2024年1月5日发(作者：信婉容)

S1720&S2700&S5700&S6720 系列以太网交换机配置指南-安全14 URPF配置14关于本章配置URPF可以用来防止基于源地址欺骗的网络攻击行为。14.1 URPF简介介绍URPF的定义、由来和作用。14.2 原理描述介绍URPF的实现原理。14.3 应用场景介绍URPF的应用场景。14.4 配置注意事项介绍配置URPF的注意事项。 URPF配置14.5 缺省配置介绍URPF缺省配置，实际应用的配置可以基于缺省配置进行修改。14.6 配置URPF介绍配置URPF具体命令和步骤。14.7 配置举例通过示例介绍如何配置URPF。配置示例中包括组网需求、配置思路等。14.1 URPF简介介绍URPF的定义、由来和作用。定义URPF（Unicast Reverse Path Forwarding）是单播逆向路径转发的简称，其主要功能是防止基于源IP地址欺骗的网络攻击行为。文档版本 04 (2017-11-20)华为专有和保密信息版权所有 © 华为技术有限公司456

S1720&S2700&S5700&S6720 系列以太网交换机配置指南-安全14 URPF配置目的拒绝服务DoS（Denial of Service）攻击是一种阻止连接服务的网络攻击。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。URPF根据报文的源IP地址在路由表或ARP表中查找出接口，并判断该出接口与报文入接口是否一致。如果路由表或ARP表中没有该源IP地址的表项，或报文入接口与路由出接口不一致则丢弃该报文，从而预防IP欺骗，特别是针对伪造IP源地址的DoS攻击非常有效。受益ll帮助网络维护者防御网络上的IP源攻击，降低对IP源攻击的维护成本。用户能获得更安全、稳定的网络环境，不用担心因IP源攻击带来的困扰。14.2 原理描述介绍URPF的实现原理。工作模式在复杂的网络环境中，会遇到路由不对称的情况，即对端设备记录的路由路径与本端不一致，此时使能URPF的设备可能会丢弃从合法路径接收的报文，正常转发从非法路径接收的报文。为了解决该问题，设备实现了以下两种URPF模式：l严格模式严格模式下，设备不仅要求报文源地址在路由表或ARP表中存在相应表项，还要求报文入接口与表中的出接口必须一致。建议在路由对称的环境下使用严格模式，例如两个网络边界设备之间只有一条路径，此时使用严格模式能够保证网络的安全性。l松散模式松散模式下，设备仅要求报文源地址在路由表或ARP表中存在相应表项，不要求报文入接口与表中的出接口必须一致。建议在不能保证路由对称的环境下使用松散模式，例如两个网络边界设备之间有多条路径，路由的对称性无法保证，此时松散模式既可以有效地阻止网络攻击，又可以避免合法报文被错误丢弃。工作原理使能URPF的设备获取报文的源IP地址和入接口，在路由表或ARP表中查找该源IP地址对应的出接口与报文入接口是否一致。如果不一致，则认为该源IP地址是伪装的，丢弃该报文。通过这种工作方式，URPF能有效地防范网络中通过修改源IP地址而进行的恶意攻击行为。图14-1 URPF原理10.1.1.1Source10.2.1.1SwitchASwitchBSwitchC10.2.1.1文档版本 04 (2017-11-20)华为专有和保密信息版权所有 © 华为技术有限公司457

