セキュリティ設定ガイド：ユニキャスト Reverse Path Forwarding

セキュリティ設定ガイド：ユニキャスト Reverse Path Forwarding

シスコシステムズ合同会社

〒107-6227 東京都港区赤坂9-7-1 ミッドタウン・タワー

http://www.cisco.com/jp

お問い合わせ先：シスコ コンタクトセンター

0120-092-255 （フリーコール、携帯・PHS含む）

電話受付時間：平日 10:00～12:00、13:00～17:00

http://www.cisco.com/jp/go/contactcenter/

【注意】シスコ製品をご使用になる前に、安全上の注意（

www.cisco.com/jp/go/safety_warning/

） をご確認ください。本書は、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきま しては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更され ている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容 については米国サイトのドキュメントを参照ください。また、契約等の記述については、弊社販 売パートナー、または、弊社担当者にご確認ください。

このマニュアルに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。このマニュアルに記載されている表現、情報、および推奨 事項は、すべて正確であると考えていますが、明示的であれ黙示的であれ、一切の保証の責任を負わないものとします。このマニュアルに記載されている製品の使用 は、すべてユーザ側の責任になります。

対象製品のソフトウェア ライセンスおよび限定保証は、製品に添付された『Information Packet』に記載されています。添付されていない場合には、代理店にご連絡く ださい。

The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB's public domain version of the UNIX operating system.All rights reserved.Copyright^©1981, Regents of the University of California.

ここに記載されている他のいかなる保証にもよらず、各社のすべてのマニュアルおよびソフトウェアは、障害も含めて「現状のまま」として提供されます。シスコお よびこれら各社は、商品性の保証、特定目的への準拠の保証、および権利を侵害しないことに関する保証、あるいは取引過程、使用、取引慣行によって発生する保証 をはじめとする、明示されたまたは黙示された一切の保証の責任を負わないものとします。

いかなる場合においても、シスコおよびその供給者は、このマニュアルの使用または使用できないことによって発生する利益の損失やデータの損傷をはじめとする、

間接的、派生的、偶発的、あるいは特殊な損害について、あらゆる可能性がシスコまたはその供給者に知らされていても、それらに対する責任を一切負わないものと します。

このマニュアルで使用しているIPアドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネット ワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意 図的なものではなく、偶然の一致によるものです。

Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries.To view a list of Cisco trademarks, go to this URL:

http://

www.cisco.com/go/trademarks

.Third-party trademarks mentioned are the property of their respective owners.The use of the word partner does not imply a partnership relationship between Cisco and any other company.(1110R)

©2017 Cisco Systems, Inc. All rights reserved.

目 次

最初にお読みください 1

ユニキャスト

Reverse Path Forwarding

のストリクト モード ₃ 機能情報の確認 3

ユニキャスト

Reverse Path Forwarding

の前提条件 4 ユニキャスト

RPF

の制限事項 ₄

ユニキャスト

Reverse Path Forwarding

の情報 5 ユニキャスト

Reverse Path Forwarding

の概要 5 ユニキャスト

RPF

の動作 ₅

アクセス コントロール リストとロギング 6 インターフェイス別の統計情報 7

ユニキャスト

RPF

を実装するためのルール ₉ セキュリティ ポリシーとユニキャスト

RPF

10

ユニキャスト

RPF

の入力および出力フィルタリング ポリシー 10 ユニキャスト

RPF

を使用する場所 ₁₁

ISP

に対して単一の接続ポイントを持つ企業ネットワーク 11 ネットワーク アクセス サーバへのユニキャスト

RPF

の適用 13 ルーティング テーブルの要件 ₁₄

ユニキャスト

RPF

を使用すべきではない場所 14

BOOTP

および

DHCP

を使用するユニキャスト

RPF

15

ユニキャスト

Reverse Path Forwarding

の設定方法 15 ユニキャスト

RPF

の設定 15

トラブルシューティングのヒント 19

HSRP

エラー 19

ドロップされたブート要求 19 ユニキャスト

Reverse Path Forwarding

の設定例 20

例：ユニキャスト

RPF

の設定 20

ユニキャスト

Reverse Path Forwarding

に関する機能情報 21 ユニキャスト

Reverse Path Forwarding

の

ACL

サポート 23

機能情報の確認 23

ユニキャスト

Reverse Path Forwarding

の

ACL

サポートの前提条件 24 ユニキャスト

Reverse Path Forwarding

の

ACL

サポートの制限事項 24 ユニキャスト

Reverse Path Forwarding

の

ACL

サポートに関する情報 25

ユニキャスト

RPF

の動作 25

アクセス コントロール リストとロギング 26 インターフェイス別の統計情報 26

ユニキャスト

Reverse Path Forwarding

の

ACL

サポートの設定方法 29 ユニキャスト

RPF

と

ACL

サポートの設定 29

ユニキャスト

Reverse Path Forwarding

の

ACL

サポートの設定例 31 例：ユニキャスト

RPF

と

ACL

サポートの設定 31

その他の参考資料 31

ユニキャスト

Reverse Path Forwarding

の

ACL

サポートに関する機能情報 33

CISCO-IP-URPF-MIB

サポート ₃₅

機能情報の確認 35

CISCO-IP-URPF-MIB

サポートの前提条件 36

CISCO-IP-URPF-MIB

サポートの制限事項 ₃₆

CISCO-IP-URPF-MIB

サポートに関する情報 36

ユニキャスト

RPF

通知の実装 36 ユニキャスト

RPF

通知の要素 ₃₇

ドロップ率の計算 37 グローバル スカラー 37 グローバル テーブル ₃₇ インターフェイス別の設定 38 インターフェイス別の統計情報 38

ユニキャスト

RPF

のドロップ率通知の設定方法 ₃₈

Syslog

を介したユニキャスト

RPF

のドロップ率通知の設定 38

SNMP

を介したユニキャスト

RPF

のドロップ率通知の設定 40

CISCO-IP-URPF-MIB

サポートの設定例 ₄₃

例：

Syslog

を介したユニキャスト

RPF

のドロップ率通知の設定 43

目次

例：

SNMP

を介したユニキャスト

RPF

のドロップ率通知の設定 43 ユニキャスト

RPF

設定の確認とトラブルシューティングの例 43 その他の参考資料 45

CISCO-IP-URPF-MIB

サポートの機能情報 46 目次

目次

第

1

^章

最初にお読みください

Cisco IOS XE 16 に関する重要な情報

Cisco IOS XE

リリース

3.7.0E

（

Catalyst

スイッチング用）および

Cisco IOS XE

リリース

3.17S

（ア クセスおよびエッジ ルーティング用）の

2つのリリースは、コンバージド リリースの1

つのバー ジョン

- Cisco IOS XE 16 -

に統合されました。この

1

つのリリースでスイッチングおよびルーティ ング ポートフォリオのアクセスおよびエッジ製品を幅広くカバーしています。

技術構成ガイドの機能情報の表に、機能の導入時期を記載しています。他のプラットフォーム がその機能をサポートした時期については、記載があるものも、ないものもあります。特定の 機能が、使用しているプラットフォームでサポートされているかどうかを判断するには、製品 のランディング ページに掲載された技術構成ガイドを参照してください。技術構成ガイドが 製品のランディング ページに表示されると、その機能が該当のプラットフォームでサポート されているかどうかが示されます。

