路由器防地址欺骗之ASA的URPF实验

记得在路由器上有一个防止地址欺骗的技术叫urpf。开启它之后路由器会检查包得源地址和目的地址，目的地址用于转发包，而源地址用来和路由器中的路由表匹配，如果不是这个路由器学到的网段，说明是一个在网络中并不存在的网段，涉嫌地址欺骗，就会进行相应的行为。其中有两种方式，一个是源地址只比对自己接口的路由，叫做严格urpf，另一个是比对路由器中所有的路由，叫做宽松的urpf功能。

ASA同样也有这个功能，（其实说白了ASA就是一个定制的路由器，路由器就是一个定制的PC。）你可以开启接口的urpf，但是他只支持严格的urpf，所以开启之前要思考好它所产生的后果。

这里有一个总结：路由器几乎所有接口的命令都是在接口下完成的。ASA的接口上的命令却不一定在接口下完成，大部分是在全局完成的，它的命令在全局敲，命令的最后加一个应用的接口，这个接口是用nameif来表示的，interface Inside .这个是ASA路由器的特点。

本文出处：http://www.luyouqiwang.com/13800/