S1720&S2700&S5700&S6720 系列以太网交换机配置指南-安全14 URPF配置

如图14-1所示，在SwitchA上伪造源地址为10.2.1.1的报文向SwitchB发起请求，SwitchB响应请求时将向真正的“10.2.1.1”即SwitchC发送报文。这种非法报文对SwitchB和SwitchC都造成了攻击。如果在SwitchB上启用URPF严格检查，则SwitchB在收到源地址为10.2.1.1的报文时，URPF检查到以此报文源地址对应的接口与收到该报文的接口不匹配，报文会被丢弃。说明设备支持对入接口报文的源IPv4地址和源IPv6地址进行检查。14.3 应用场景介绍URPF的应用场景。严格模式下的URPF应用如图14-2所示，AS1和AS2与AS3之间为单连接。在SwitchC的Interface1接口和Interface2接口上配置URPF，可以保护AS3免受来自AS1和AS2的源地址欺骗攻击。如果AS1中的主机PC A伪造了一个源地址为10.2.2.2的报文，向AS3中的Server发送请求。SwitchC在接收到这个报文后，检查其入接口是否匹配，发现源地址为10.2.2.2的报文应该从Interface2进入，则SwitchC认为该报文源地址是伪造的，直接丢弃该报文。从AS2发向Server的正常报文，检查通过后，被正常的转发。图14-2 URPF单宿主客户应用环境示意图AS110.1.1.1/24PC ASwitchAAS3source:10.2.2.2destination:10.3.3.3AS210.2.2.2/24PC BSwitchBURPFenabledInterface1Interface2SwitchC10.3.3.3/24Serversource:10.2.2.2destination:10.3.3.3

文档版本 04 (2017-11-20)华为专有和保密信息版权所有 © 华为技术有限公司458

S1720&S2700&S5700&S6720 系列以太网交换机配置指南-安全14 URPF配置松散模式下的URPF应用两个网络边界设备之间多个连接有单宿主单ISP客户和多宿主多ISP客户两种情况。l单宿主单ISP客户图14-3 URPF单宿主单ISP客户应用环境示意图URPFSwitchAEnterpriseSwitchISPURPFURPFSwitchB

如图14-3所示，为了保证可靠性，某公司网络和某个ISP之间有两条连接。这时就不能够保证Enterprise和ISP之间路由的对称性，必须使用URPF松散模式。l多宿主多ISP客户图14-4 URPF多宿主多ISP客户应用环境示意图URPFISP ASwitchEnterpriseSwitchBURPFURPFISP BSwitchAInternet

在图14-4所示环境中，客户与多个ISP连接，很难保证Enterprise和两个ISP之间路由的对称性，必须使用URPF松散模式。客户与多个ISP连接下的URPF可以具有以下应用：––如果用户希望某些特殊报文任何情况都可以通过URPF的检查，可以在利用ACL指定这些特殊的源地址允许通过。许多用户连接的设备可能只有一条缺省路由指向ISP，此时，需要配置允许匹配缺省路由选项。14.4 配置注意事项介绍配置URPF的注意事项。文档版本 04 (2017-11-20)华为专有和保密信息版权所有 © 华为技术有限公司459

S1720&S2700&S5700&S6720 系列以太网交换机配置指南-安全14 URPF配置涉及网元无需其他网元配合。License支持URPF特性是交换机的基本特性，无需获得License许可即可应用此功能。版本支持表14-1 产品形态和软件版本支持情况系列S1700产品S1720GFRS1720GW-E、S1720GWR-ES1720X-ES2700S2700SIS2700EIS2710SIS2720EIS2750EIS3700S3700SI、S3700EIS3700HIS5700S5700LIS5700S-LIS5710-C-LIS5710-X-LIS5700SIS5700EI支持版本不支持不支持不支持不支持不支持不支持不支持不支持不支持V100R006C01、V200R001C00不支持不支持不支持不支持V100R005C01、V100R006C00、V200R001C00、V200R002C00、V200R003C00、V200R005C00V100R005C01、V100R006（C00&C01）、V200R001（C00&C01）、V200R002C00、V200R003C00、V200R005（C00&C01&C02&C03）V200R001C00、V200R002C00、V200R003C00、V200R005（C00&C02）V200R007C00、V200R008C00、V200R009C00、V200R010C00、V200R011C00、V200R011C10460S5710EIS5720EI文档版本 04 (2017-11-20)华为专有和保密信息版权所有 © 华为技术有限公司

