Cisco IOS XE セキュリティ コンフィギュレーショ ン ガイド:データ プレーンのセキュリティ保護
ユニキャスト リバース パス転送の設定
ユニキャスト リバース パス転送の設定
発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

ユニキャスト リバース パス転送の設定

機能情報の確認

目次

ユニキャスト リバース パス転送の前提条件

ユニキャスト リバース パス転送に関する制約事項

ユニキャスト リバース パス転送について

ユニキャスト リバース パス転送の概要

ユニキャスト RPF の機能

アクセス コントロール リストとロギング

インターフェイス別の統計情報

原理を実装するユニキャスト RPF

セキュリティ ポリシーとユニキャスト RPF

ユニキャスト RPF の入力および出力フィルタリング ポリシー

ユニキャスト RPF を使用する場所

ルーティング テーブルの要件

ユニキャスト RPF を使用すべきではない場所

BOOTP および DHCP を使用するユニキャスト RPF

ユニキャスト ユニキャスト リバース パス転送の設定方法

ユニキャスト RPF の設定

RPF を設定するための前提条件

ユニキャスト RPF の確認

トラブルシューティングのヒント

ユニキャスト RPF のモニタリングとメンテナンス

ユニキャスト RPF の設定例

インバウンドおよびアウトバウンド フィルタを使用するユニキャスト RPF:例

ACL とロギングを使用するユニキャスト RPF :例

その他の関連資料

関連マニュアル

RFC

シスコのテクニカル サポート

ユニキャスト リバース パス転送に関する機能情報

ユニキャスト リバース パス転送の設定

この章では、Unicast Reverse Path Forwarding(Unicast RPF; ユニキャスト リバース パス転送)機能について説明します。ユニキャスト RPF 機能を使用すると、ルータを通過する不正な形式または偽造の IP 送信元アドレスによって発生する問題を軽減できます。

機能情報の確認

最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。このモジュールで説明される機能に関する情報、および各機能がサポートされるリリースの一覧については、「ユニキャスト リバース パス転送に関する機能情報」を参照してください。

プラットフォームのサポートおよび Cisco IOS XE ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

ユニキャスト リバース パス転送の前提条件

ユニキャスト RPF には、ルータでシスコ エクスプレス フォワーディングが適切に機能している必要があります。

ユニキャスト RPF を設定する前に、ACL を設定します。

標準または拡張 ACL を設定して、無効な IP アドレスの送信を軽減します(出力フィルタリングを実行します)。有効な送信元アドレスのみが内部ネットワークから送信され、インターネットに到達するように許可します。その他すべての送信元アドレスは、内部ネットワークからインターネットに送信されません。

標準または拡張 ACL エントリを設定して、無効な送信元 IP アドレスを含むパケットをドロップ(拒否)します(入力フィルタリングを実行します)。無効な送信元 IP アドレスには次のような種類があります。

予約済みアドレス

ループバック アドレス

プライベート アドレス(RFC 1918『Address Allocation for Private Internets』)

ブロードキャスト アドレス(マルチキャスト アドレスなど)

保護されたネットワークに関連付けられた有効なアドレス範囲に含まれない送信元アドレス

既知の非対称ルートの送信元からの特定のトラフィックを許可するには、標準または拡張 ACL エントリを設定して、ユニキャスト RPF のチェックに失敗するパケットを転送(許可)します。

ロギング オプションを ACL コマンドに追加することで、ACL を設定し、ユニキャスト RPF イベントを追跡します。ネットワーク攻撃の発生時は、ドロップまたは転送されたパケット(抑制されたドロップ)の適切なロギングによって、ネットワーク攻撃に関する追加情報がわかります。

ユニキャスト リバース パス転送に関する制約事項

ユニキャスト RPF をマルチホーミングのクライアントに適用する場合、基本的な制約事項がいくつかあります。

同じルータに対して、クライアントをマルチホーミングしないでください。マルチホーミングすると、クライアント用に冗長サービスを構築する目的が損なわれます。

リンクに沿って(インターネットに向けて)送信されるパケットは、リンクからアドバタイズされたルートと一致させる必要があります。一致しない場合、ユニキャスト RPF はそのパケットを不正な形式のパケットとしてフィルタします。

