URPF技术介绍

目录一、迈普路由器产品系列 (6)1MP8800系列万兆核心路由器 (6)1MyPower S11800系列数据中心级核心交换机........ 错误!未定义书签。

2MyPower S8900系列高性能电信级交换机........... 错误!未定义书签。

3MyPower S6800系列万兆核心路由交换机........... 错误!未定义书签。

4MyPower S6600系列万兆汇聚路由交换机........... 错误!未定义书签。

5MyPower S5800系列数据中心级接入交换机......... 错误!未定义书签。

6MyPower S4320系列增强型千兆汇聚路由交换机..... 错误!未定义书签。

7MyPower S4300系列增强型千兆汇聚路由交换机..... 错误!未定义书签。

8MyPower S4220系列全千兆汇聚路由交换机......... 错误!未定义书签。

18MyPower S2000系列网管型交换机............. 错误!未定义书签。

三、迈普安全产品系列.............................. 错误!未定义书签。

1MPSec MSG4000-X1安全网关...................... 错误!未定义书签。

2MPSec MSG4000-G6安全网关...................... 错误!未定义书签。

3MPSec MSG4000-G4安全网关...................... 错误!未定义书签。

4MPSec MSG4000-G2安全网关...................... 错误!未定义书签。

5MPSec MSG4000-G1安全网关...................... 错误!未定义书签。

6MPSec MSG4000-F6安全网关...................... 错误!未定义书签。

6迈普智能3G综合业务管理平台................... 错误!未定义书签。

第一章技术解决方案1.1核心交换机1、基于IRF2（第二代智能弹性架构）技术的虚拟化架构H3C S7600(X)系列交换机支持IRF2（第二代智能弹性架构）技术，在扩展性、可靠性、整体架构和可用性方面具有强大的优势，主要体现在四个方面：扩展性：IRF技术允许交换机利用互联电缆实现多台设备的扩展；具有即插即用、单一IP管理，同步升级的优点，同时大大降低系统扩展的成本。

可靠性：通过专利的路由热备份技术，在整个IRF组内实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发，极大的增强了IRF组的可靠性和高性能，同时消除了单点故障，避免了业务中断。

分布性：通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率。

可用性：通过标准的万兆以太网接口实现智能弹性架构，可以根据需求分配业务带宽和系统连接带宽，合理分配本地流量与上行流量；不仅可以实现机架内、跨机架，甚至跨区域的远距离智能弹性架构。

2、完备的二层特性大容量MAC表项；4K VLAN支持，灵活的QinQ能力；完全的生成树特性支持；端口聚合/端口镜像/广播风暴抑制。

完善的二层特性保证设备在汇聚层满足用户的功能需求。

3、强大的三层功能大容量三层表项；完备的路由协议支持；大容量组播支持。

通过超大容量转发表项的提供, S7600(X)可以支持大规模城域网的核心、汇聚层应用，并能对二层、三层以及MPLS应用提供充足的表项支持。

4、丰富的QoS、ACL特性S7600(X)提供VLAN ACL、Egress ACL等增强的ACL功能，为复杂的安全访问管理和控制提供了丰富的资源在QoS方面，S7600(X)提供完善的Diff-Serv/QoS支持。

支持基于报文流分类结果进行优先级重标记或速率限制，支持双向的双速三色和单速双色带宽监管功能、支持WRED和尾丢弃的拥塞控制方法、支持SP、WRR、WFQ队列调度算法、支持802.1P、DSCP、EXP的优先级映射和重标记，支持基于端口/端口队列输出流整形等功能，并提供了基于用户、业务和端口三个层次的优先级队列调度能力，为城域网话音、数据、视频以及企业专网等多种业务综合承载的服务质量保证提供了有效的保证通过强大的QoS能力，S7600(X)在运营商城域网中对不同业务类型提供区分的服务质量保证，并为数目繁多的个人和企业用户提供更精细的基于业务的带宽控制。

数通安全：不是针对非法用户，针对合法用户的非法操作接入层安全，针对数据包网络层的安全加密协议IPv4环境中，IPsec协议单包攻击防范：漏洞扫描攻击：利用ICMP报文可以应答，攻击者会向网络中可能存在的IP地址发送请求消息，通过接收到的应答报文来确定网络中这些主机开启了哪些应用，使用了哪些IP地址，为后续攻击做准备畸形报文攻击sumful攻击：攻击者发送源IP为目标服务器、目的地址、子网广播地址，主机收到之后，全部向服务器回包，卡死服务器死亡之ping：缓存1000字节，发1001字节单包攻击属于拒绝服务攻击的一种，单包攻击分类：扫描探测攻击：扫描型攻击是一种潜在的攻击行为，并不具备直接的破坏行为，通常是攻击者发动真正攻击前的网络探测行为。