（注）

最初にお読みください

第

2

^章

ユニキャスト Reverse Path Forwarding のスト リクト モード

ユニキャスト

Reverse Path Forwarding

機能は、ネットワーク上の悪意のあるトラフィックを制限 します。この機能を使用すると、デバイスは転送パケットの送信元アドレスの到達可能性を確認 し、ネットワーク上で偽造されたアドレスまたは不正なアドレスが発生しないように制限できま す。送信元

IP

アドレスが無効な場合、ユニキャスト

Reverse Path Forwarding

（

RPF

）はパケット を廃棄します。

このモジュールでは、ユニキャスト

Reverse Path Forwarding

機能について説明します。

•

機能情報の確認

, 3

ページ

•

ユニキャスト

Reverse Path Forwarding

の前提条件, 4 ページ

•

ユニキャスト

RPF

の制限事項, 4 ページ

•

ユニキャスト

Reverse Path Forwarding

の情報

, 5

ページ

•

ユニキャスト

Reverse Path Forwarding

の設定方法

, 15

ページ

•

ユニキャスト

Reverse Path Forwarding

の設定例, 20 ページ

•

その他の参考資料, 20 ページ

•

ユニキャスト

Reverse Path Forwarding

に関する機能情報

, 21

ページ

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされ ているとは限りません。最新の機能情報および警告については、Bug Search Toolおよびご使用の プラットフォームおよびソフトウェア リリースのリリース ノートを参照してください。このモ ジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリスト を確認する場合は、このモジュールの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコソフトウェアイメージのサポートに関する情報を検索 するには、

Cisco Feature Navigator

を使用します。

Cisco Feature Navigator

にアクセスするには、

www.cisco.com/go/cfn

に移動します。Cisco.comのアカウントは必要ありません。

ユニキャスト Reverse Path Forwarding の前提条件

•

ユニキャスト

Reverse Path Forwarding（RPF）がデバイスで正常に機能するには、シスコ エク

スプレス フォワーディングが必要です。

•

ユニキャスト

RPF

の設定前に、次のアクセス コントロール リスト（ACL）を設定する必要 があります。

•

標準または拡張

ACL

を設定し、無効な

IP

アドレスの送信を（出力フィルタリングを実 行して）減らします。標準または拡張

ACL

を設定することで、内部ネットワークから 送信したり、インターネットに接続するために有効な送信元アドレスのみが許可されま す。

•

標準または拡張

ACL

エントリを設定して、無効な送信元

IP

アドレスを含むパケットを ドロップ（拒否）します（入力フィルタリングを実行して）。無効な送信元

IP

アドレ スには次のような種類があります。

◦

ブロードキャスト アドレス（マルチキャスト アドレスなど）

◦

ループバック アドレス

◦

プライベート アドレス（

RFC 1918

『

Address Allocation for Private Internets

』）

◦

予約済みアドレス

◦

保護されたネットワークに関連付けられた有効なアドレス範囲に含まれない送信元 アドレス

•

既知の非対称ルートの送信元からの特定のトラフィックを許可するには、標準または拡 張

ACL

エントリを設定して、ユニキャスト

RPF

のチェックに失敗するパケットを転送

（許可）します。

• ACL

を設定して、ユニキャスト

RPF

イベントを追跡し、ネットワーク攻撃に関する追加情

報を提供します。

ユニキャスト RPF の制限事項

•

ユニキャスト

RPF

はアクセス コントロール リスト（ACL）のテンプレートをサポートして いません。

次の基本的な制限事項がマルチホーム クライアントに適用されます。

ユニキャスト Reverse Path Forwarding のストリクト モード ユニキャスト Reverse Path Forwarding の前提条件

•

マルチホーミングはクライアントが冗長サービスを作成する目的と合わないため、クライア ントは同じデバイスに対してマルチホーム接続をしないでください。

•

リンクに沿って（インターネットに向けて）送信されるパケットは、リンクからアドバタイ ズされたルートと一致するようにします。一致しない場合、ユニキャスト

RPFはそのパケッ

トを不正な形式のパケットとしてフィルタします。

•

ユニキャスト

RPF

を使用できるのは、シスコ エクスプレス フォワーディングをサポートす るイメージの場合のみです。

RSP3

の場合、ユニキャスト

RPF

を機能させるために

ACL

は必要ありません。

（注）

ユニキャスト Reverse Path Forwarding の情報

ユニキャスト Reverse Path Forwarding の概要

ユニキャスト

Reverse Path Forwarding

機能は、検証可能な送信元

IP

アドレスが不足している

IP

パ ケットを廃棄することで、間違ったまたは偽造（スプーフィングされた）送信元

IP

アドレスが ネットワークに流れて発生する問題を軽減するのに役立ちます。たとえば、Smurfや

Tribal Flood

Network

（

TFN

）など、多くの一般的なタイプの

DoS

攻撃は、偽造された、または次々に変わる送

信元

IP

アドレスを使用して、これらの攻撃を突き止めたりフィルタすることを攻撃者が阻止でき るようにします。パブリック アクセスを提供する

ISP

の場合、ユニキャスト

RPF

は、有効で

IP

ルーティングテーブルと一致する送信元アドレスを持つパケットのみを転送することでそのよう な攻撃を回避するため、

ISP

のネットワーク、

ISP

ユーザ、およびインターネットが保護されま す。

ユニキャスト RPF の動作

ユニキャスト

RPF

がデバイスのインターフェイスでイネーブルのときは、デバイスはそのイン ターフェイスに対する入力として受信したすべてのパケットを検証して、送信元アドレスおよび 送信元インターフェイスの情報がルーティング テーブルに存在し、パケットを受信したインター フェイスと一致することを確認します。「後方検索機能」は、シスコエクスプレスフォワーディ ングがデバイスでイネーブルの場合にだけ利用可能です。これは、検索が転送情報ベース（FIB）