ユニキャスト RPF を使用できるのは、シスコ エクスプレス フォワーディングをサポートするプラットフォーム イメージの場合のみです。

ユニキャスト リバース パス転送について

ユニキャスト RPF を設定する前に、次の概念について理解する必要があります。

「ユニキャスト リバース パス転送の概要」

「ユニキャスト RPF の機能」

「原理を実装するユニキャスト RPF」

ユニキャスト リバース パス転送の概要

ユニキャスト RPF 機能を使用して、検証可能な IP 送信元アドレスがない IP パケットを廃棄することで、不正な形式または偽造(偽装)の IP 送信元アドレスがネットワークで使用されることによって発生する問題を軽減できます。たとえば、スマーフや Tribal Flood Network(TFN)など、多数ある一般的な種類の Denial-of-Service(DoS; サービス拒否)攻撃では、偽造または頻繁に変化する送信元 IP アドレスを使用して、攻撃を特定またはフィルタする処理を阻止する可能性があります。パブリック アクセスを提供する Internet Service Provider(ISP; インターネット サービス プロバイダー)の場合、ユニキャスト RPF は、有効で IP ルーティング テーブルに整合性がある送信元アドレスを含むパケットのみを転送することで、このような攻撃をかわしています。この処理によって、ISP のネットワーク、顧客、およびインターネットのその他の要素を保護します。

ユニキャスト RPF の機能

インターフェイスでユニキャスト RPF をイネーブルにすると、ルータでは、そのインターフェイスで入力として受信したすべてのパケットを確認し、送信元アドレスおよび送信元インターフェイスがルーティング テーブルに出現し、パケットを受信したインターフェイスと一致することを確認します。この「後方参照」機能を使用できるのは、シスコ エクスプレス フォワーディングがルータでイネーブルにされている場合のみです。これは、ルックアップが Forwarding Information Base(FIB; 転送情報ベース)の存在に依存しているためです。シスコ エクスプレス フォワーディングによって、操作の一部として FIB が生成されます。


) ユニキャスト RPF は入力機能であり、接続のアップストリーム終端にあるルータの入力インターフェイスにのみ適用されます。


ユニキャスト RPF は、ルータ インターフェイスで受信したパケットが、パケットの送信元に対する最適なリターン パス(リターン ルート)で到達したかどうかを確認します。ユニキャスト RPF はシスコ エクスプレス フォワーディング テーブルで逆ルックアップを実行することで、この処理を行います。パケットが最適なリバース パス ルートのいずれかから受信された場合、パケットは通常どおりに転送されます。パケットを受信したパスと同じインターフェイスにリバース パス ルートがない場合、送信元アドレスが変更された可能性があります。ユニキャスト RPF でパケットのリバース パスが見つからない場合、Access Control List(ACL; アクセス コントロール リスト)が ip verify unicast reverse-path インターフェイス コンフィギュレーション コマンドで指定されているかどうかによって、パケットはドロップまたは転送されます。


) ユニキャスト RPF では、コストが同等の「最適な」リターン パスはすべて有効と見なされます。つまり、複数のリターン パスが存在し、ルーティング コスト(ホップ数、重みなど)に関して他のパスと同等で、ルートが FIB に存在する場合、ユニキャスト RPF は機能します。また、EIGRP バリアントが使用され、送信元 IP アドレスに戻る同等ではない候補パスが存在する場合も、ユニキャスト RPF は機能します。


ユニキャスト RPF と ACL を設定したインターフェイスでパケットを受信した場合、次の処理が発生します。


ステップ 1 インバウンド インターフェイスで設定されたインバウンド ACL が確認されます。

ステップ 2 ユニキャスト RPF は、パケットが送信元に対する最適なリターン パスで到達したかどうかを確認します。こ処理には、FIB テーブルの逆ルックアップを実行します。

ステップ 3 シスコ エクスプレス フォワーディング テーブル(FIB)のルックアップは、パケット フォワーディングのために実行されます。

ステップ 4 出力 ACL は、アウトバウンド インターフェイスで確認されます。

ステップ 5 パケットは転送されます。


 