如IP地址扫描攻击、端口扫描攻击畸形报文攻击：畸形报文攻击通常指攻击者发送大量有缺陷的报文，从而造成主机或服务器在处理这类报文时系统崩溃。

如LAND攻击，Smurf攻击特殊控制报文攻击：特殊控制报文攻击通常使用正常的报文对系统或网络进行攻击，通常会导致系统崩溃、网络中断，或者用于刺探网络结构。

如超大ICMP报文攻击、ICMP不可达报文攻击LAND攻击：攻击者发送一个源目IP相同的tcp请求，让服务器收到之后建立大量的TCP连接，占满内存LAND攻击防范原理：启用畸形报文攻击防范后，设备采用检测TCP SYN报文的源地址和目的地址的方法来避免LAND攻击。

如果TCP SYN报文中的源地址和目的地址一致，则认为是畸形报文攻击，丢弃该报文配置：启用畸形报文攻击防范功能（系统视图）：anti-attack abnormal enable使能所有的攻击防范功能（系统视图）：anti-attack enable泛洪攻击防范：泛洪攻击也是拒绝服务攻击的一种例：TCP SYN泛洪攻击TCP SYN攻击原理：TCP SYN攻击利用了TCP三次握手的漏洞。

在TCP的3次握手期间，当接收端收到来自发送端的初始SYN报文时，向发送端返回一个SYN+ACK报文。

什么是单播反向路径转发URPF1 背景单播反向路径转发（Unicast Reverse Path Forwarding），是网络设备检查数据包源地址合法性的一种方法。

其在FIB表中查找该源地址是否与数据包的来源接口相匹配，如果没有匹配表项将丢弃该数据包，从而起到预防IP欺骗，特别是针对伪造IP源地址的拒绝服务（DoS）攻击非常有效。

2 URPF应用环境简介DoS（Denial of Service）攻击是一种阻止连接服务的网络攻击。

DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

2.1 TCP泛洪图1 TCP泛洪攻击案例攻击的原理是向目标设备发送大量伪装连接的请求包，这些请求包的发起地址设置为目标不可到达的地址，这样对被攻击对象的第二次握手没有主机响应，造成被攻击对象主机内部存在大量的半开连接，以至于新的正常连接不能进入从而造成服务的停顿甚至死机。

2.2 SMURF攻击SMURF攻击是一种源地址欺骗攻击，攻击者假冒被攻击对象的IP地址向设备发送大量的广播ICMP echo请求报文。

因为每个包的目标IP地址都是网络的广播地址，所以设备会把ICMP echo请求报文以广播形式发给网络上的所有主机。

如果有大量主机，那么这种广播就会产生大量的ICMP echo请求及响应流量。

而且在发送ICMP echo请求数据包时，使用了假冒的源IP地址，所以攻击造成的ICMP流量不仅会阻塞网络，而且会产生攻击流量。

图2 SMURF攻击案例图如图2，Attacker仿冒Router B的地址对Router C进行攻击，如果Router C上的网络管理员检测到攻击，将会配置防火墙规则，将所有来自Router B的报文过滤，导致无辜的Router B 无法访问Router C。

此时，被攻击系统的管理员反而成为黑客的帮凶，使一些合法用户失去合法访问的权限。

13 URPF配置关于本章配置URPF可以用来防止基于源地址欺骗的网络攻击行为。

13.1 URPF概述URPF是单播逆向路径转发的简称。

13.2 原理描述介绍URPF的实现原理。

13.3 应用场景介绍URPF的应用场景。

13.4 配置注意事项介绍配置URPF的注意事项。

13.5 缺省配置介绍URPF缺省配置，实际应用的配置可以基于缺省配置进行修改。

13.6 配置URPF介绍配置URPF具体命令和步骤。

13.7 配置举例通过示例介绍如何配置URPF。

配置示例中包括组网需求、配置思路等。

13.1 URPF概述URPF是单播逆向路径转发的简称。

拒绝服务DoS（Denial of Service）攻击是一种阻止连接服务的网络攻击。

DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

URPF（Unicast Reverse Path Forwarding）在FIB（Forwarding Information Base）表中查找数据包的IP（Internet Protocol）源地址是否与数据包的源接口相匹配，如果没有匹配表项将丢弃该数据包，从而预防IP欺骗，特别是针对伪造IP源地址的DoS攻击非常有效。

