uRPF测试

1.测试拓扑

 
2.基本配置

R1:
interface FastEthernet0/0
 ip address 202.100.1.1 255.255.255.0
 no shut
!
interface FastEthernet0/1
 ip address 192.168.1.1 255.255.255.0
 no shut
!
ip route 0.0.0.0 0.0.0.0 202.100.1.3
ip route 192.168.0.0 255.255.0.0 192.168.1.2

R2：
interface Loopback0
 ip address 192.168.2.2 255.255.255.0
!
interface Loopback1
 ip address 2.2.2.2 255.255.255.0
!
interface FastEthernet0/0
 ip address 192.168.1.2 255.255.255.0
 no shut
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1

R3：
interface Loopback0
 ip address 192.168.2.2 255.255.255.0
!
interface Loopback1
 ip address 3.3.3.3 255.255.255.0
!
interface FastEthernet0/0
 ip address 202.100.1.3 255.255.255.0
 no shut
!
ip route 0.0.0.0 0.0.0.0 202.100.1.1

3.uRPF的宽松模式
A.确认IP CEF打开
B.如下配置，因为R1有到192.168.0.0的路由，所以R3#ping 192.168.1.2 source 192.168.2.2，在R2上debug ip icmp能看到包。
interface FastEthernet0/0
 ip verify unicast source reachable-via any
但是,R3#ping 192.168.1.2 source 3.3.3.3，无法ping通，因为R1上没有去往3.3.3.3的路由
C.如果允许默认路由的话，,R3#ping 192.168.1.2 source 3.3.3.3，能够通
R1(config)#int f0/0
 R1(config-if)#ip verify unicast source reachable-via any allow-default
D.如果希望自己能ping通自己，需要添加 allow-self-ping关键字

4.uRPF的严谨模式
A.如果采用严谨模式，因为192.168.0.0/16网段地址接口在f0/0,所以R3#ping 192.168.1.2 source 192.168.2.2，在R2上debug ip icmp抓不到包。
interface FastEthernet0/0
 ip verify unicast source reachable-via rx allow-default allow-self-ping
通过上面配置可以防止来做公网，且源地址为内网地址的数据包的攻击，
另一方面，R2#ping 3.3.3.3 source 2.2.2.2，数据包虽然能到达R3，但是返回来时被R1拒绝了，因为R1没有去往2.2.2.2的路由。

如果R1上面有到内网所有网段的路由，那么通过如下方式可以禁止内网伪造数据包出公网，从而避免充当肉鸡和堵塞互联网出口：
R1(config)#int f0/1
R1(config-if)#ip verify unicast source reachable-via rx  allow-self-ping
 

如下链接为uRPF的介绍：

http://wenku.baidu.com/view/1f688c3383c4bb4cf7ecd1c2.html