1  配置uRPF  

1.1 uRPF概述  

1.1.1单播反向路径转发(uRPF)

单播反向路径转发（Unicast Reverse Path Forwarding），是网络设备检查数据包源地址合法性的一种方法。其在FIB表中查找该源地址是否与数据包的来源接口相匹配，如果没有匹配表项将丢弃该数据包，从而起到预防IP欺骗，特别是针对伪造IP源地址的拒绝服务（DoS）攻击非常有效。 

URPF提供两种验证模式，严格(strict)和宽松(loose)。严格模式下源地址必须在路由表中，且报文入口端口必须和路由表中源地址所指向的incoming L3 interface相同。宽松模式仅要求源地址必须在路由表中。

1.2  uRPF配置  

1.2.1全局下 使能uRPF

要使用uRPF功能，必须全局下先开启uRPF检查：

1.2.2 在物理接口配置 uRPF检查模式

在物理端口下可以配置uRPF检查模式(严格strict或者宽松loose)。严格模式下不仅要用报文的源地址查FIB表是否可达，而且要查报文进入的端口是否和FIB表中记录的下一跳端口一致。宽松模式下仅检查报文源地址在FIB表中是否可达。

在配置uRPF检查模式之后还支持默认路由的过滤功能。当设备上配置了缺省路由后，会导致URPF根据FIB表检查源地址时，所有源地址都能查到匹配条目。默认情况下，如果URPF查询FIB得到结果是缺省路由，则按没有查到表项处理，丢弃报文。

注意：

必须全局打开了urpf check，端口下的uRPF模式才能生效。  

在物理接口配置uRPF检查模式，在接口配置态使用下列命令： 

说明：

 开启uncheck-default-route选项，若报文源地址在FIB表中能查到匹配条目，无论该匹配条目是否是默认路由，都认为通过，报文不被丢弃。而默认情况下（不打开uncheck-default-route选项），报文源地址在FIB表中查到匹配条目，若该匹配条目是默认路由，则uRPF检查失败，丢弃该报文。