に基づいて行われるためです。シスコエクスプレスフォワーディングでは、その動作の一部とし て

FIB

が生成されます。

Cisco ASR 1000

シリーズ アグリゲーション サービス ルータでは、シスコ エクスプレス フォ

ワーディングはデフォルトで有効になっており、無効にすることできません。

（注）

ユニキャスト Reverse Path Forwarding のストリクト モード

ユニキャスト Reverse Path Forwarding の情報

ユニキャスト

RPF

は入力機能であり、接続のアップストリーム エンドのデバイスの入力イン ターフェイスだけに適用されます。

（注）

デバイスのインターフェイスで受信したパケットが、パケットの送信元に最適なリターン パス

（またはリターン ルート）に着信しかたどうかを確認するために、ユニキャスト

RPF

はシスコ エクスプレス フォワーディング テーブルでリバース ルックアップを実行します。パケットが最 適なリバース パス ルートのいずれかから受信された場合、パケットは通常どおりに転送されま す。パケットを受信したインターフェイスにリバースパスルートがない場合、送信元アドレスが 変更された可能性があります。ユニキャスト

RPF

がパケットのリバース パスを見つけられない場 合、ipverifyunicastsource reachable viaコマンドを使用してアクセス コントロール リスト（ACL）

を指定するかどうかに応じて、パケットはドロップまたは転送されます。

ユニキャスト

RPF

では、コストが等しいすべての「最良」リターン パスが有効と見なされま す。各パスがルーティング コスト（ホップ カウント、重みなど）において他と同等であり、

ルートが

FIB

にある場合、ユニキャスト

RPF

は複数のリターンパスをサポートします。また、

ユニキャスト

RPF

は、Enhanced Interior Gateway Routing Protocol（EIGRP）バリアントが使用 される場合にも動作します。

（注）

ユニキャスト

RPF

と

ACL

が設定されたインターフェイスで受信したパケットを転送する前に、

ユニキャスト

RPF

は次のチェックを実行します。

1

入力

ACL

がインバウンド インターフェイスで設定されているかどうか。

2 FIB

テーブルのリバース ルックアップを実行して、パケットが送信元に対する最適なリターン パスで到達したかどうか。

3

パケットの転送のためにシスコ エクスプレス フォワーディング テーブルのルックアップを実 行します。

4

アウトバウンド インターフェイスで出力

ACL

をチェックします。

5

パケットを転送します。

アクセス コントロール リストとロギング

アクセス コントロール リスト（ACL）を設定し、パケットがユニキャスト

RPF

のチェックに失 敗した場合、ユニキャスト

RPF

は

ACL

をチェックして、（

ACL

で拒否ステートメントを使用し て）パケットをドロップするか、（ACLの許可ステートメントを使用して）転送するかを確認し ます。パケットがドロップされるか転送されるかにかかわらず、パケットは、ユニキャスト

RPF

ドロップのグローバル

IP

トラフィック統計情報とユニキャスト

RPF

のインターフェイス統計情報 でカウントされます。

ACL

が設定されていない場合、デバイスは偽造または不正形式のパケットを即時にドロップし、

ACL

ロギングは行われません。デバイスおよびインターフェイス ユニキャスト

RPF

ロギング カ ウンタが更新されます。

ユニキャスト Reverse Path Forwarding のストリクト モード アクセス コントロール リストとロギング

ユニキャスト

RPFイベントを記録するには、ACLエントリのロギング オプションを指定します。

管理者はログ情報を使用して、攻撃に使用された送信元アドレスや、パケットがインターフェイ スに到達した時刻などを確認できます。

ロギングには、CPUとメモリ リソースが必要です。偽造パケットの頻度が高い攻撃のユニキャ スト

RPF

イベントをロギングすると、デバイスのパフォーマンスが低下する可能性がありま す。

注意

インターフェイス別の統計情報

インターフェイスでパケットがドロップまたは転送されるたびに、その情報は

2

つの方法でカウ ントされます。ルータ全体のカウントと、ユニキャスト

RPF

を適用したインターフェイス別のカ ウントです。ドロップされたパケットに関する全体的な統計情報では、ネットワークに対する攻 撃の可能性に関する情報がわかります。ただし、このグローバルな統計情報では、攻撃元のイン ターフェイスを特定するには役立ちません。

ネットワーク管理者はインターフェイス別の統計情報を使用することで、不正な形式のパケット に関してユニキャスト

RPF

のドロップと、ユニキャスト

RPF

の抑制されたドロップという

2

種類 の情報を追跡できます。ユニキャスト

RPF

がドロップするパケット数に関する統計情報で、攻撃 のエントリ ポイントであるインターフェイスを特定できます。ユニキャスト

RPF

のドロップ数で は、そのインターフェイスのドロップ数が追跡されます。ユニキャスト

RPF

のドロップ抑制カウ ントでは、ユニキャスト

RPF

のチェックでは合格しなかったにもかかわらず、ACLの許可設定に よって転送されたパケットの数を追跡できます。ネットワーク管理者は、ドロップ数と抑制され たドロップ数の統計情報を使用して、特定のインターフェイスで攻撃を隔離する手順を採用でき ます。

ACL

ロギングを適切に使用することで、ユニキャスト

RPF

でドロップされる

1

つまたは複数 のアドレスを細かく特定できます。

（注）

次の図に、ユニキャスト

RPF

と

CEF

を併用し、パケットのリターン パスを確認することで、IP 送信元アドレスを検証する方法を示します。この例では、ユーザがインターフェイス

FDDI 2/0/0

から送信元アドレスが

192.168.1.1

のパケットを送信しました。ユニキャスト

RPF

は

FIB

で、

FDDI

ユニキャスト Reverse Path Forwarding のストリクト モード

インターフェイス別の統計情報

2/0/0

に対するパスが

192.168.1.1

にあるかどうかを確認します。一致するパスがある場合、パケッ トは転送されます。一致するパスがない場合、パケットはドロップされます。

図 1：IP 送信元アドレスを検証するユニキャスト RPF

次の図に、ユニキャスト

RPF

が検証に失敗したパケットをドロップする方法について示していま す。この例では、ユーザは送信元アドレスが

209.165.200.225

のパケットを送信しました。これは インターフェイス

FDDI 2/0/0

で受信したパケットです。ユニキャスト

RPF

は

FIB

で、FDDI 2/0/0 に対するリターン パスが

209.165.200.225

にあるかどうかを確認します。一致するパスがある場 合、パケットは転送されます。この場合、ルーティング テーブルに、ユーザのパケットをイン

ユニキャスト Reverse Path Forwarding のストリクト モード インターフェイス別の統計情報

ターフェイス

FDDI 2/0/0

上の送信元アドレス

209.165.200.225

に戻すリバース エントリはありませ ん。そのため、パケットはドロップされます。

図 2：検証に失敗したパケットをドロップするユニキャスト RPF

ユニキャスト RPF を実装するためのルール

次のルールはユニキャスト

Reverse Path Forwarding（RPF）の実装時に適用されます。

•

パケットは、パケットの送信元への最適なリターン パス（ルート）があるインターフェイス で受信する必要があります。このプロセスは対称ルーティングと呼ばれます。転送情報ベー ス（FIB）のルートは、受信インターフェイスへのルートと一致する必要があります。ダイ ナミックまたはスタティック ルーティングを介してまたは