S1720&S2700&S5700&S6720 系列以太网交换机配置指南-安全14 URPF配置系列产品S5720LI、S5720S-LIS5720SI、S5720S-SIS5700HI支持版本不支持V200R008C00、V200R009C00、V200R010C00、V200R011C00、V200R011C10V100R006C01、V200R001（C00&C01）、V200R002C00、V200R003C00、V200R005（C00SPC500&C01&C02）V200R003C00、V200R005（C00&C02&C03）V200R006C00、V200R007（C00&C10）、V200R008C00、V200R009C00、V200R010C00、V200R011C00、V200R011C10V200R011C10V200R011C10V100R006C00、V200R001（C00&C01）、V200R002C00、V200R003C00、V200R005（C00&C01&C02）不支持V200R011C00、V200R011C10V200R008C00、V200R009C00、V200R010C00、V200R011C00、V200R011C10V200R009C00、V200R010C00、V200R011C00、V200R011C10S5710HIS5720HIS5730SIS5730S-EIS6700S6700EIS6720LI、S6720S-LIS6720SI、S6720S-SIS6720EIS6720S-EI

说明如需了解交换机软件配套详细信息，请参见华为交换机版本配套速查。特性依赖和限制无14.5 缺省配置介绍URPF缺省配置，实际应用的配置可以基于缺省配置进行修改。URPF的缺省配置如表14-2所示。文档版本 04 (2017-11-20)华为专有和保密信息版权所有 © 华为技术有限公司461

S1720&S2700&S5700&S6720 系列以太网交换机配置指南-安全14 URPF配置表14-2 URPF缺省配置参数URPF检查功能

缺省值未使能14.6 配置URPF介绍配置URPF具体命令和步骤。前置任务在配置URPF之前，需完成以下任务：l配置接口的链路层协议参数，使接口的链路协议状态为Up。14.6.1 配置URPF检查介绍配置URPF的具体命令和步骤。背景信息在复杂的网络环境中，会遇到路由不对称的情况，即对端设备记录的路由路径与本端不一致，此时使能URPF的设备可能会丢弃从合法路径接收的报文，正常转发从非法路径接收的报文。为了解决该问题，设备实现了以下两种URPF模式：l严格模式严格模式下，设备不仅要求报文源地址在路由表或ARP表中存在相应表项，还要求报文入接口与表中的出接口必须一致。建议在路由对称的环境下使用严格模式，例如两个网络边界设备之间只有一条路径，此时使用严格模式能够保证网络的安全性。l松散模式松散模式下，设备仅要求报文源地址在路由表或ARP表中存在相应表项，不要求报文入接口与表中的出接口必须一致。建议在不能保证路由对称的环境下使用松散模式，例如两个网络边界设备之间有多条路径，路由的对称性无法保证，此时松散模式既可以有效地阻止网络攻击，又可以避免合法报文被错误丢弃。说明如果报文匹配流策略中的规则，且动作为重定向，则设备不支持对报文进行URPF检查。对于堆叠系统，执行urpf（系统视图）命令使能URPF检查仅对主交换机生效。对于S5720EI、S6720EI和S6720S-EI，建议在业务开展之前部署URPF。如果业务开展后需要部署URPF检查，请选择在业务量小的时候进行配置，并确保FIB规格减半后，能够满足现网业务的需要。操作步骤步骤1执行命令system-view，进入系统视图。步骤2配置URPF检查。文档版本 04 (2017-11-20)华为专有和保密信息版权所有 © 华为技术有限公司462

