+设为首页 +添加到收藏夹
详细:
这个特征检查发送到路由器的每一个包.如果一个包的源ip地址在cef tables里面没有回指向这个包到达的接口的路由,则路由器将取消这个包.(注: cef=cisco express forwarding) 【程序编程相关:视频Qos配置案例】
1.使用 "ip verify unicast reverse-path interface" 命令 【推荐阅读:路由上限制/禁止BT下载的设置】
单目标反向路径传送(unicast rpf)设置可以防止针对isp的smurf attack(参见http://www.cnns.net/article/db/75.htm),以及类似的基于伪源地址技术的攻击.这将保护isp的网络与客户.要启动unicast rpf,可以通过在路由器上启动"cef switching"或者"cef distributed switching"的功能来实现.在这里,不需要为"cef switch"配置输入的网络接口.当路由器上的cef特征运行的时候,单个的网络接口能被配置成相应的switching模式.rpf是为路由器上的网络接口与子接口等输入端设计的功能,用于处理从路由器上接收的报文. 【扩展信息:PIX与VPN client的pre-s】
rpf=reverse path forwarding(反向路径转送)注:unicast与 multicast与broadcast相反,是对单一目标的传送方式.
启动cef功能是十分重要的,如果不启动cef,则rpf也不能正常运行.在cisco ios 11.2与11.3的cisco操作系统版本中是不支持的.对于12.0或者以上的版本,只要支持cef,就支持 unicast rpf,包括as5800.所以,在as5800的pstn/isdn的接口上可以配置 unicast rpf的特性.
2.通过access control list(访问控制表)过滤所有的rfc1918地址空间
filter all rfc1918 address space using access control lists. 请参考下面的acl(访问控制表)例子: ... 下一页