为 VPN 启用单播反向路径转发检查

IP 欺骗可能发生在拒绝服务 （DoS） 攻击期间。IP 欺骗允许入侵者将 IP 数据包作为真实流量传递到目标，而实际上数据包实际上并不是针对目标的。这种类型的欺骗是有害的，因为它会消耗目标的资源。

单播反向路径转发 （RPF） 检查是一种减少转发可能欺骗地址的 IP 数据包的工具。单播 RPF 检查对 IP 数据包的源地址执行路由表查找，并检查传入接口。路由器确定数据包是否从发送方用于到达目标的路径到达。如果数据包来自有效路径，路由器会将数据包转发到目标地址。如果数据包不是来自有效路径，路由器将丢弃该数据包。IPv4 和 IPv6 协议家族以及虚拟专用网络 （VPN） 地址族支持单播 RPF。您还可以在 VPN 路由实例中启用单播 RPF。

要启用单播 RPF 检查，请包含以下 unicast-reverse-path 语句：

有关可在其中配置此语句的层次结构级别的列表，请参阅此语句的语句摘要部分。

要在单播 RPF 检查期间仅考虑活动路径，请包含该 active-paths 选项。要在单播 RPF 检查期间考虑所有可行路径，请包括该 feasible-paths 选项。

有关如何配置语句 unicast-reverse-path 的详细信息，请参阅 示例：配置单播 RPF（在路由器上） 和。