IPv6 アドレッシングおよび基本的な接続のコンフィギュレーション ガイド、Cisco IOS XE Release 3S
IPv6 のユニキャスト リバース パス転送
IPv6 のユニキャスト リバース パス転送
発行日;2013/06/17   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

IPv6 のユニキャスト リバース パス転送

IPv6 のユニキャスト リバース パス転送機能により、IPv6 デバイスを経由する不正形式または偽造(スプーフィング)IPv6 送信元アドレスを原因とする問題が軽減されます。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の警告および機能情報については、『Bug Search Tool』およびご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

IPv6 のユニキャスト リバース パス転送の前提条件

  • ユニキャスト リバース パス転送(uRPF)を使用するには、ルータでシスコ エクスプレス フォワーディング スイッチングまたは分散型シスコ エクスプレス フォワーディング スイッチングをイネーブルにします。 シスコ エクスプレス フォワーディング スイッチングの入力インターフェイスを設定する必要はありません。 シスコ エクスプレス フォワーディングがデバイス上で実行されているかぎり、個々のインターフェイスは他のスイッチング モードで設定できます。
  • uRPF が機能するためには、デバイスでシスコ エクスプレス フォワーディングがグローバルに設定されている必要があります。 uRPF は、シスコ エクスプレス フォワーディングがないと動作しません。
  • uRPF は、ネットワーク内部のインターフェイスでは使用できません。 内部インターフェイスは、ルーティングを非対称にする可能性が高く、パケットの送信元へのルートが複数存在する場合が多いからです。 uRPF は、元々対称であるか、対称に設定されている場合にだけ適用してください。 たとえば、ISP のネットワークのエッジにあるデバイスは、ISP ネットワークのコアにあるデバイスよりも対称リバース パスを持つ可能性が高くなります。 ISP ネットワークのコアにあるデバイスでは、デバイスからの最良の転送パスがデバイスへ返されるパケットに対して選択されるパスとなることが保証されません。 したがって、非対称ルーティングの可能性がある uRPF の適用は推奨されません。 ネットワークのエッジにだけ、または ISP の場合はネットワークのカスタマー エッジにだけ uRPF を配置します。

IPv6 のユニキャスト リバース パス転送について

ユニキャスト リバース パス転送

IPv6 のユニキャスト リバース パス転送機能を使用すると、IPv6 デバイスを経由する不正形式またはスプーフィング IPv6 送信元アドレスを原因とする問題が軽減されます。 不正形式または偽造送信元アドレスは、送信元 IPv6 アドレス スプーフィングに基づくサービス拒絶(DoS)攻撃を示すことがあります。

インターフェイスで uRPF がイネーブルになっている場合、デバイスはそのインターフェイスで受信したすべてのパケットを調べます。 デバイスは、送信元アドレスがルーティング テーブルにあり、パケットが受信されるインターフェイスと一致するか確認します。 この「後方参照」機能を使用できるのは、シスコ エクスプレス フォワーディングがデバイスでイネーブルにされている場合のみです。これは、ルックアップが転送情報ベース(FIB)の存在に依存しているためです。 シスコ エクスプレス フォワーディングでは、その動作の一部として FIB が生成されます。


(注)  


uRPF は入力機能であり、接続のアップストリーム エンドのデバイスの入力インターフェイスだけに適用されます。


uRPF 機能では、デバイス インターフェイスで受信されたパケットが、パケットの送信元への最良リターン パスの 1 つで着信するかどうかが検証されます。 この機能では、シスコ エクスプレス フォワーディング テーブルのリバース ルックアップが実行されます。 uRPF がパケットのリバース パスを見つけることができない場合、uRPF は、アクセス コントロール リスト(ACL)が指定されているかどうかに応じてパケットをドロップまたは転送できます。 ACL が指定されている場合は、パケットが uRPF チェックに失敗した場合にだけ、パケットが(ACL の deny ステートメントを使用して)ドロップされる必要があるか、(ACL の permit ステートメントを使用して)転送される必要があるかを確認するために ACL がチェックされます。 パケットがドロップされるか転送されるかにかかわらず、パケットは、uRPF ドロップのグローバル IP トラフィック統計情報と uRPF のインターフェイス統計情報でカウントされます。

ACL が指定されていない場合、デバイスは偽造または不正形式のパケットを即時にドロップし、ACL ロギングは行われません。 デバイスおよびインターフェイス uRPF カウンタが更新されます。

uRPF イベントは、ACL エントリのロギング オプションを指定することでロギングできます。 ログ情報を使用して、送信元アドレスや時間など、攻撃に関する情報を収集できます。


(注)  


uRPF では、コストが等しいすべての「最良」リターン パスが有効と見なされます。 複数のリターン パスが存在していても、各パスのルーティング コスト(ホップ数や加重など)が他のパスと等しく、そのルートが FIB 内にあるかぎり、uRPF は機能します。