S1720&S2700&S5700&S6720 系列以太网交换机配置指南-安全14 URPF配置l对于S5720SI、S5720S-SI、S5730SI、S5730S-EI、S6720SI和S6720S-SI，在系统视图下使能URPF检查即可：执行命令urpf [ slot slot-id ]，使能URPF检查。缺省情况下，系统视图下未使能URPF检查。l对于S5720EI、S6720EI和S6720S-EI，必须先在系统视图下使能URPF检查，然后在相应的接口下使能URPF检查：a.执行命令urpf slot slot-id [ based-logic-port ]，使能URPF检查。缺省情况下，系统视图下未使能URPF检查。说明系统视图下使能URPF检查后，接口下的URPF检查才能生效。如果指定based-logic-port关键字，则仅支持在逻辑接口（VLANIF接口或子接口）下配置URPF检查，以太网接口（二层以太网接口或三层以太网接口）下的URPF检查会失效。如果未指定based-logic-port关键字，则仅支持在以太网接口下配置URPF检查，逻辑接口下的URPF检查会失效。b.执行命令interface interface-type interface-number，进入接口视图。说明nnnnn仅S6720EI、S6720S-EI、S5720HI和S5720EI支持以太网子接口。对于上述形态设备的二层接口，仅hybrid和trunk类型接口支持配置以太网子接口。对于上述形态设备的二层接口，执行命令undo portswitch切换为三层接口后，支持配置以太网子接口。接口加入Eth-Trunk后，该成员接口上不能配置子接口。VCMP的角色是Client时，不能配置VLAN终结子接口。c.（可选）对于以太网接口，执行命令undo portswitch，配置接口切换到三层模式。缺省情况下，以太网接口处于二层模式。执行命令urpf { loose | strict } [ allow-default-route ]，使能接口的URPF检查。缺省情况下，接口上未使能URPF检查。说明d.仅二层以太网接口支持配置URPF严格检查。l对于S5720HI，根据实际需求在相应的接口下使能URPF检查即可：a.执行命令interface interface-type interface-number，进入接口视图。说明nnnnn仅S6720EI、S6720S-EI、S5720HI和S5720EI支持以太网子接口。对于上述形态设备的二层接口，仅hybrid和trunk类型接口支持配置以太网子接口。对于上述形态设备的二层接口，执行命令undo portswitch切换为三层接口后，支持配置以太网子接口。接口加入Eth-Trunk后，该成员接口上不能配置子接口。VCMP的角色是Client时，不能配置VLAN终结子接口。b.（可选）对于以太网接口，执行命令undo portswitch，配置接口切换到三层模式。缺省情况下，以太网接口处于二层模式。文档版本 04 (2017-11-20)华为专有和保密信息版权所有 © 华为技术有限公司463

S1720&S2700&S5700&S6720 系列以太网交换机配置指南-安全14 URPF配置c.执行命令urpf { loose | strict } [ allow-default-route ]，使能接口的URPF检查。缺省情况下，接口上未使能URPF检查。----结束14.6.2 检查配置结果操作步骤l在系统视图和接口视图下使用命令display this查看是否配置了URPF功能。14.7 配置举例通过示例介绍如何配置URPF。配置示例中包括组网需求、配置思路等。14.7.1 配置URPF功能示例组网需求如图14-5所示，Switch通过GE0/0/2接口与ISP（Internet Service Provider）的路由器连接，GE0/0/1接口下接用户网络。管理员希望Switch能够防范源地址欺骗攻击，避免非法用户利用合理的服务请求占用过多的服务资源，造成合法用户无法得到服务的响应而无法正常通信。图14-5 配置URPF功能组网图User

networkGE0/0/1SwitchGE0/0/2ISPRouter

配置思路在Switch用户侧接口GE0/0/1上配置URPF功能，并使能缺省路由匹配，使设备可以防范用户侧的源地址欺骗攻击。说明本例的组网中是路由对称的环境，这种情况下一般使用严格检查模式。操作步骤步骤1配置接口的URPF检查模式 system-view[HUAWEI] sysname Switch[Switch] interface gigabitethernet 0/0/1[Switch-GigabitEthernet0/0/1] urpf strict allow-default-route文档版本 04 (2017-11-20)华为专有和保密信息版权所有 © 华为技术有限公司464

S1720&S2700&S5700&S6720 系列以太网交换机配置指南-安全14 URPF配置步骤2验证配置结果在接口GE0/0/1 上执行命令display this查看URPF配置。[Switch-GigabitEthernet0/0/1] display this#interface GigabitEthernet0/0/1 urpf strict allow-default-route#return

----结束配置文件Switch的配置文件#sysname Switch#interface GigabitEthernet0/0/1 urpf strict allow-default-route#return

文档版本 04 (2017-11-20)华为专有和保密信息版权所有 © 华为技术有限公司465

2024年1月5日发(作者：信婉容)

