На устройстве МКСЗ «Diamond Next» поддерживается механизм антиспуфинга, который проверяет достоверность IP-адреса источника входящих пакетов. Его цель — предотвратить DDoS-атаки и другие угрозы, основанные на подмене исходного адреса, путем верификации пути поступления трафика.
Механизм uRPF работает, сверяя интерфейс, на который поступил пакет, с информацией в таблице маршрутизации (FIB). Механизм может выполнять одну из двух схем проверки:
Для задания настроек антиспуфинга необходимо подключиться к устройству по протоколу ssh и перейти на уровень обработки трафика с помощью команды “vppctl”. Далее необходимо выполнить настройку механизма.
vpp#
vpp# set urpf ip4 rx tx strict <interface_name> <----- Настройка строго режима
vpp#
vpp# set urpf ip4 rx tx loose <interface_name> <----- Настройка нестрогого режима
vpp#
vpp# set urpf ip4 rx tx disable <interface_name> <----- Отключить настройку механизма
Для проверки на каком интерфейсе и в каком режиме включен механизм необходимо выполнить команду “show urpf cfg <interface_name>”.
vpp#
vpp# sh urpf cfg GigabitEthernet0/14/1
ip4: rx off fib 0
tx loose fib 0
ip6: off