路由器的Unicast RPF技术的性能权衡

默认情况下路由器是不会检查源地址的，它转发数据为了快速只会查找目的地址，除非有扩展列表应用在了这个接口上，路由器才会查看源地址，只要没有扩展列表，就只看目的地址，所以，才提出来2827之类的Internet出口应该使用一些ACL来阻止一些不应该出现在Internet的包的问题，这个问题其实就是一定程度上阻止一些Dos攻击的可能，但是这样还不够，路由器不是知道一些网段吗！为啥不让路由器自动产生一些阻止的列表呢，也就是让路由器去解析一下源地址，不符合某些条件的就drop掉。

这个技术就是路由器的Unicast RPF，其实也就是路由器自己根据自己的路由表产生了一个隐藏的ACL，干掉非路由表条目过来的源地址。这个ACL在show run中看不到，但是确实存在，当然你可以不干掉，而是做其他的行为，比喻成ACL是一个类比而已。

其实联想一下，可以把这个功能和交换机的防止IP欺骗做类比，交换机也想防止一些IP的欺骗，但是交换机比较傻，它没有IP列表可参看，所以就出来了dhcpsnooping绑定表的帮忙了，某种意义上说就是让DHCP来帮助了自己，借用了DHCP的数据库而已。

路由器不同了，有先天的优势，它有自己的路由表，干嘛不用呢，所以就出来了这个特性，但是凡事有利就有弊，让路由器起检查源地址必定会损害性能，要权衡考虑了。