S1720&S2700&S5700&S6720 系列以太网交换机配置指南-安全14 URPF配置14关于本章配置URPF可以用来防止基于源地址欺骗的网络攻击行为。14.1 URPF简介介绍URPF的定义、由来和作用。14.2 原理描述介绍URPF的实现原理。14.3 应用场景介绍URPF的应用场景。14.4 配置注意事项介绍配置URPF的注意事项。 URPF配置14.5 缺省配置介绍URPF缺省配置，实际应用的配置可以基于缺省配置进行修改。14.6 配置URPF介绍配置URPF具体命令和步骤。14.7 配置举例通过示例介绍如何配置URPF。配置示例中包括组网需求、配置思路等。14.1 URPF简介介绍URPF的定义、由来和作用。定义URPF（Unicast Reverse Path Forwarding）是单播逆向路径转发的简称，其主要功能是防止基于源IP地址欺骗的网络攻击行为。文档版本 04 (2017-11-20)华为专有和保密信息版权所有 © 华为技术有限公司456

S1720&S2700&S5700&S6720 系列以太网交换机配置指南-安全14 URPF配置目的拒绝服务DoS（Denial of Service）攻击是一种阻止连接服务的网络攻击。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。URPF根据报文的源IP地址在路由表或ARP表中查找出接口，并判断该出接口与报文入接口是否一致。如果路由表或ARP表中没有该源IP地址的表项，或报文入接口与路由出接口不一致则丢弃该报文，从而预防IP欺骗，特别是针对伪造IP源地址的DoS攻击非常有效。受益ll帮助网络维护者防御网络上的IP源攻击，降低对IP源攻击的维护成本。用户能获得更安全、稳定的网络环境，不用担心因IP源攻击带来的困扰。14.2 原理描述介绍URPF的实现原理。工作模式在复杂的网络环境中，会遇到路由不对称的情况，即对端设备记录的路由路径与本端不一致，此时使能URPF的设备可能会丢弃从合法路径接收的报文，正常转发从非法路径接收的报文。为了解决该问题，设备实现了以下两种URPF模式：l严格模式严格模式下，设备不仅要求报文源地址在路由表或ARP表中存在相应表项，还要求报文入接口与表中的出接口必须一致。建议在路由对称的环境下使用严格模式，例如两个网络边界设备之间只有一条路径，此时使用严格模式能够保证网络的安全性。l松散模式松散模式下，设备仅要求报文源地址在路由表或ARP表中存在相应表项，不要求报文入接口与表中的出接口必须一致。建议在不能保证路由对称的环境下使用松散模式，例如两个网络边界设备之间有多条路径，路由的对称性无法保证，此时松散模式既可以有效地阻止网络攻击，又可以避免合法报文被错误丢弃。工作原理使能URPF的设备获取报文的源IP地址和入接口，在路由表或ARP表中查找该源IP地址对应的出接口与报文入接口是否一致。如果不一致，则认为该源IP地址是伪装的，丢弃该报文。通过这种工作方式，URPF能有效地防范网络中通过修改源IP地址而进行的恶意攻击行为。图14-1 URPF原理10.1.1.1Source10.2.1.1SwitchASwitchBSwitchC10.2.1.1文档版本 04 (2017-11-20)华为专有和保密信息版权所有 © 华为技术有限公司457