network

コマンドを使用して、

FIB

にルートを追加します。アクセス コントロール リスト（ACL）により、パケットが最適で はない特定の非対称入力パスを通じて到達する場合に、ユニキャスト

RPF

を使用できます

•

受信側インターフェイスでの

IP

送信元アドレスは、そのインターフェイスのルーティング エントリと一致する必要があります。

•

ユニキャスト

RPF

は入力機能であり、接続のアップストリーム エンドのデバイスの入力イ ンターフェイスに適用されます。

ユニキャスト Reverse Path Forwarding のストリクト モード

ユニキャスト RPF を実装するためのルール

ダウンストリーム ネットワークまたは

ISP

がインターネットに対して他の接続を持っていたとし ても、ネットワーク管理者は、ユーザおよびダウンストリーム ネットワークや

ISP

にもユニキャ スト

RPF

を使用できます。

重みやローカル プリファレンスなど、オプションのボーダー ゲートウェイ プロトコル（

BGP

） 属性を使用して、送信元アドレスに戻る最適なパスを変更できます。最適なパスを変更する と、ユニキャスト

RPF

の動作に影響を与えます。

注意

次の項では、ユニキャスト

RPF

の実装に関する情報を説明します。

セキュリティ ポリシーとユニキャスト RPF

ユニキャスト

Reverse Path Forwarding（RPF）の展開方法を決定する場合は、次の点を考慮してく

ださい。

•

ユニキャスト

RPF

は、ネットワーク内のより大きな部分から離れたダウンストリームのイン ターフェイスで適用します（ネットワークのエッジに適用するのが望ましい）。ユニキャス ト

RPF

の適用先が離れるほど、アドレスの偽造を軽減し、偽造されたアドレスの送信元を特 定するときに細かく制御できます。たとえば、集約デバイスでユニキャストRPFを適用する と、多くのダウンストリーム ネットワークまたはクライアントからの攻撃を軽減できるとと もに、管理が簡単になりますが、ユニキャストRPFは攻撃の送信元を特定できません。ネッ トワーク アクセス サーバでユニキャスト

RPF

を適用すると、攻撃の範囲を制限し、攻撃元 を追跡できます。ただし、多くのサイトにユニキャストRPFを展開すると、ネットワークの 運用コストが増えます。

•

ネットワーク上の多くのエンティティ（たとえば、インターネット間、イントラネット リ ソース間、エクストラネット リソース間）にユニキャスト

RPFを展開すると、インターネッ

ト コミュニティ全体の大規模なネットワーク中断を軽減したり、攻撃元を追跡したりできる 可能性が高まります。

•

ユニキャスト

RPF

では、

Generic Routing Encapsulation

（

GRE

）、

Layer 2 Tunneling Protocol

（L2TP）、Point-to-Point Tunneling Protocol（PPTP）のようなトンネルでカプセル化された

IP

パケットは検査されません。トンネリングとカプセル化のレイヤ がパケットから除かれた後 でユニキャスト

RPF

がネットワーク トラフィックを処理するように、ホーム ゲートウェイ にユニキャスト

RPF

を設定します。

ユニキャスト RPF の入力および出力フィルタリング ポリシー

アクセス コントロール リスト（ACL）を使用して入力および出力フィルタリングのポリシーを組 み合わせると、スプーフィング攻撃の軽減に対するユニキャスト

Reverse Path Forwarding

（

RPF

） の効果が大きくなります。

入力フィルタリングは、内部ネットワークまたは外部ネットワークから送信され、ネットワーク インターフェイスで受信されたトラフィックに対してフィルタを適用します。入力フィルタリン グでは、ローカルネットワーク、プライベート、またはブロードキャストアドレスと一致する送 信元アドレスを持つ、他のネットワークまたはインターネットから着信したパケットはドロップ

ユニキャスト Reverse Path Forwarding のストリクト モード ユニキャスト RPF を実装するためのルール

されます。たとえば、ISP環境では、クライアント（ユーザ）またはインターネットのいずれかか らデバイスで受信するトラフィックに入力フィルタリングを適用できます。

入力フィルタリングは、ネットワーク インターフェイス（送信側インターフェイス）を終了する トラフィックに対してフィルタを適用します。ネットワークをインターネットまたは他のネット ワークに接続するデバイス上のパケットをフィルタリングすることで、有効な送信元

IP

アドレス があるパケットのみを内部ネットワークから送信できます。

ネットワーク フィルタリングの詳細については、RFC 2267『Network Ingress Filtering: Defeating

Denial of Service Attacks which employ IP Source Address Spoofing

』を参照してください。

ユニキャスト RPF を使用する場所

ユニキャスト

Reverse Path Forwarding

（

RPF

）は、ネットワークから出るアクセス ポイントが実質 的に

1

つ（つまり、ネットワークへのアップストリーム接続が

1

つ）のみの「シングルホーム」

の環境で使用できます。

1

つのアクセス ポイントを持つネットワークは、対照ルーティングの最 適な例です。つまり、パケットがネットワークに入るインターフェイスが、IPパケットの送信元 に対する最適なリターン パスでもあるインターフェイスです。ユニキャスト

RPF

の最も一般的な 使用場所は、インターネット、イントラネット、またはエクストラネット環境のネットワーク周 辺機器、または顧客ネットワークの終端用の

ISP

環境にあるネットワーク周辺機器です。

次の項では、ユニキャスト

RPF

を実装する

2

つのサンプル ネットワーク環境について説明しま す。

ISP に対して単一の接続ポイントを持つ企業ネットワーク

エンタープライズ ネットワークでは、インターネットから不正なパケットが着信しないようにす るために、着信インターフェイス（入力フィルタリングと呼ばれるプロセス）でトラフィックを フィルタリングするためのユニキャスト

Reverse Path Forwarding（RPF）を使用できます。従来、

インターネットに対して

1

つの接続ポイントを持つローカル ネットワークは、受信インターフェ イスとして

ACL

を使用して、偽造されたパケットがインターネットからローカル ネットワーク に入らないようにしていました。

ACL

は、シングルホーム ユーザに対して正常に動作します。ただし、

ACL

は入力フィルタとし て使用すると、次の

2

つの参照上の一般的な制限事項が適用されます。

•

非常に高いパケット レートでの

Packet Per Second（PPS）パフォーマンス

• ACL

のメンテナンス（ネットワークに追加される新しいアドレスがあるかどうか）

ユニキャスト

RPF

は、上記の制限事項の両方に対応します。ユニキャスト

RPF

を使用すると、入 力フィルタリングはシスコ エクスプレス フォワーディングの

PPS

レートで実行されます。ユニ キャスト

RPF

は転送情報ベース（

FIB

）を使用するため、

ACL

のメンテナンスは必要なく、従来 の

ACL

の管理費は削減されます。次の図と例は、入力フィルタリングのためにユニキャスト

RPF

を設定する方法を示します。

次の図に、アップストリーム

ISP

に対して単一リンクがある企業ネットワークを示します。この 例では、インターネットから到達する不正な形式のパケットから保護するために、ユニキャスト

RPF

は企業デバイスの

GigabitEthernet

インターフェイス

1/0/2

に適用されます。また、ユニキャス

ユニキャスト Reverse Path Forwarding のストリクト モード

ユニキャスト RPF を実装するためのルール

ト

RPF

は、企業ネットワークから不正な形式のパケットが送信されないように保護するために、

ISP

デバイス上の

GigabitEthernet

インターフェイス

1/0/2

にも適用されます。

図 3：入力フィルタリングのためにユニキャスト RPF を使用した企業ネットワーク

上図のトポロジを使用する

ISP

デバイスの一般的な設定は次のとおりです。

ip cef

interface loopback 0

description Loopback interface on Gateway Device 2 ip address 192.168.3.1 255.255.255.255

