Reenvío de ruta inversa de Unicast - uRPF
Hola, comunidad Huawei enterprise, normalmente, cuando su enrutador recibe paquetes IP de unidifusión, solo le importa una cosa:
¿Cuál es la dirección IP de destino de este paquete IP para que pueda reenviarlo?
Si el paquete IP tiene que ser enrutado, revisará la tabla de enrutamiento para la dirección IP de destino,
Seleccione la interfaz correcta y se reenviará. A tu enrutador realmente no le importa
direcciones IP de origen, ya que no es importante para el envío de decisiones.
Si el paquete IP tiene que ser enrutado, revisará la tabla de enrutamiento para la dirección IP de destino,
Seleccione la interfaz correcta y se reenviará. A tu enrutador realmente no le importa
direcciones IP de origen, ya que no es importante para el envío de decisiones.
Cuando utiliza multidifusión, es muy importante verificar la fuente de los paquetes IP de multidifusión.
tema. En este momento solo estoy hablando de paquetes IP de unidifusión.
uRPF es una característica de seguridad que evita estos ataques espurios. Cada vez que su enrutador reciba
un paquete de IP comprobará si tiene una entrada coincidente en la tabla de enrutamiento para la dirección IP de origen.
Si no coincide, el paquete se descartará. uRPF tiene dos modos:
* Modo estricto
* Modo suelto
El modo estricto significa que el enrutador realizará dos comprobaciones para todos los paquetes entrantes en un determinado
interfaz:
¿Tengo una entrada coincidente para la fuente en la tabla de enrutamiento?
¿Utilizo la misma interfaz para llegar a esta fuente donde recibí este paquete?
Cuando los paquetes IP entrantes pasen ambas verificaciones, se permitirá. De lo contrario será
caído. Esto es perfecto para los protocolos de enrutamiento IGP, ya que utilizan la ruta más corta hacia
Fuente de paquetes IP. La interfaz que utiliza para llegar a la fuente será la misma que la
Interfaz donde recibirás los paquetes.
Modo suelto significa que el enrutador realizará solo una verificación cuando reciba una IP
paquete en una interfaz:
¿Tengo una entrada coincidente para la fuente en la tabla de enrutamiento?
Cuando pasó esta verificación, se permite el paquete. No importa si usamos esta interfaz para
llegar a la fuente o no El modo suelto es útil cuando está conectado a más de un ISP
y usas enrutamiento asimétrico. La única excepción es la interfaz null0, si tiene alguna
fuentes con la interfaz null0 como la interfaz saliente, entonces los paquetes se eliminarán.
Características adicionales
Registro y exenciones: uRPF permite el uso de una lista de acceso para que pueda decidir qué
fuentes que debe verificar y, si es necesario, registrar los paquetes que se eliminan utilizando la lista de acceso
explotación florestal.
Auto-ping: Permita que el enrutador haga ping a sí mismo usando el modo estricto uRPF en la interfaz.
Ruta predeterminada: puede configurar ugPUF para verificar las direcciones IP de origen con una ruta predeterminada
Puede usar esto cuando desee aceptar todos los paquetes de su conexión a Internet mientras
protegiéndose contra paquetes falsificados con una dirección IP de origen desde su interna
red.
¿Conoces más tecnologías emergentes o actualmente utilizadas que no se estén mencionando aquí? Sería bueno que nos comentes abajo y así poder compartir más información del tema.
Cualquier duda, comentario o información adicional que se pueda agregar, será bien recibida.
Saludos!
Maynez