S1720&S2700&S5700&S6720 系列以太网交换机配置指南-安全14 URPF配置

如图14-1所示，在SwitchA上伪造源地址为10.2.1.1的报文向SwitchB发起请求，SwitchB响应请求时将向真正的“10.2.1.1”即SwitchC发送报文。这种非法报文对SwitchB和SwitchC都造成了攻击。如果在SwitchB上启用URPF严格检查，则SwitchB在收到源地址为10.2.1.1的报文时，URPF检查到以此报文源地址对应的接口与收到该报文的接口不匹配，报文会被丢弃。说明设备支持对入接口报文的源IPv4地址和源IPv6地址进行检查。14.3 应用场景介绍URPF的应用场景。严格模式下的URPF应用如图14-2所示，AS1和AS2与AS3之间为单连接。在SwitchC的Interface1接口和Interface2接口上配置URPF，可以保护AS3免受来自AS1和AS2的源地址欺骗攻击。如果AS1中的主机PC A伪造了一个源地址为10.2.2.2的报文，向AS3中的Server发送请求。SwitchC在接收到这个报文后，检查其入接口是否匹配，发现源地址为10.2.2.2的报文应该从Interface2进入，则SwitchC认为该报文源地址是伪造的，直接丢弃该报文。从AS2发向Server的正常报文，检查通过后，被正常的转发。图14-2 URPF单宿主客户应用环境示意图AS110.1.1.1/24PC ASwitchAAS3source:10.2.2.2destination:10.3.3.3AS210.2.2.2/24PC BSwitchBURPFenabledInterface1Interface2SwitchC10.3.3.3/24Serversource:10.2.2.2destination:10.3.3.3

文档版本 04 (2017-11-20)华为专有和保密信息版权所有 © 华为技术有限公司458

S1720&S2700&S5700&S6720 系列以太网交换机配置指南-安全14 URPF配置松散模式下的URPF应用两个网络边界设备之间多个连接有单宿主单ISP客户和多宿主多ISP客户两种情况。l单宿主单ISP客户图14-3 URPF单宿主单ISP客户应用环境示意图URPFSwitchAEnterpriseSwitchISPURPFURPFSwitchB

如图14-3所示，为了保证可靠性，某公司网络和某个ISP之间有两条连接。这时就不能够保证Enterprise和ISP之间路由的对称性，必须使用URPF松散模式。l多宿主多ISP客户图14-4 URPF多宿主多ISP客户应用环境示意图URPFISP ASwitchEnterpriseSwitchBURPFURPFISP BSwitchAInternet

在图14-4所示环境中，客户与多个ISP连接，很难保证Enterprise和两个ISP之间路由的对称性，必须使用URPF松散模式。客户与多个ISP连接下的URPF可以具有以下应用：––如果用户希望某些特殊报文任何情况都可以通过URPF的检查，可以在利用ACL指定这些特殊的源地址允许通过。许多用户连接的设备可能只有一条缺省路由指向ISP，此时，需要配置允许匹配缺省路由选项。14.4 配置注意事项介绍配置URPF的注意事项。文档版本 04 (2017-11-20)华为专有和保密信息版权所有 © 华为技术有限公司459

S1720&S2700&S5700&S6720 系列以太网交换机配置指南-安全14 URPF配置涉及网元无需其他网元配合。License支持URPF特性是交换机的基本特性，无需获得License许可即可应用此功能。版本支持表14-1 产品形态和软件版本支持情况系列S1700产品S1720GFRS1720GW-E、S1720GWR-ES1720X-ES2700S2700SIS2700EIS2710SIS2720EIS2750EIS3700S3700SI、S3700EIS3700HIS5700S5700LIS5700S-LIS5710-C-LIS5710-X-LIS5700SIS5700EI支持版本不支持不支持不支持不支持不支持不支持不支持不支持不支持V100R006C01、V200R001C00不支持不支持不支持不支持V100R005C01、V100R006C00、V200R001C00、V200R002C00、V200R003C00、V200R005C00V100R005C01、V100R006（C00&C01）、V200R001（C00&C01）、V200R002C00、V200R003C00、V200R005（C00&C01&C02&C03）V200R001C00、V200R002C00、V200R003C00、V200R005（C00&C02）V200R007C00、V200R008C00、V200R009C00、V200R010C00、V200R011C00、V200R011C10460S5710EIS5720EI文档版本 04 (2017-11-20)华为专有和保密信息版权所有 © 华为技术有限公司