IPv6 のユニキャスト リバース パス転送の設定方法

ユニキャスト RPF の設定

はじめる前に

uRPF を使用するには、デバイスでシスコ エクスプレス フォワーディング スイッチングまたは分散型シスコ エクスプレス フォワーディング スイッチングをイネーブルにします。 シスコ エクスプレス フォワーディング スイッチングの入力インターフェイスを設定する必要はありません。 シスコ エクスプレス フォワーディングがデバイス上で実行されているかぎり、個々のインターフェイスは他のスイッチング モードで設定できます。


(注)  


デバイスでシスコ エクスプレス フォワーディングがグローバルに設定されている必要があります。 uRPF は、シスコ エクスプレス フォワーディングがないと動作しません。



(注)  


uRPF は、ネットワーク内部のインターフェイスでは使用できません。 内部インターフェイスは、ルーティングを非対称にする可能性が高く、パケットの送信元へのルートが複数存在する場合が多いからです。 uRPF は、元々対称であるか、対称に設定されている場合にだけ適用してください。

たとえば、ISP のネットワークのエッジにあるデバイスは、ISP ネットワークのコアにあるデバイスよりも対称リバース パスを持つ可能性が高くなります。 ISP ネットワークのコアにあるデバイスでは、デバイスからの最良の転送パスがデバイスへ返されるパケットに対して選択されるパスとなることが保証されません。 したがって、非対称ルーティングの可能性がある uRPF の適用は推奨されません。 ネットワークのエッジにだけ、または ISP の場合はネットワークのカスタマー エッジにだけユニキャスト uRPF を配置するのが最も単純です。


手順の概要

    1.    enable

    2.    configure terminal

    3.    interface type number

    4.    ipv6 verify unicast source reachable-via {rx | any} [allow-default] [allow-self-ping] [access-list-name


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 enable


    例:
    Device> enable
     

    特権 EXEC モードをイネーブルにします。

    • パスワードを入力します(要求された場合)。
     
    ステップ 2 configure terminal


    例:
    Device# configure terminal
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 3 interface type number


    例:
    Device(config)# interface gigabitethernet 0/0/0
     

    インターフェイスのタイプと番号を指定し、デバイスをインターフェイス コンフィギュレーション モードにします。

     
    ステップ 4 ipv6 verify unicast source reachable-via {rx | any} [allow-default] [allow-self-ping] [access-list-name


    例:
    Device(config-if)# ipv6 verify unicast source reachable-via any
     

    送信元アドレスが FIB テーブルに存在していることを確認し、uRPF をイネーブルにします。

     

    IPv6 のユニキャスト リバース パス転送の設定例

    例:IPv6 のユニキャスト リバース パス転送の設定

    Device# show ipv6 traffic
    IPv6 statistics:
      Rcvd:  0 total, 0 local destination
             0 source-routed, 0 truncated
             0 format errors, 0 hop count exceeded
             0 bad header, 0 unknown option, 0 bad source
             0 unknown protocol, 0 not a router
             0 fragments, 0 total reassembled
             0 reassembly timeouts, 0 reassembly failures
             0 unicast RPF drop, 0 suppressed RPF drop
      Sent:  0 generated, 0 forwarded
             0 fragmented into 0 fragments, 0 failed
             0 encapsulation failed, 0 no route, 0 too big
    

    その他の関連資料

    関連資料

    関連項目

    参照先

    IPv6 のアドレッシングと接続

    『IPv6 Configuration Guide』

    IPv4 スイッチングの設定

    『IP Switching Cisco Express Forwarding Configuration Guide』

    Cisco IOS コマンド

    『Cisco IOS Master Commands List, All Releases』

    IPv6 コマンド

    『Cisco IOS IPv6 Command Reference』

    Cisco IOS IPv6 機能

    『Cisco IOS IPv6 Feature Mapping』

    標準および RFC

    標準/RFC

    タイトル

    IPv6 に関する RFC

    『IPv6 RFCs』

    MIB

    MIB

    MIB のリンク

    この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

    選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

    http:/​/​www.cisco.com/​go/​mibs

    シスコのテクニカル サポート

    説明

    リンク

    シスコのサポートおよびドキュメンテーション Web サイトでは、ダウンロード可能なマニュアル、ソフトウェア、ツールなどのオンライン リソースを提供しています。 これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。 この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

    http:/​/​www.cisco.com/​cisco/​web/​support/​index.html

    IPv6 のユニキャスト リバース パス転送の機能情報

    次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。

    プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

    表 1 IPv6 のユニキャスト リバース パス転送の機能情報

    機能名

    リリース

    機能情報

    IPv6 のユニキャスト リバース パス転送

    12.2(50)SY

    Cisco IOS XE Release 2.1

    uRPF 機能を使用すると、IPv6 デバイスを経由する不正形式またはスプーフィング IPv6 送信元アドレスを原因とする問題が軽減されます。 不正な形式の送信元アドレスまたは偽装された送信元アドレスは、送信元 IPv6 アドレスのスプーフィングに基づく DoS 攻撃である場合があります。

    ipv6 verify unicast source reachable-viashow ipv6 traffic の各コマンドが追加または変更されています。