核心提示:1,使用IP验证单播反向路径网络接口命令来检查每个数据包通过路由器,在路由器的CEF(Cisco Express forwardi…



1。使用IP验证单播反向路径网络接口命令

此功能检查每一个数据包通过路由器,在路由器的CEF(Cisco Express Forwarding)表,如果数据包到达所有的路由项的网络接口,如果没有路由的数据包的源IP地址,路由器将丢弃该数据包。例如,路由器接收到一个1.2.3.4的源IP地址的包。如果CEF路由表不提供IP地址1.2.3.4任何路由,路由器将丢弃它。

单一地址反向传输路径转发(单播反向路径转发)防止Smurf攻击和基于IP地址伪装在ISP其他攻击(局部变量)。这样可以保护网络和客户从互联网的其他部分的入侵。单播RPF的使用需要打开路由器的CEF交换或CEF分布式交换选项,输入接口是不需要被配置为CEF开关(开关),只要路由器开启CEF功能,所有独立的网络接口,可配置为其它开关(开关)modes.rpf(反向传输路径转发)是一个输入功能,在网络接口或界面活性,处理路由器接收的数据包。

它是在路由器上打开CEF功能很重要因为RPF必须依靠CEF。单播RPF是包含在Cisco IOS 12及以上版本支持CEF,但是不支持Cisco IOS 11.2或11.3版本。

2,使用访问控制列表(ACL)来过滤RFC 1918中列出的所有地址。



请参考以下示例:

接口的XY

IP接入组101

访问列表101否认任何IP 10.0.0.0 0.255.255.255

访问列表101否认任何IP 192.168.0.0 0.0.255.255

访问列表101否认任何IP 172.16.0.0 0.15.255.255

访问列表101允许任何IP

三.参考RFC 2267,使用访问控制列表(ACL)来过滤导入和导出消息。

请参考以下示例:

{ ISP中心}——ISP端边界路由器——客户机边界路由器{客户机网络}

ISP终端边界路由器只应接受属于客户端网络的源地址的通信,而客户端网络只应接受源地址未被客户端网络过滤的通信。下面是ISP端路由器的访问控制列表(ACL)的一个示例。

访问列表190允许IP客户机网络{ }网络掩码}

访问列表190拒绝任何IP {日志}

接口{内部网络接口}网络接口号}

IP接入组190

以下是客户端边界路由器的ACL示例。

访问列表187拒绝IP客户机网络{ }网络掩码}

访问列表187允许任何IP

访问列表188允许IP客户机网络{ }网络掩码}

访问列表188拒绝任何IP

接口{外部网络接口}网络接口号}

IP接入组187

IP访问组188退出

如果CEF功能打开,利用单一地址反向路径转发(Unicast RPF),我们可以缩短访问控制列表(ACL)的长度,提高路由器的性能。为了支持单播RPF,只有CEF是路由器完全打开;网络接口,打开这个功能不需要CEF交换接口。