图13-1 URPF原理如图13-1所示，在SwitchA上伪造源地址为2.1.1.1的报文向SwitchB发起请求，SwitchB响应请求时将向真正的“2.1.1.1”即SwitchC发送报文。

这种非法报文对SwitchB和SwitchC都造成了攻击。

如果在SwitchB上启用URPF严格检查，则SwitchB在收到源地址为2.1.1.1的报文时，URPF检查到以此报文源地址对应的接口与收到该报文的接口不匹配，报文会被丢弃。

13.2 原理描述介绍URPF的实现原理。

工作模式在复杂的网络环境中应用URPF时，会遇到路由不对称的情况，即对端设备记录的路由路径不一样，此时使能URPF的设备可能丢弃合法报文，造成设备不能正确转发。

目录第1章 IP地址配置..................................................................................................................1-11.1 IP地址介绍.........................................................................................................................1-11.2 IP地址的配置......................................................................................................................1-41.2.1 配置接口IP地址.......................................................................................................1-41.2.2 配置接口借用IP地址（IP Address Unnumbered）.................................................1-61.2.3 IP地址显示和调试....................................................................................................1-71.2.4 IP Address Unnumbered显示和调试.......................................................................1-71.2.5 IP地址配置举例.......................................................................................................1-8第2章 IP应用配置..................................................................................................................2-12.1 地址解析协议（ARP）的配置............................................................................................2-12.1.1 动态ARP简介...........................................................................................................2-12.1.2 静态ARP简介...........................................................................................................2-12.1.3 静态ARP的配置.......................................................................................................2-12.1.4 使能/关闭ARP表项的检查功能................................................................................2-22.1.5 使能/关闭支持自然网段的ARP请求.........................................................................2-22.1.6 代理ARP的配置.......................................................................................................2-22.1.7 免费ARP的配置.......................................................................................................2-42.1.8 ARP显示和调试.......................................................................................................2-52.2 域名解析（DNS）的配置...................................................................................................2-52.2.1 域名解析简介...........................................................................................................2-52.2.2 静态域名解析的配置................................................................................................2-62.2.3 域名解析表显示和调试............................................................................................2-62.3 DNS Client配置..................................................................................................................2-62.3.1 DNS Client的配置....................................................................................................2-72.3.2 DNS Client的显示和调试.........................................................................................2-92.3.3 使用DNS进行域名解析典型配置举例....................................................................2-102.3.4 故障诊断与排除.....................................................................................................2-112.4 DNS Proxy配置................................................................................................................2-112.4.1 DNS Proxy简介.....................................................................................................2-112.4.2 DNS Proxy的配置..................................................................................................2-122.4.3 DNS Proxy典型配置举例.......................................................................................2-122.5 URPF配置........................................................................................................................2-132.5.1 URPF简介.............................................................................................................2-132.5.2 URPF配置.............................................................................................................2-142.5.3 URPF的显示与调试...............................................................................................2-14第3章 UDP HELPER配置......................................................................................................3-13.1 UDP HELPER简介.............................................................................................................3-13.2 UDP HELPER配置.............................................................................................................3-13.2.1 启动/关闭UDP中继转发功能....................................................................................3-13.2.2 配置需要中继转发的UDP端口.................................................................................3-23.2.3 配置广播报文中继转发的目的服务器.......................................................................3-23.3 UDP HELPER的显示和调试..............................................................................................3-3第4章 BOOTP客户端配置.....................................................................................................4-14.1 BOOTP客户端简介............................................................................................................4-14.2 BOOTP客户端配置............................................................................................................4-14.2.1 配置以太网接口通过BOOTP协议获取IP地址..........................................................4-14.3 BOOTP客户端的显示及调试..............................................................................................4-2第5章 DHCP配置..................................................................................................................5-15.1 DHCP简介..........................................................................................................................5-15.1.1 DHCP......................................................................................................................5-15.1.2 DHCP服务器...........................................................................................................5-25.1.3 DHCP Accounting简介............................................................................................5-45.1.4 DHCP服务器支持BIMS option................................................................................5-65.1.5 DHCP服务器支持option 