S1720&S2700&S5700&S6720 系列以太网交换机配置指南-安全14 URPF配置系列产品S5720LI、S5720S-LIS5720SI、S5720S-SIS5700HI支持版本不支持V200R008C00、V200R009C00、V200R010C00、V200R011C00、V200R011C10V100R006C01、V200R001（C00&C01）、V200R002C00、V200R003C00、V200R005（C00SPC500&C01&C02）V200R003C00、V200R005（C00&C02&C03）V200R006C00、V200R007（C00&C10）、V200R008C00、V200R009C00、V200R010C00、V200R011C00、V200R011C10V200R011C10V200R011C10V100R006C00、V200R001（C00&C01）、V200R002C00、V200R003C00、V200R005（C00&C01&C02）不支持V200R011C00、V200R011C10V200R008C00、V200R009C00、V200R010C00、V200R011C00、V200R011C10V200R009C00、V200R010C00、V200R011C00、V200R011C10S5710HIS5720HIS5730SIS5730S-EIS6700S6700EIS6720LI、S6720S-LIS6720SI、S6720S-SIS6720EIS6720S-EI

说明如需了解交换机软件配套详细信息，请参见华为交换机版本配套速查。特性依赖和限制无14.5 缺省配置介绍URPF缺省配置，实际应用的配置可以基于缺省配置进行修改。URPF的缺省配置如表14-2所示。文档版本 04 (2017-11-20)华为专有和保密信息版权所有 © 华为技术有限公司461

S1720&S2700&S5700&S6720 系列以太网交换机配置指南-安全14 URPF配置表14-2 URPF缺省配置参数URPF检查功能

缺省值未使能14.6 配置URPF介绍配置URPF具体命令和步骤。前置任务在配置URPF之前，需完成以下任务：l配置接口的链路层协议参数，使接口的链路协议状态为Up。14.6.1 配置URPF检查介绍配置URPF的具体命令和步骤。背景信息在复杂的网络环境中，会遇到路由不对称的情况，即对端设备记录的路由路径与本端不一致，此时使能URPF的设备可能会丢弃从合法路径接收的报文，正常转发从非法路径接收的报文。为了解决该问题，设备实现了以下两种URPF模式：l严格模式严格模式下，设备不仅要求报文源地址在路由表或ARP表中存在相应表项，还要求报文入接口与表中的出接口必须一致。建议在路由对称的环境下使用严格模式，例如两个网络边界设备之间只有一条路径，此时使用严格模式能够保证网络的安全性。l松散模式松散模式下，设备仅要求报文源地址在路由表或ARP表中存在相应表项，不要求报文入接口与表中的出接口必须一致。建议在不能保证路由对称的环境下使用松散模式，例如两个网络边界设备之间有多条路径，路由的对称性无法保证，此时松散模式既可以有效地阻止网络攻击，又可以避免合法报文被错误丢弃。说明如果报文匹配流策略中的规则，且动作为重定向，则设备不支持对报文进行URPF检查。对于堆叠系统，执行urpf（系统视图）命令使能URPF检查仅对主交换机生效。对于S5720EI、S6720EI和S6720S-EI，建议在业务开展之前部署URPF。如果业务开展后需要部署URPF检查，请选择在业务量小的时候进行配置，并确保FIB规格减半后，能够满足现网业务的需要。操作步骤步骤1执行命令system-view，进入系统视图。步骤2配置URPF检查。文档版本 04 (2017-11-20)华为专有和保密信息版权所有 © 华为技术有限公司462

