1、使用 ip verfy unicast reverse-path 收集接口呼吁 这个功能搜检每一个经由路由器的数据包。在路由器的CEF(Cisco ExpressForwarding)表该数据包所达到收集接口的所有路由项中,如不美观没有该数据包源IP地址的路由,路由器将丢弃该数据包。例如,路由寡领受到一个源IP地址为1.2.3.4的数据包,如不美观CEF路由表中没有为IP地址1.2.3.4供给任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它。
' p' k! Q) }: C 单一地址反向传输路径转发(Unicast Reverse PathForwarding)在ISP(局端)实现阻止SMURF抨击袭击和其它基于IP地址伪装的抨击袭击。这能够呵护收集和客户免受来自互联网其它处所的侵扰。使用Unicast RPF需要打开路由器的"CEF swithing"或"CEF distributedswitching"选项。不需要将输入接口设置装备摆设为CEF交流(switching)。只要该路由器打开了CEF功能,所有自力的收集接口都可以设置装备摆设为其它交流(switching)模式。RPF(反向传输路径转发)属于在一个收集接口或子接口上激活的输入端功能,措置路由寡领受的数据包。; q9 p$ G- H& L
在路由器上打开CEF功能长短常主要的,因为RPF必需依靠CEF.Unicast RPF包含在撑持CEF的Cisco IOS 12.0及以上版本中,但不撑持Cisco IOS 11.2或11.3版本。
$ |+ P$ m( g2 V 2、使用访谒节制列表(ACL)过滤RFC 1918中列出的所有地址
/ C" D3 Q0 K2 l" A; L 参考以下例子:
3 ?* M# J! C+ Z8 } interface xy
# J& S* j& `0 J* H2 E/ N ip access-group 101 in
5 z% W+ U, Q. s" j# O' \9 y& C3 i0 L access-list 101 deny ip 10.0.0.0 0.255.255.255 any
$ A: p A0 A% N( n7 c: q) ?8 X access-list 101 deny ip 192.168.0.0 0.0.255.255 any
9 G( q) b$ ~2 t; `% R5 D access-list 101 deny ip 172.16.0.0 0.15.255.255 any; b- L R* _/ t: l
access-list 101 permit ip any any
7 y, g5 F5 m' P6 h$ A 3、参照RFC 2267,使用访谒节制列表(ACL)过滤进出报文
* d! b( L4 |) m4 q$ {% E. [* @: z 参考以下例子:
; ~! g! m% Z8 B -- ISP端鸿沟路由器 -- 客户端鸿沟路由器 --
% Y# V) ~, R( s$ M ISP端鸿沟路由器应该只接管源地址属于客户端收集的通信,而客户端拓馇则应该只接管源地址未被客户端收集过滤的通信。以下是ISP端鸿沟路由器的访谒节制列表(ACL)例子:" W, j6 i/ m: R. k' o) j' I
access-list 190 permit ip any3 [9 l+ o+ D; A4 k y, r, t
access-list 190 deny ip any any [log]
( e, x& M3 n' F2 E& i6 e interface* t6 y( S% G2 d
ip access-group 190 in
* f2 B) b8 C- D) P; A 以下是客户端鸿沟路由器的ACL例子:
: ]4 i+ K$ C4 F# f T access-list 187 deny ip any: C9 F) K8 b/ q6 S* u# Z' I
access-list 187 permit ip any any' d0 i7 x+ i' z2 ^% x
access-list 188 permit ip any! n( h+ f+ c% M! G/ K3 a
access-list 188 deny ip any any
3 |3 Z2 @! K( w0 n$ ^ interface
8 L6 U; I/ g; f; e ip access-group 187 in
* C9 I' q! ` |+ O, `& \6 x ip access-group 188 out
1 h/ m; Y0 z" U# V
/ l, b. F: L3 u: _1 r9 o 如不美观打开了CEF功能,经由过程使用单一地址反向路径转发(Unicast RPF),能够充实地缩短访谒节制列表(ACL)的长度以提高路由器机能。为了撑持Unicast RPF,只需在路由器完全打开CEF;打开这个功能的收集接口并不需若是CEF交流接口。 |