Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

在虚拟接口上配置反向路径转发

瞻博网络支持在 Kubernetes 编排的环境中使用云原生 Contrail® 网络™ 22.1 或更高版本在虚拟接口上进行反向路径转发 (RPF)。

概述

单播反向路径转发 (RPF) 通过执行 RPF 检查来验证数据包是否从有效的源地址发送。RPF 检查是一种验证工具,它使用 IP 路由表来验证传入数据包的源 IP 地址是否来自有效路径。RPF 有助于减少转发可能欺骗 IP 地址的 IP 数据包。

当数据包到达接口时,RPF 会对数据包的源 IP 地址执行转发表查找并检查传入接口。传入接口必须与数据包到达的接口匹配。如果接口不匹配,虚拟路由器将丢弃数据包。如果数据包来自有效路径,vRouter 会将数据包转发到目标地址。

可以基于每个虚拟网络启用或禁用源 RPF。默认情况下,RPF 处于禁用状态。

  • RPF 启用

    每当数据包到达接口时,RPF 都会对数据包的源 IP 地址执行检查。如果虚拟路由器未获知路由,则会丢弃所有数据包。接口上仅允许从分配给工作负载的 MAC/IP 地址接收的数据包。

  • RPF 禁用

    接口上接受来自任何源的数据包。不会对传入数据包源 IP 地址执行转发表查找。

在虚拟接口上启用 RPF

下面是用于在虚拟接口上配置 RPF 的命名空间 YAML 文件的示例。要启用 RPF,请将下的 virtualNetworkPropertiesenable变量设置为 rpf