uRPF測試

1.測試拓撲

2.基本配置

R1:

interface FastEthernet0/0

 ip address 202.100.1.1 255.255.255.0

 no shut

!

interface FastEthernet0/1

 ip address 192.168.1.1 255.255.255.0

ip route 0.0.0.0 0.0.0.0 202.100.1.3

ip route 192.168.0.0 255.255.0.0 192.168.1.2

R2：

interface Loopback0

 ip address 192.168.2.2 255.255.255.0

interface Loopback1

 ip address 2.2.2.2 255.255.255.0

 ip address 192.168.1.2 255.255.255.0

ip route 0.0.0.0 0.0.0.0 192.168.1.1

R3：

 ip address 3.3.3.3 255.255.255.0

 ip address 202.100.1.3 255.255.255.0

ip route 0.0.0.0 0.0.0.0 202.100.1.1

3.uRPF的寬松模式

A.确認IP CEF打開

B.如下配置，因為R1有到192.168.0.0的路由，是以R3#ping 192.168.1.2 source 192.168.2.2，在R2上debug ip icmp能看到包。

 ip verify unicast source reachable-via any

但是,R3#ping 192.168.1.2 source 3.3.3.3，無法ping通，因為R1上沒有去往3.3.3.3的路由

C.如果允許預設路由的話，,R3#ping 192.168.1.2 source 3.3.3.3，能夠通

R1(config)#int f0/0

 R1(config-if)#ip verify unicast source reachable-via any allow-default 

D.如果希望自己能ping通自己，需要添加 allow-self-ping關鍵字

4.uRPF的嚴謹模式

A.如果采用嚴謹模式，因為192.168.0.0/16網段位址接口在f0/0,是以R3#ping 192.168.1.2 source 192.168.2.2，在R2上debug ip icmp抓不到包。

 ip verify unicast source reachable-via rx allow-default allow-self-ping

通過上面配置可以防止來做公網，且源位址為内網位址的資料包的攻擊，

另一方面，R2#ping 3.3.3.3 source 2.2.2.2，資料包雖然能到達R3，但是傳回來時被R1拒絕了，因為R1沒有去往2.2.2.2的路由。

如果R1上面有到内網所有網段的路由，那麼通過如下方式可以禁止内網僞造資料包出公網，進而避免充當殭屍電腦和堵塞網際網路出口：

R1(config)#int f0/1

R1(config-if)#ip verify unicast source reachable-via rx  allow-self-ping 

本文轉自 碧雲天 51CTO部落格，原文連結：http://blog.51cto.com/333234/1045776，如需轉載請自行聯系原作者