启用PRF防止地址欺骗

245035535 · 发表于 2013-1-11 00:10:00

请问这条命令 “启用PRF防止地址欺骗：
Firewall(config)# ip verify reverse-path interface if_nam ”
怎么解释啊？为什么要使用这条命令？

qq360870025 · 发表于 2013-1-11 07:58:42

防止地址欺骗，ASA使用的是严格模式，当一个数据包过来的时候，它只会查目的地址，当启用URPF后，它会检查源地址是否跟自己路由表中的学习到的接口一致，如果一致则认为数据包是合法的，如果不是则丢弃。

冷温柔 · 发表于 2013-1-11 09:24:24

果断MARK，前十有我必火！

245035535 · 发表于 2013-1-11 09:40:51

qq360870025 发表于 2013-1-11 07:58
防止地址欺骗，ASA使用的是严格模式，当一个数据包过来的时候，它只会查目的地址，当启用URPF后，它会检查源 ...

ASA只查找目的地址？没有RPF时,,,,,,,,

qq360870025 · 发表于 2013-1-11 09:44:57

245035535 发表于 2013-1-11 09:40
ASA只查找目的地址？没有RPF时,,,,,,,,

所有路由器和防火墙交换机都是这么工作的，只看路由表中是否存在目的地址的路由，不查看源地址是否合法

591943733 · 发表于 2013-1-11 10:02:49

落叶000000000 · 发表于 2013-1-11 13:55:44

245035535 · 发表于 2013-1-11 15:00:33

qq360870025 发表于 2013-1-11 09:44
所有路由器和防火墙交换机都是这么工作的，只看路由表中是否存在目的地址的路由，不查看源地址是否合法 ...

那ARP呢？

qq360870025 · 发表于 2013-1-11 17:25:01

245035535 发表于 2013-1-11 15:00
那ARP呢？

ARP没封装三层信息呢，它只是询问关于这个IP的MAC是多少

245035535 · 发表于 2013-1-14 14:40:21

qq360870025 发表于 2013-1-11 17:25
ARP没封装三层信息呢，它只是询问关于这个IP的MAC是多少

好的，谢谢你的回答

账号		自动登录	找回密码
密码			论坛注册

[已解决] 启用PRF防止地址欺骗