184...................................................................................5-75.1.6 DHCP中继...............................................................................................................5-95.2 DHCP公共配置................................................................................................................5-105.2.1 使能/禁止DHCP服务.............................................................................................5-105.2.2 配置伪DHCP服务器检测功能................................................................................5-105.3 DHCP服务器配置.............................................................................................................5-115.3.1 配置接口工作在DHCP服务器模式.........................................................................5-125.3.2 创建DHCP全局地址池...........................................................................................5-135.3.3 配置DHCP地址池的地址分配................................................................................5-135.3.4 配置DHCP地址池中不参与自动分配的IP地址.......................................................5-155.3.5 配置DHCP地址池的IP地址租用有效期限..............................................................5-155.3.6 配置DHCP客户端的域名.......................................................................................5-175.3.7 配置DHCP客户端的DNS服务器的IP地址..............................................................5-185.3.8 配置DHCP客户端的NetBIOS服务器的IP地址.......................................................5-185.3.9 配置DHCP客户端的NetBIOS节点类型..................................................................5-195.3.10 配置DHCP自定义选项.........................................................................................5-205.3.11 配置DHCP客户端的出口网关..............................................................................5-215.3.12 配置DHCP服务器的ping包发送...........................................................................5-215.3.13 配置DHCP服务器计费.........................................................................................5-225.3.14 DHCP服务器支持BIMS option配置.....................................................................5-235.3.15 配置DHCP服务器支持option184.........................................................................5-245.3.16 清除DHCP相关信息............................................................................................5-275.4 DHCP客户端配置.............................................................................................................5-275.5 DHCP中继配置................................................................................................................5-285.5.1 配置接口工作在DHCP中继模式............................................................................5-285.5.2 配置DHCP中继指定的外部服务器地址..................................................................5-295.5.3 通过DHCP中继配置DHCP服务器负载分担...........................................................5-305.5.4 通过DHCP中继释放客户端的IP地址.....................................................................5-305.5.5 清除DHCP中继的统计信息....................................................................................5-315.6 DHCP显示和调试.............................................................................................................5-315.7 DHCP典型配置举例.........................................................................................................5-335.7.1 DHCP服务器典型配置举例....................................................................................5-335.7.2 DHCP中继典型配置举例.......................................................................................5-355.7.3 DHCP客户端典型配置举例....................................................................................5-365.7.4 DHCP Accounting配置举例...................................................................................5-385.7.5 3COM VCX请求option 184组网案例....................................................................5-39第6章 IP性能配置..................................................................................................................6-16.1 配置接口最大传输单元（MTU）........................................................................................6-16.2 配置TCP报文分片..............................................................................................................6-16.3 配置TCP属性.....................................................................................................................6-16.4 配置ICMP发送重定向报文.................................................................................................6-26.5 IP性能显示和调试..............................................................................................................6-36.6 快速转发配置.....................................................................................................................6-46.6.1 快速转发简介...........................................................................................................6-46.6.2 快速转发配置...........................................................................................................6-56.6.3 快速转发的显示和调试............................................................................................6-66.7 IP性能配置排错..................................................................................................................6-6第7章 IP单播策略路由配置....................................................................................................7-17.1 IP单播策略路由简介...........................................................................................................7-17.2 IP单播策略路由的配置.......................................................................................................7-27.2.1 创建策略..................................................................................................................7-27.2.2 设置Route-policy的if-match子句.............................................................................7-37.2.3 设置Route-policy的apply子句..................................................................................7-37.2.4 使能/禁止本地策略路由...........................................................................................7-47.2.5 使能/禁止接口策略路由...........................................................................................7-47.3 IP单播策略路由显示和调试................................................................................................7-47.4 IP单播策略路由典型配置举例............................................................................................7-57.4.1 配置基于源地址的策略路由.....................................................................................7-57.4.2 配置基于报文大小的策略路由.................................................................................7-7第1章 IP 地址配置1.1 IP 地址介绍 所谓IP 地址，是指分配给连接在Internet 上的主机的一个唯一的32比特标识符。