no ip redirects

no ip directed-broadcast no ip proxy-arp

!

interface GigabitEthernet 1/0/2

description 128K HDLC link to ExampleCorp WT50314E R5-0 bandwidth 128

ip unnumbered loopback 0 ip verify unicast reverse-path no ip redirects

no ip directed-broadcast no ip proxy-arp

!

ip route 192.168.10.0 255.255.252.0 GigabitEthernet 1/0/2

企業ネットワークのゲートウェイ デバイス設定は次のようになります。

ip cef

interface FastEthernet 0/0/0 description ExampleCorp LAN

ip address 192.168.10.1 255.255.252.0 no ip redirects

no ip directed-broadcast no ip proxy-arp

!

interface GigabitEthernet 1/0/2

description 128K HDLC link to ExampleCorp Internet Inc WT50314E C0 bandwidth 128

ip unnumbered FastEthernet 0/0/0 ip verify unicast reverse-path no ip redirects

no ip directed-broadcast no ip proxy-arp

!

ip route 0.0.0.0 0.0.0.0 GigabitEthernet 1/0/2

この図で、ユニキャスト

RPF

が単一のデフォルト ルートで機能することがわかります。追加の ルートやルーティング プロセスはありません。ネットワーク

192.168.10.0/22

は接続済みネット ワークです。そのため、送信元アドレスが

192.168.10.0/22

のネットワーク内にあるインターネッ トからの着信パケットは、ユニキャスト

RPF

によってドロップされます。

ユニキャスト Reverse Path Forwarding のストリクト モード ユニキャスト RPF を実装するためのルール

ネットワーク アクセス サーバへのユニキャスト RPF の適用

ネットワーク アクセス サーバがシスコ エクスプレス フォワーディングをサポートする場合、ユ ニキャスト

RPF

はネットワーク上で動作します。ネットワーク アクセス サーバ（NAS）では、

ネットワークにアクセスするユーザのクレデンシャルをチェックすることで、ユーザがネットワー クにアクセスできます。集約デバイスはシングルホーム クライアントのユニキャスト

RPF

をサ ポートします。ユニキャスト

RPF

は、専用回線、デジタル加入者線（

DSL

）、

ISDN

、またはイン ターネットに接続された公衆電話交換網（PSTN）のユーザ接続で正常に動作します。ダイヤル アップ接続は、偽の

IP

アドレスを使用するサービス妨害（

DoS

）攻撃の大きな原因です。

集約デバイスには、トラフィックのルーティング用にルーティング プレフィックス情報（

IP

アド レスブロック）が必要です。次のトポロジでは、集約デバイスに完全なインターネットルーティ ング テーブルがないため、ユニキャスト

RPF

は、内部ゲートウェイ プロトコル（

IGP

）または内 部ボーダー ゲートウェイ プロトコル（IBGP）によって（ユーザのルートをネットワークに追加 する方法に基づいて）設定またはリダイレクトされた情報を使用し、トラフィックをルーティン グします。ユニキャスト

RPF

は、ISP集約デバイスの受信（着信）インターフェイスにあるユー ザのダイヤルアップ接続でアップストリームのデバイスに適用されます。

次の図では、ダイアルアップ接続を提供する

ISP

デバイスを使用して、

ISP

または

Point Of Presence

（POP）の集約デバイスとアクセス デバイスにユニキャスト

RPF

を適用する方法について説明し ます。

図 4：PSTN/ISDN ユーザ接続に適用されるユニキャスト RPF ユニキャスト Reverse Path Forwarding のストリクト モード

ユニキャスト RPF を実装するためのルール

ルーティング テーブルの要件

ユニキャスト

Reverse Path Forwarding

（

RPF

）は、トラフィックをルーティングするためにシスコ エクスプレス フォワーディング テーブルのルーティング情報を使用します。シスコ エクスプレ ス フォワーディング テーブルで利用可能なルーティング情報の内容は、ユニキャスト

RPF

を設 定する場所と、デバイスがネットワークで実行する機能によって異なります。たとえば、デバイ スがユーザの専用回線の集約デバイスである

ISP

環境の場合、内部ゲートウェイプロトコル（

IGP

） または内部ボーダー ゲートウェイ プロトコル（IBGP）に（ネットワークで使用される手法に応 じて）再配布されるスタティックルートの情報がルーティングテーブルに必要です。ユニキャス ト

RPF

は顧客のインターフェイス上で設定されるため、最小限のルーティング情報のみが必要で す。シングルホーム

ISP

がインターネットのゲートウェイでユニキャスト

RPF

を設定する場合、

インターネットルーティング テーブル内には存在しないアドレスを使用する外部のサービス妨害

（

DoS

）から

ISP

を保護するために、完全なインターネット ルーティング テーブル情報がユニ キャスト

RPF

で必要です。

ユニキャスト RPF を使用すべきではない場所

ユニキャスト

Reverse Path Forwarding（RPF）をネットワーク内部のインターフェイスで使用しな

いでください。内部インターフェイスは、ルーティングを非対称にする可能性が高く（下図を参 照）、パケットの送信元へのルートが複数存在する場合が多いからです。ユニキャスト

RPF

は、

元々対称であるか、対称に設定されている場合にだけ適用されます。

たとえば、

ISP

のネットワークのエッジにあるデバイスは、

ISP

ネットワークのコアにあるデバイ スよりも対称リバース パスを持つ可能性が高くなります。ISPネットワークのコアにあるデバイ スからパケットを転送する最適な転送パスは、デバイスに返されるパケット用に選択される最適 な転送パスではないことがあります。

アクセス コントロール リスト（ACL）を使用して、デバイスが着信パケットを受け入れる場合を 除いて、ユニキャスト

RPF

を非対称ルーティングが発生する可能性がある場所に適用しないこと を推奨します。ACLによって、パケットが最適ではない特定の非対称入力パスを通じて到達する 場合に、ユニキャスト