S1720&S2700&S5700&S6720 系列以太网交换机配置指南-安全14 URPF配置l对于S5720SI、S5720S-SI、S5730SI、S5730S-EI、S6720SI和S6720S-SI，在系统视图下使能URPF检查即可：执行命令urpf [ slot slot-id ]，使能URPF检查。缺省情况下，系统视图下未使能URPF检查。l对于S5720EI、S6720EI和S6720S-EI，必须先在系统视图下使能URPF检查，然后在相应的接口下使能URPF检查：a.执行命令urpf slot slot-id [ based-logic-port ]，使能URPF检查。缺省情况下，系统视图下未使能URPF检查。说明系统视图下使能URPF检查后，接口下的URPF检查才能生效。如果指定based-logic-port关键字，则仅支持在逻辑接口（VLANIF接口或子接口）下配置URPF检查，以太网接口（二层以太网接口或三层以太网接口）下的URPF检查会失效。如果未指定based-logic-port关键字，则仅支持在以太网接口下配置URPF检查，逻辑接口下的URPF检查会失效。b.执行命令interface interface-type interface-number，进入接口视图。说明nnnnn仅S6720EI、S6720S-EI、S5720HI和S5720EI支持以太网子接口。对于上述形态设备的二层接口，仅hybrid和trunk类型接口支持配置以太网子接口。对于上述形态设备的二层接口，执行命令undo portswitch切换为三层接口后，支持配置以太网子接口。接口加入Eth-Trunk后，该成员接口上不能配置子接口。VCMP的角色是Client时，不能配置VLAN终结子接口。c.（可选）对于以太网接口，执行命令undo portswitch，配置接口切换到三层模式。缺省情况下，以太网接口处于二层模式。执行命令urpf { loose | strict } [ allow-default-route ]，使能接口的URPF检查。缺省情况下，接口上未使能URPF检查。说明d.仅二层以太网接口支持配置URPF严格检查。l对于S5720HI，根据实际需求在相应的接口下使能URPF检查即可：a.执行命令interface interface-type interface-number，进入接口视图。说明nnnnn仅S6720EI、S6720S-EI、S5720HI和S5720EI支持以太网子接口。对于上述形态设备的二层接口，仅hybrid和trunk类型接口支持配置以太网子接口。对于上述形态设备的二层接口，执行命令undo portswitch切换为三层接口后，支持配置以太网子接口。接口加入Eth-Trunk后，该成员接口上不能配置子接口。VCMP的角色是Client时，不能配置VLAN终结子接口。b.（可选）对于以太网接口，执行命令undo portswitch，配置接口切换到三层模式。缺省情况下，以太网接口处于二层模式。文档版本 04 (2017-11-20)华为专有和保密信息版权所有 © 华为技术有限公司463

S1720&S2700&S5700&S6720 系列以太网交换机配置指南-安全14 URPF配置c.执行命令urpf { loose | strict } [ allow-default-route ]，使能接口的URPF检查。缺省情况下，接口上未使能URPF检查。----结束14.6.2 检查配置结果操作步骤l在系统视图和接口视图下使用命令display this查看是否配置了URPF功能。14.7 配置举例通过示例介绍如何配置URPF。配置示例中包括组网需求、配置思路等。14.7.1 配置URPF功能示例组网需求如图14-5所示，Switch通过GE0/0/2接口与ISP（Internet Service Provider）的路由器连接，GE0/0/1接口下接用户网络。管理员希望Switch能够防范源地址欺骗攻击，避免非法用户利用合理的服务请求占用过多的服务资源，造成合法用户无法得到服务的响应而无法正常通信。图14-5 配置URPF功能组网图User

networkGE0/0/1SwitchGE0/0/2ISPRouter

配置思路在Switch用户侧接口GE0/0/1上配置URPF功能，并使能缺省路由匹配，使设备可以防范用户侧的源地址欺骗攻击。说明本例的组网中是路由对称的环境，这种情况下一般使用严格检查模式。操作步骤步骤1配置接口的URPF检查模式 system-view[HUAWEI] sysname Switch[Switch] interface gigabitethernet 0/0/1[Switch-GigabitEthernet0/0/1] urpf strict allow-default-route文档版本 04 (2017-11-20)华为专有和保密信息版权所有 © 华为技术有限公司464

S1720&S2700&S5700&S6720 系列以太网交换机配置指南-安全14 URPF配置步骤2验证配置结果在接口GE0/0/1 上执行命令display this查看URPF配置。[Switch-GigabitEthernet0/0/1] display this#interface GigabitEthernet0/0/1 urpf strict allow-default-route#return

----结束配置文件Switch的配置文件#sysname Switch#interface GigabitEthernet0/0/1 urpf strict allow-default-route#return

文档版本 04 (2017-11-20)华为专有和保密信息版权所有 © 华为技术有限公司465