這個(gè)功能檢查每一個(gè)經(jīng)過路由器的數(shù)據(jù)包。在路由器的CEF（Cisco Express Forwarding）表該數(shù)據(jù)包所到達(dá)網(wǎng)絡(luò)接口的所有路由項(xiàng)中，如果沒有該數(shù)據(jù)包源IP地址的路由，路由器將丟棄該數(shù)據(jù)包。例如，路由器接收到一個(gè)源IP地址為1.2.3.4的數(shù)據(jù)包，如果 CEF路由表中沒有為IP地址1.2.3.4提供任何路由（即反向數(shù)據(jù)包傳輸時(shí)所需的路由），則路由器會(huì)丟棄它。

　　單一地址反向傳輸路徑轉(zhuǎn)發(fā)（Unicast Reverse Path Forwarding）在ISP（局端）實(shí)現(xiàn)阻止SMURF攻擊和
其它基于IP地址偽裝的攻擊。這能夠保護(hù)網(wǎng)絡(luò)和客戶免受來自互聯(lián)網(wǎng)其它地方的侵?jǐn)_。使用Unicast RPF 需要打開路由器的"CEF swithing"或"CEF distributed switching"選項(xiàng)。不需要將輸入接口配置為CEF
交換（switching）。只要該路由器打開了CEF功能，所有獨(dú)立的網(wǎng)絡(luò)接口都可以配置為其它交換（switching）模式。RPF（反向傳輸路徑轉(zhuǎn)發(fā)）屬于在一個(gè)網(wǎng)絡(luò)接口或子接口上激活的輸入端功能，處理路由器接收的數(shù)據(jù)包。

　　在路由器上打開CEF功能是非常重要的，因?yàn)镽PF必須依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0 及以上版本中，但不支持Cisco IOS 11.2或11.3版本。

　　2、使用訪問控制列表（ACL）過濾RFC 1918中列出的所有地址

　　參考以下例子：

　　interface xy

　　ip access-group 101 in

　　access-list 101 deny ip 10.0.0.0 0.255.255.255 any
　　access-list 101 deny ip 192.168.0.0 0.0.255.255 any
　　access-list 101 deny ip 172.16.0.0 0.15.255.255 any
　　access-list 101 permit ip any any
3、參照RFC 2267，使用訪問控制列表（ACL）過濾進(jìn)出報(bào)文

　　參考以下例子：

　　{ISP中心} -- ISP端邊界路由器 -- 客戶端邊界路由器 -- {客戶端網(wǎng)絡(luò)}

　　ISP端邊界路由器應(yīng)該只接受源地址屬于客戶端網(wǎng)絡(luò)的通信，而客戶端網(wǎng)絡(luò)則應(yīng)該只接受源地址未被客戶端網(wǎng)絡(luò)過濾的通信。以下是ISP端邊界路由器的訪問控制列表（ACL）例子：

　　access-list 190 permit ip {客戶端網(wǎng)絡(luò)} {客戶端網(wǎng)絡(luò)掩碼} any
　　access-list 190 deny ip any any [log]
　　interface {內(nèi)部網(wǎng)絡(luò)接口} {網(wǎng)絡(luò)接口號(hào)}
　　ip access-group 190 in

　　以下是客戶端邊界路由器的ACL例子：

　　access-list 187 deny ip {客戶端網(wǎng)絡(luò)} {客戶端網(wǎng)絡(luò)掩碼} any
　　access-list 187 permit ip any any
　　access-list 188 permit ip {客戶端網(wǎng)絡(luò)} {客戶端網(wǎng)絡(luò)掩碼} any
　　access-list 188 deny ip any any
　　interface {外部網(wǎng)絡(luò)接口} {網(wǎng)絡(luò)接口號(hào)}
　　ip access-group 187 in
　　ip access-group 188 out

　　如果打開了CEF功能，通過使用單一地址反向路徑轉(zhuǎn)發(fā)（Unicast RPF），能夠充分地縮短訪問控制列表（ACL）的長度以提高路由器性能。為了支持Unicast RPF，只需在路由器完全打開CEF；打開這個(gè)功能的網(wǎng)絡(luò)接口并不需要是CEF交換接口。

　　4、使用CAR（Control Access Rate）限制ICMP數(shù)據(jù)包流量速率

　　參考以下例子：

　　interface xy
　　rate-limit output access-group 2020 3000000 512000 786000 conform-action
　　transmit exceed-action drop
　　access-list 2020 permit icmp any any echo-reply
5、設(shè)置SYN數(shù)據(jù)包流量速率

　　interface {int}
　　rate-limit output access-group 153 45000000 100000 100000 conform-action
　　transmit exceed-action drop
　　rate-limit output access-group 152 1000000 100000 100000 conform-action
　　transmit exceed-action drop
　　access-list 152 permit tcp any host eq www
　　access-list 153 permit tcp any host eq www established

　　在實(shí)現(xiàn)應(yīng)用中需要進(jìn)行必要的修改，替換：

　　45000000為最大連接帶寬
　　1000000為SYN flood流量速率的30%到50%之間的數(shù)值。

　　burst normal（正常突變）和 burst max（最大突變）兩個(gè)速率為正確的數(shù)值。

　　注意，如果突變速率設(shè)置超過30%，可能會(huì)丟失許多合法的SYN數(shù)據(jù)包。使用"show interfaces rate-limit"命令查看該網(wǎng)絡(luò)接口的正常和過度速率，能夠幫助確定合適的突變速率。這個(gè)SYN速率限制數(shù)值設(shè)置標(biāo)準(zhǔn)是保證正常通信的基礎(chǔ)上盡可能地小。

　　警告<