剂上岸
  4. 【程序】Altera FPGA NIOS实现Scatter-Gather DMA(SGDMA)收发回环测试,描述符和缓冲区全部放在同一块SDRAM里面
  5. Windows服务应用程序
  6. 【Linux】x86结构
  7. 业务流程监控的几点建议
  8. 编码器-解码器架构-读书笔记
  9. 数据结构与算法(基于<algorithm>)
  10. 电脑登录qq了为什么找不到服务器,为什么电脑可以登QQ却上不了网? 了解电脑问题所在...