RPF

を使用できます。

ユニキャスト Reverse Path Forwarding のストリクト モード ユニキャスト RPF を実装するためのルール

次の図に、非対称ルーティング環境で、ユニキャスト

RPF

が正規のトラフィックをブロックする 可能性がある場合を示します。

図 5：非対称ルーティング環境で正規のトラフィックをブロックするユニキャスト RPF

BOOTP および DHCP を使用するユニキャスト RPF

ユニキャスト

RPF

が設定されている場合は、ブートストラップ プロトコル（

BOOTP

）と

DHCP

機能が正常に動作するように、0.0.0.0の送信元

IP

アドレスと

255.255.255.255

の送信先

IP

アドレ スを持つパケットがネットワークを介して転送されます。

ユニキャスト Reverse Path Forwarding の設定方法

ユニキャスト RPF の設定

はじめる前に

ユニキャスト

Reverse Path Forwarding

を使用するには、デバイス上でシスコ エクスプレス フォワー ディング スイッチングまたは分散型シスコ エクスプレス フォワーディング スイッチングを設定 する必要があります。シスコエクスプレスフォワーディングがデバイスでグローバルにイネーブ ルにされていない場合は、ユニキャスト

RPF

がそのデバイス上で動作しません。シスコ エクスプ レス フォワーディングがデバイス上で動作している場合、デバイスの個々のインターフェイスを 他のスイッチング モードに設定することができます。ユニキャスト

RPF

は、インターフェイスま たはサブインターフェイス上でイネーブルにする入力側機能で、任意の種類のカプセル化をサポー トします。また、ユニキャスト

RPF

は、デバイスが受信する

IP

パケットを処理します。

ユニキャスト Reverse Path Forwarding のストリクト モード

ユニキャスト Reverse Path Forwarding の設定方法

シスコ エクスプレス フォワーディングは、Cisco ASR 1000シリーズ アグリゲーション サービ ス ルータ上でデフォルトでイネーブルになっており、ディセーブルにすることはできません。

（注）

手順の概要

1. enable

2. configure terminal 3. ip cef distributed 4. interfaceslot/subslot/port

5. ip verify unicast reverse-pathlist 6. ip verify unicast reverse-path 7. exit

8.

ユニキャスト

RPF

を適用するインターフェイスごとに、ステップ

4

および

5

を繰り返します。

9. end

10. showcefinterface[type number]

11. show ip traffic

12. show ip interface[type number]

手順の詳細

目的 コマンドまたはアクション

特権

EXEC

モードをイネーブルにします。

enable

例：

Device> enable

ステップ 1

•

パスワードを入力します（要求された場合）。

グローバル コンフィギュレーション モードを開始します。

configure terminal

例：

Device# configure terminal

ステップ 2

デバイスでシスコ エクスプレス フォワーディングまたは分散型 シスコ エクスプレス フォワーディングをイネーブルにします。

ip cef distributed

例：

Device(config)# ip cef distributed

ステップ 3

ユニキャスト

Reverse Path Forwarding

を適用する入力側のイン ターフェイスを選択し、インターフェイス コンフィギュレー ション モードを開始します。

interfaceslot/subslot/port

例：

Device(config)# interface GigabitEthernet 0/0

ステップ 4

•

このインターフェイスは受信側インターフェイスです。ユ ニキャストRPFは次の宛先にパケットを転送する前に、最 適なリターン パスを確認できます。

ユニキャスト Reverse Path Forwarding のストリクト モード ユニキャスト RPF の設定

目的 コマンドまたはアクション

インターフェイスでユニキャスト

RPF

をイネーブルにします。

ip verify unicast reverse-pathlist

例：

Device(config-if)# ip verify unicast reverse-path 197

ステップ 5

•

アクセス リストを識別するには、list引数を使用します。

アクセス リストがネットワーク アクセスを拒否している 場合、偽造されたパケットはそのインターフェイスでド ロップされます。アクセス リストによってネットワークへ のアクセスが許可された場合は、スプーフィングされたパ ケットが宛先アドレスに転送されます。転送されたパケッ トは、インターフェイスの統計情報にカウントされます。

アクセス リストにロギング オプションが含まれる場合、

偽造されたパケットに関する情報はログ サーバにロギング されます。

•

指定するアクセス リストごとに、この手順を繰り返しま す。

（任意）インターフェイス上でユニキャスト

RPF

をディセーブ ルにします。

ip verify unicast reverse-path

例：

Device(config-if)# no ip verify unicast reverse-path

ステップ 6

インターフェイス コンフィギュレーション モードを終了しま す。

exit

例：

Device(config-if)# exit

ステップ 7

ユニキャスト

RPF

を適用するイン

—

ターフェイスごとに、ステップ4お よび

5

を繰り返します。

ステップ 8

インターフェイス コンフィギュレーション モードを終了し、特 権

EXEC

モードを開始します。

end

例：

Device(config-if)# end

ステップ 9

指定したインターフェイスまたはすべてのインターフェイスに 関する、詳細なシスコ エクスプレス フォワーディング情報が表 示されます。

showcefinterface[type number]

例：

Device# show cef interface

ステップ 10

ユニキャスト

RPF

によるパケット ドロップまたはドロップ抑制 に関するグローバル デバイスの統計情報を表示します。

show ip traffic

例：

Device# show ip traffic

ステップ 11

ユニキャスト Reverse Path Forwarding のストリクト モード

ユニキャスト RPF の設定

目的 コマンドまたはアクション

ユニキャスト

RPFのドロップと抑制されたドロップに関して、

インターフェイスごとの統計情報が表示されます。

show ip interface[type number]

例：

Device# show ip interface

ステップ 12

例：

次の

show cef interface

コマンドの出力例は、ユニキャスト

RPF

が

GigabitEthernet

インターフェイ

ス

1/0/2

で有効であることを示します。

Device# show cef interface GigabitEthernet 1/0/2 GigabitEthernet 1/0/2 is up (if_number 8)

Internet address is 192.168.10.2/30 ICMP redirects are never sent Per packet loadbalancing is disabled

!The next line displays Unicast RPF packet dropping information.

IP unicast RPF check is enabled Inbound access list is not set Outbound access list is not set

Interface is marked as point to point interface

Packets switched to this interface on linecard are dropped to next slow path Hardware idb is GigabitEthernet 1/0/2

Fast switching type 4, interface type 6

!The next line displays Unicast RPF packet dropping information.

