Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

示例:配置单播 RPF(在路由器上)

此示例说明如何在客户边缘接口上配置单播 RPF 以过滤传入流量,从而帮助保护入口接口免受拒绝服务 (DoS) 和分布式拒绝服务 (DDoS) 攻击。

要求

除了设备初始化之外,不需要特殊配置。

概述

在此示例中,设备 A 使用 OSPF 为连接到设备 D 的链路通告前缀。设备 B 配置了单播 RPF。在设备 B 和设备 C 之间的链路以及设备 A 和设备 C 之间的链路上启用 OSPF,但在设备 A 和设备 B 之间的链路上未启用。因此,设备 B 通过设备 C 了解到设备 D 的路由。

如果在使用 DHCP 或 BOOTP 的环境中使用入口过滤,则应确保允许源地址为 0.0.0.0 且目标地址为 255.255.255.255 的数据包在适当时到达路由器中的中继代理。

此示例还包括一个故障筛选器。当数据包未通过单播 RPF 检查时,将评估故障过滤器以确定是否仍应接受该数据包。此示例中的故障过滤器允许设备 B 的接口接受动态主机配置协议 (DHCP) 数据包。过滤器接受源地址为 0.0.0.0、目标地址为 255.255.255.255 的所有数据包。

拓扑学

图 1 显示了示例网络。

图 1:单播 RPF 样本到池 Unicast RPF Sample Topoolgy

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,然后将命令复制并粘贴到层次结构级别的 CLI [edit] 中。

设备 A

设备 B

设备 C

设备 D

设备 E

配置设备 A

分步过程

以下示例要求您在配置层次结构中导航各个级别。有关导航 CLI 的信息,请参阅 在配置模式下使用 CLI 编辑器

要配置设备 A:

  1. 配置接口。

  2. 配置 OSPF。

  3. 配置路由策略。

  4. 如果已完成设备 A 的配置,请提交配置。

配置设备 B

分步过程

以下示例要求您在配置层次结构中导航各个级别。有关导航 CLI 的信息,请参阅 在配置模式下使用 CLI 编辑器

要配置设备 B:

  1. 配置接口。

  2. 配置 OSPF。

  3. 配置单播 RPF,并应用可选的故障过滤器。

  4. (可选)配置在数据包未通过 RPF 检查时进行评估的故障过滤器。

  5. (可选)仅配置要在 RPF 检查中考虑的活动路径。

    这是默认行为。

  6. 如果已完成设备 B 的配置,请提交配置。

结果

通过发出 show firewallshow interfacesshow routing-optionsshow protocolsshow policy-options 命令来确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

设备 A

设备 B

输入设备 C、设备 D 和设备 E 上的配置,如 CLI 快速配置中所示。

验证

确认配置工作正常。

确认已启用单播 RPF

目的

确保设备 B 上的接口已启用单播 RPF。

行动

意义

uRPF 标志确认此接口上已启用单播 RPF。

确认源地址已被阻止

目的

使用该 ping 命令可确保设备 B 阻止来自意外源地址的流量。

行动

在设备 A 中,使用 10.0.0.17 作为源地址对设备 B 的接口执行 ping 操作。

意义

正如预期的那样,ping 操作失败。

确认源地址已解锁

目的

使用该 ping 命令可确保设备 B 在停用 RPF 检查时不会阻止流量。

行动

  1. 停用其中一个接口上的 RPF 检查。

  2. 重新运行 ping 操作。

意义

正如预期的那样,ping 操作成功。