cancel
Showing results for 
Search instead for 
Did you mean: 
cancel
Announcements

Welcome to the Cisco Small Business Community

Have a question? Click on a topic board below to get started in the community.
Get the latest news in this issue of the Cisco Small Business Monthly Newsletter

1622
Views
0
Helpful
2
Replies
Highlighted
Beginner

uRPF - Unicast Reverse Path Forwarding

Hallo zusammen,


ich wollte fragen ob uRPF in einer Inter-VLAN Routing Umgebung mit ca. 1200 Clients sinnvoll wäre

um die Collapsed Core Umgebung vor SYN Floods zu schützen ?

Wichtig ! Es handelts sich hier ausschließlich um das Thema uRPF. Mich interessieren keine Optionalen

Möglichkeiten, Alterantiven oder Methoden die ich stattdessen anwenden könnte oder sollte.


Im Netz stehen hauptsächlich Praktiken im WAN-Edge.

Fallbeispiel : Host ist wovon auch immer befallen sendet durch IP Spoofing aus einem fiktivem Netz SYNs

an die Core Routing Instanz, uRPF greift prüft und dropped die ankommenden Packete da keine Rückroute zu

diesem fiktivem Netz verfügbar ist. Eine Session wird nicht gequed und wartet sendet kein SYN-ACK.

Ist Vorstellung korrekt oder habe ich etwas ausgelassen ?

2 REPLIES 2
Highlighted
Beginner

Re: uRPF - Unicast Reverse Path Forwarding

Sehr geehrter Alexander Ries,

um diese Art der Konfiguration durchzufuehren benoetigen Sie ein IOS faehiges Geraet. Siehe auch:

http://www.cisco.com/web/about/security/intelligence/unicast-rpf.html

Gruss,

Friedrich Scharz

Highlighted
Beginner

Re: uRPF - Unicast Reverse Path Forwarding

Hallo Danke für die Antwort,

die Art der Konfiguration von Punt & Pass Modes sowie das Verhalten mit Strict und Loose Check Methoden

sind mir bestens bekannt.

Mich interessiert der effektive nutzen von uRPF in einem Enterprise Network.

uRPF hat definitv eine daseinberechtigung in einem Enterprise Network.

Dies hat sich durch ein selbst Studium mit einem Cat6500 rauskristallisiert, doch die Checkmethoden und die Modis, sind sehr stark von der Umgebung abhängig und sollten nicht willkürlich blindlinks in die CLI eingetippt werden.

Viel Erfolg !

CreatePlease to create content
This widget could not be displayed.