IP Distributed CEF switching enabled IP LES Feature Fast switching turbo vector IP Feature CEF switching turbo vector

Input fast flags 0x40, Output fast flags 0x0, ifindex 7(7) Slot 2 Slot unit 0 VC -1

Transmit limit accumulator 0x48001A02 (0x48001A02) IP MTU 1500

シスコ エクスプレス フォワーディングをディセーブルにするには、まずユニキャスト

RPF

を ディセーブルにする必要があります。シスコ エクスプレス フォワーディングをディセーブル にする前に、ユニキャスト

RPF

をディセーブルにできなかった場合、ホットスタンバイ ルー タ プロトコル（

HSRP

）エラーが発生する可能性があります。

注意

次に、showiptrafficコマンドの出力例を示します。このコマンドは、デバイスで設定されたすべ てのインターフェイスでドロップまたは抑制されたパケットの合計数（グローバルな数）を表示 します。ユニキャスト

RPF

のドロップ数は、コマンド出力の

IP

統計情報の項に含まれます。ユニ キャスト

RPF

は、不正な形式または偽造された送信元アドレスが原因でドロップまたは抑制され たパケットの数をカウントします。ユニキャスト

RPF

は、次の全体的な情報とインターフェイス ごとの情報を含むドロップされたパケットまたは転送されたパケットをカウントします。

•

全体のユニキャスト

RPF

のドロップ

•

インターフェイスごとのユニキャスト

RPF

のドロップ

ユニキャスト Reverse Path Forwarding のストリクト モード ユニキャスト RPF の設定

•

インターフェイスごとのユニキャスト

RPF

の抑制されたドロップ

Device# show ip traffic IP statistics:

Rcvd: 1471590 total, 887368 local destination

0 format errors, 0 checksum errors, 301274 bad hop count 0 unknown protocol, 0 not a gateway

0 security failures, 0 bad options, 0 with options Opts: 0 end, 0 nop, 0 basic security, 0 loose source route

0 timestamp, 0 extended security, 0 record route 0 stream ID, 0 strict source route, 0 alert, 0 other Frags: 0 reassembled, 0 timeouts, 0 couldn't reassemble

0 fragmented, 0 couldn't fragment Bcast: 205233 received, 0 sent

Mcast: 463292 received, 462118 sent Sent: 990158 generated, 282938 forwarded

Drop: 3 encapsulation failed, 0 unresolved, 0 no adjacency

0 no route, 0 unicast RPF, 0 forced drop ! This line displays the Unicast RPF packet dropping information.

次に、showipinterfaceコマンドの出力例を示します。このコマンドは、特定のインターフェイス 上でドロップまたは抑制されたパケットの合計数を表示します。ドロップまたは抑制されたパケッ トの数がゼロ以外の値の場合、次のいずれかの可能性があります。

•

ユニキャスト

RPFは、不正な送信元アドレスを持つパケットをドロップまたは抑制していま

す（通常の処理）。

•

非対称ルーティングが存在する場合、ルートはユニキャスト

RPFを適切に使用するように設

定されないため、ユニキャスト

RPFが正規のパケットをドロップまたは抑制します。非対称

ルーティングでは、送信元アドレスに最適なリターン パスとして、複数のパスがあります。

Device# show ip interface fastethernet 0/1/1 1 unicast RPF drop

1 unicast RPF suppressed drop

トラブルシューティングのヒント

HSRP エラー

シスコ エクスプレス フォワーディングをディセーブルにする前に、ユニキャスト

RPFをディセー

ブルにできなかった場合、ホットスタンバイ ルータ プロトコル（

HSRP

）エラーが発生する可能 性があります。デバイスでシスコエクスプレスフォワーディングをディセーブルにするには、ま ずユニキャスト

RPF

をディセーブルにする必要があります。

Cisco ASR 900 RSP3

モジュールでシスコ エクスプレス フォワーディングをディセーブルにす

ることはできません。

（注）

ドロップされたブート要求

ユニキャスト

RPF

は、インターフェイスでの送信元アドレスの確認により、0.0.0.0の送信元アド レスを持つブートストラップ プロトコル（

BOOTP

）要求パケットをドロップする可能性がありま

ユニキャスト Reverse Path Forwarding のストリクト モード

ユニキャスト RPF の設定

す。インターフェイスで

BOOTP

要求が機能するには、ユニキャスト

RPF

ではなく

ACL

を使用す る必要があります。

ユニキャスト Reverse Path Forwarding の設定例

例：ユニキャスト RPF の設定

Device# configure terminal

Device(config)# ip cef distributed

Device(config)# interface GigabitEthernet 1/0/2

Device(config-if)# description Connection to Upstream ISP Device(config-if)# ip address 209.165.200.225 255.255.255.252 Device(config-if)# no ip redirects

Device(config-if)# no ip directed-broadcast Device(config-if)# no ip proxy-arp

Device(config-if)# ip verify unicast reverse-path

その他の参考資料

関連資料

マニュアル タイトル 関連項目

『Cisco IOS Master Command List, All Releases』

Cisco IOS

コマンド

•

『

Cisco IOS Security Command Reference: Commands A to C』

•

『Cisco IOS Security Command Reference: Commands D to

L

』

•

『Cisco IOS Security Command Reference: Commands M to

R

』

•

『

Cisco IOS Security Command Reference: Commands S to Z』

ユニキャスト

RPFコマンドの説明

『

Cisco IOS IP Switching Command Reference

』 シスコ エクスプレス フォワーディ

ングのコマンド

標準と RFC

タイトル 標準/RFC

『

Address Allocation for Private Internets

』

RFC 1918

ユニキャスト Reverse Path Forwarding のストリクト モード ユニキャスト Reverse Path Forwarding の設定例

タイトル 標準/RFC

『Network Ingress Filtering: Defeating Denial of Service Attacks

which employ IP Source Address Spoofing

』

RFC 2267

シスコのテクニカル サポート

リンク 説明

http://www.cisco.com/cisco/web/support/index.html

右の

URL

にアクセスして、シスコのテクニカ

ル サポートを最大限に活用してください。これ らのリソースは、ソフトウェアをインストール して設定したり、シスコの製品やテクノロジー に関する技術的問題を解決したりするために使 用してください。この

Web

サイト上のツール にアクセスする際は、

Cisco.com

のログイン

ID

およびパスワードが必要です。

ユニキャスト Reverse Path Forwarding に関する機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフト ウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを 示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでも サポートされます。

プラットフォームのサポートおよびシスコソフトウェアイメージのサポートに関する情報を検索 するには、

Cisco Feature Navigator

を使用します。

Cisco Feature Navigator

にアクセスするには、

www.cisco.com/go/cfn

に移動します。Cisco.comのアカウントは必要ありません。

表 1：ユニキャスト Reverse Path Forwarding に関する機能情報 機能情報 リリース

機能名

ユニキャスト

Reverse Path Forwarding

機能は、

ネットワーク上の悪意のあるトラフィックを制 限します。この機能を使用すると、デバイスは 転送パケットの送信元アドレスの到達可能性を 確認し、ネットワーク上で偽造されたアドレス または不正なアドレスが発生しないように制限 できます。送信元