一、技术需求描述
1.新疆分行
2.新疆网点
3.市内网点
4.空港数据中心
二、主要设备详细参数见附件: 附件:
11.空港VPN防火墙（2台）：
12.新疆和绍兴VPN防火墙（2台）
13.外联防火墙（4台）
14.接入交换机6台（数据中心补充采购）
15.接入交换机---市内网点10台（数据中心补充采购）
16.H3C路由器板卡2块，用于利旧设备H3CMSR5660扩展千兆电口。

型号：RT-HMIM-4GEE
17.卓易达网管软件
目前带外管理网络设备数量有限，需要购买许可增加可管理设备数量。

18.锐捷SMP组件
用于员工无感知认证。

19．机柜，网线等辅料
图腾标准42U网络机柜2个，红色2米超五类网线10箱，红色3米超五类网线4箱，蓝色2米超五类网线10箱，蓝色3米超五类网线4箱，黑色3米超五类网线8箱。

20.光电协议转换器10个
FC接口转RJ-45接口，千兆网络电口，支持波长1310nm/1550nm，支持自动全双工半双工转换。

21.H3C IMC网管平台服务健康管理组件
SWP-IMC7-SHM：增加网管平台监控MSTP线路功能，可以出具线路质量，设备运行状态等报表。

迈普路由器产品系列...................................................1 MP8800系列万兆核心路由器..........................................2 MP7500全冗余ATCA核心路由器.....................................3 MP3800系列开放式全业务汇聚路由器.................................4 MP2900系列开放式高速接入路由器....................................5 MP2824系列开放式全业务接入路由器.................................6 MP2800系列增强型宽窄带一体化智能路由器...........................7 MP1800系列3G专业级路由器 .......................................8 MP1800-20 3G无线路由器...........................................9 MP IMR800 3G无线路由器..........................................._ 迈普交换机产品系列 ..................................................1 MyPower S11800系列数据中心级核心交换机...........................2 MyPower S8900系列高性能电信级交换机...............................3 MyPower S6800系列万兆核心路由交换机...............................4 MyPower S6600系列万兆汇聚路由交换机...............................5 MyPower S5800系列数据中心级接入交换机............................6 MyPower S4320系列增强型千兆汇聚路由交换机........................7 MyPower S4300系列增强型千兆汇聚路由交换机........................8 MyPower S4220系列全千兆汇聚路由交换机.............................9 MyPower S4200系列千兆汇聚路由交换机...............................10 MyPower S4100系列电信级智能三层交换机........................11 MyPower S4000系列千兆汇聚路由交换机..........................12 MyPower S3320系列千兆智能型网管交换机........................13 MyPower S3300系列千兆智能网管型交换机........................14 MyPower S3220系列千兆智能网管型交换机........................15 MyPower S3200系列千兆智能网管型交换机........................16 MyPower S3120系列百兆智能网管型交换机........................17 MyPower S3100系列千兆智能网管型交换机.........................18 MyPower S2000系列网管型交换机.................................三、迈普安全产品系列.....................................................1 MPSec MSG4000-X1 安全网关.........................................2 MPSec MSG4000-G6 安全网关.........................................3 MPSec MSG4000-G4 安全网关........................................4 MPSec MSG4000-G2 安全网关.........................................5 MPSec MSG4000-G1 安全网关........................................6 MPSec MSG4000-F6安全网关.........................................7 MPSec VPN3000 系列VPN 网关.......................................8 电子政务外网IPSec VPN网关..........................................9 MPSec ISG1000系列网关.............................................四、迈普应用与服务产品系列..............................................1 Maipu Mico 一体化信息安防系统.......................................2 终端信息安全管理系统.................................................3 MPSec CMS证书管理服务器...........................................4 Maipu AAS迈普接入认证服务器........................................5 Maipu Portal 服务器...................................................6 迈普智能3G综合业务管理平台.........................................7 MS8000系列智能传媒服务器...........................................8 MT1000系列媒体网关.................................................9 迈普网络自动化运维系统..............................................10 Maipu Masterplan迈普统一网络管理平台............................11 Maipu DeviceMaster迈普路由交换设备管理系统.....................12 迈普管理支撑系统.................................................五、迈普无线网络产品系列.................................................1 Masterplan迈普无线有线一体化网管软件...............................2 MyPower WA2000 11n 系列智能AP ................................................................3 MyPower WA2000同频系列无线智能AP ..........................................................4 MyPower WNC6000智能无线控制器....................................5 MyPower WNC6000同频智能无线控制器................................6 MyPower WA1000 11n 系列WLAN CPE 终端 ...........................六、迈普统一通信产品系列 ...............................................1 MyPower VG 6000系列媒体网关......................................2 MyPower VG 2000系列媒体网关......................................3 MyPower VG2000-X系列媒体网关......................................4 MyPower VG 800系列媒体网关 .......................................5 MyPower VG A600系列媒体网关.......................................6 MyPower VEP600系列IP可视电话.....................................7 MyPower VEP310 系列IP 话机........................................8 MyPower VEP300 系列IP 话机........................................9 MyPower UCA个人通信助手...........................................10 MyPower VC8100 IP 通信服务器....................................11 MyPower IP电话会议系统.........................................12 MyPower VC8200协同视频服务器.................................13 MyPower MCC 融信呼.............................................14 迈普MyPower ICR录音软件 .......................................迈普路由器产品系列1 MP880C系列万兆核心路由器1.1 产品概述MP8800系列路由器是迈普通信技术股份有限公司自主研发的，全球第一款采用众核技术的路由器，是基于对行业用户业务应用的充分调研和深刻理解而推出的一款跨时代的万兆级高端骨干核心路由器。