IP

アドレスが無効な場合、ユ ニキャスト

Reverse Path Forwarding（RPF）はパ

ケットを廃棄します。

Cisco IOS XE Release 2.1

ユニキャスト

Reverse Path Forwarding

ユニキャスト Reverse Path Forwarding のストリクト モード

ユニキャスト Reverse Path Forwarding に関する機能情報

ユニキャスト Reverse Path Forwarding のストリクト モード ユニキャスト Reverse Path Forwarding に関する機能情報

第

3

^章

ユニキャスト Reverse Path Forwarding の ACL サポート

ユニキャスト

Reverse Path Forwarding

機能を使用すると、デバイスを通過する不正な形式または 偽造の

IP

送信元アドレスによって発生する問題を軽減できます。ユニキャスト

Reverse Path Forwarding

の

ACL

サポート機能は、ユニキャスト

Reverse Path Forwarding

機能にアクセス コン トロール リスト（

ACL

）サポートを追加します。

ACL

サポートを使用すると、ユニキャスト

Reverse Path Forwarding（RPF）が、不正なまたは偽造の IP

送信元アドレスを持つデータ パケッ トをドロップまたは転送するかどうを判断できます。

このモジュールでは、ユニキャスト

RPF

の

ACL

サポートについて説明します。

•

機能情報の確認, 23 ページ

•

ユニキャスト

Reverse Path Forwarding

の

ACL

サポートの前提条件

, 24

ページ

•

ユニキャスト

Reverse Path Forwarding

の

ACL

サポートの制限事項

, 24

ページ

•

ユニキャスト

Reverse Path Forwarding

の

ACL

サポートに関する情報, 25 ページ

•

ユニキャスト

Reverse Path Forwarding

の

ACL

サポートの設定方法, 29 ページ

•

ユニキャスト

Reverse Path Forwarding

の

ACL

サポートの設定例

, 31

ページ

•

その他の参考資料

, 31

ページ

•

ユニキャスト

Reverse Path Forwarding

の

ACL

サポートに関する機能情報, 33 ページ

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされ ているとは限りません。最新の機能情報および警告については、

Bug Search Tool

およびご使用の プラットフォームおよびソフトウェア リリースのリリース ノートを参照してください。このモ ジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリスト を確認する場合は、このモジュールの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコソフトウェアイメージのサポートに関する情報を検索 するには、

Cisco Feature Navigator

を使用します。

Cisco Feature Navigator

にアクセスするには、

www.cisco.com/go/cfn

に移動します。Cisco.comのアカウントは必要ありません。

ユニキャスト Reverse Path Forwarding の ACL サポートの 前提条件

•

ユニキャスト

RPF

には、デバイスでシスコ エクスプレス フォワーディングが適切に機能し ている必要があります。

•

ユニキャスト

RPF

の設定前に、次の

ACL

を設定する必要があります。

•

標準または拡張

ACL

を設定し、無効な

IP

アドレスの送信を（出力フィルタリングを実 行して）減らします。標準または拡張

ACL

を設定することで、内部ネットワークから 送信したり、インターネットに接続するために有効な送信元アドレスのみが許可されま す。

•

標準または拡張

ACL

エントリを設定して、無効な送信元

IP

アドレスを含むパケットを ドロップ（拒否）します（入力フィルタリングを実行して）。無効な送信元

IP

アドレ スには次のような種類があります。

◦

ブロードキャスト アドレス（マルチキャスト アドレスなど）

◦

ループバック アドレス

◦

プライベート アドレス（RFC 1918『Address Allocation for Private Internets』）

◦

予約済みアドレス

◦

保護されたネットワークに関連付けられた有効なアドレス範囲に含まれない送信元 アドレス

•

既知の非対称ルートの送信元からの特定のトラフィックを許可するには、標準または拡 張

ACL

エントリを設定して、ユニキャスト

RPF

のチェックに失敗するパケットを転送

（許可）します。

• ACL

を設定して、ユニキャスト

RPF

イベントを追跡し、ネットワーク攻撃に関する追加情

報を提供します。

ユニキャスト Reverse Path Forwarding の ACL サポートの 制限事項

ACL

テンプレートはサポートされていません。

ユニキャスト Reverse Path Forwarding の ACL サポート ユニキャスト Reverse Path Forwarding の ACL サポートの前提条件

ユニキャスト Reverse Path Forwarding の ACL サポートに 関する情報

ユニキャスト RPF の動作

ユニキャスト

RPF

がデバイスのインターフェイスでイネーブルのときは、デバイスはそのイン ターフェイスに対する入力として受信したすべてのパケットを検証して、送信元アドレスおよび 送信元インターフェイスの情報がルーティング テーブルに存在し、パケットを受信したインター フェイスと一致することを確認します。「後方検索機能」は、シスコエクスプレスフォワーディ ングがデバイスでイネーブルの場合にだけ利用可能です。これは、検索が転送情報ベース（

FIB

） に基づいて行われるためです。シスコエクスプレスフォワーディングでは、その動作の一部とし て

FIB

が生成されます。

Cisco ASR 1000

シリーズ アグリゲーション サービス ルータでは、シスコ エクスプレス フォ

ワーディングはデフォルトで有効になっており、無効にすることできません。

（注）

ユニキャスト

RPF

は入力機能であり、接続のアップストリーム エンドのデバイスの入力イン ターフェイスだけに適用されます。

（注）

デバイスのインターフェイスで受信したパケットが、パケットの送信元に最適なリターン パス

（またはリターン ルート）に着信しかたどうかを確認するために、ユニキャスト

RPF

はシスコ エクスプレス フォワーディング テーブルでリバース ルックアップを実行します。パケットが最 適なリバース パス ルートのいずれかから受信された場合、パケットは通常どおりに転送されま す。パケットを受信したインターフェイスにリバースパスルートがない場合、送信元アドレスが 変更された可能性があります。ユニキャスト

RPF

がパケットのリバース パスを見つけられない場 合、ipverifyunicastsource reachable viaコマンドを使用してアクセス コントロール リスト（ACL）

を指定するかどうかに応じて、パケットはドロップまたは転送されます。

ユニキャスト

RPF

では、コストが等しいすべての「最良」リターン パスが有効と見なされま す。各パスがルーティング コスト（ホップ カウント、重みなど）において他と同等であり、

ルートが

FIB

にある場合、ユニキャスト

RPF

は複数のリターンパスをサポートします。また、

ユニキャスト

RPF

は、Enhanced Interior Gateway Routing Protocol（EIGRP）バリアントが使用 される場合にも動作します。

（注）

ユニキャスト

RPF

と

ACL

が設定されたインターフェイスで受信したパケットを転送する前に、

ユニキャスト

RPF

は次のチェックを実行します。

1

入力

ACL

がインバウンド インターフェイスで設定されているかどうか。

ユニキャスト Reverse Path Forwarding の ACL サポート

ユニキャスト Reverse Path Forwarding の ACL サポートに関する情報