ここでは、次のユニキャスト RPF の強化について説明します。

「アクセス コントロール リストとロギング」

「インターフェイス別の統計情報」

アクセス コントロール リストとロギング

コマンドで ACL を指定し、パケットがユニキャスト RPF の確認に失敗した場合にのみ、ACL を確認して(ACL で deny ステートメントを使用して)パケットをドロップするか、(ACL で permit ステートメントを使用して)転送するかを参照します。パケットをドロップするか転送するかに応じて、パケットはユニキャスト RPF ドロップの全体的な IP トラフィックの統計情報、およびユニキャスト RPF のそのインターフェイスの統計情報でカウントされます。

ユニキャスト RPF コマンドで ACL を指定しない場合、ルータは偽造または不正な形式のパケットをただちにドロップし、ACL のロギングは発生しません。ルータおよびインターフェイスのユニキャスト RPF カウンタは更新されます。

ユニキャスト RPF イベントをロギングするには、ユニキャスト RPF コマンドで使用する ACL エントリのロギング オプションを指定します。管理者はログ情報を使用して、送信元アドレスが攻撃で使用されたことや、パケットがインターフェイスに到達した時刻などを確認できます。


注意 ロギングには、CPU とメモリ リソースが必要です。偽造パケットの頻度が高い攻撃のユニキャスト RPF イベントをロギングすると、ルータのパフォーマンスが低下する可能性があります。

インターフェイス別の統計情報

インターフェイスでパケットがドロップまたは転送されるたびに、その情報は 2 つの方法でカウントされます。ルータ全体のカウントと、ユニキャスト RPF を適用したインターフェイス別のカウントです。ドロップされたパケットに関する全体的な統計情報では、ネットワークに対する攻撃の可能性に関する情報がわかります。ただし、このグローバルな統計情報では、攻撃元のインターフェイスを特定するには役立ちません。

ネットワーク管理者はインターフェイス別の統計情報を使用することで、不正な形式のパケットに関してユニキャスト RPF のドロップと、ユニキャスト RPF の抑制されたドロップという 2 種類の情報を追跡できます。ユニキャスト RPF がドロップするパケット数に関する統計情報で、攻撃のエントリ ポイントであるインターフェイスを特定できます。ユニキャスト RPF のドロップ数では、そのインターフェイスのドロップ数が追跡されます。ユニキャスト RPF の抑制されたドロップ数では、ユニキャスト RPF の確認に失敗しても、ACL に設定されている permit 権限のために転送されたパケット数が追跡されます。ネットワーク管理者は、ドロップ数と抑制されたドロップ数の統計情報を使用して、特定のインターフェイスで攻撃を隔離する手順を採用できます。


) ACL ロギングを適切に使用することで、ユニキャスト RPF でドロップされる 1 つまたは複数のアドレスを細かく特定できます。


図 1 に、ユニキャスト RPF とシスコ エクスプレス フォワーディングを併用し、パケットのリターン パスを確認することで、IP 送信元アドレスを検証する方法を示します。この例では、ユーザがインターフェイス FDDI 2/0/0 から送信元アドレスが 192.168.1.1 のパケットを送信しました。ユニキャスト RPF は FIB で、FDDI 2/0/0 に対するパスが 192.168.1.1 にあるかどうかを確認します。一致するパスがある場合、パケットは転送されます。一致するパスがない場合、パケットはドロップされます。

図 1 IP 送信元アドレスを検証するユニキャスト RPF

 

図 2 に、検証に失敗したパケットをユニキャスト RPF がドロップする方法を示します。この例では、ユーザは送信元アドレスが 209.165.200.225 のパケットを送信しました。これはインターフェイス FDDI 2/0/0 で受信したパケットです。ユニキャスト RPF は FIB で、FDDI 2/0/0 に対するリターン パスが 209.165.200.225 にあるかどうかを確認します。一致するパスがある場合、パケットは転送されます。この場合、ルーティング テーブルに、ユーザのパケットをインターフェイス FDDI 2/0/0 上の送信元アドレス 209.165.200.225 に戻すリバース エントリはありません。そのため、パケットはドロップされます。

図 2 検証に失敗したパケットをドロップするユニキャスト RPF

 

原理を実装するユニキャスト RPF

ユニキャスト RPF には、主要な実装原理がいくつかあります。

パケットは、パケットの送信元に対する最適なリターン パス(ルート)があるインターフェイスで受信する必要があります(このプロセスは 対照ルーティング と呼ばれます)。FIB には、受信側インターフェイスに対するルートと一致するルートが存在する必要があります。FIB にルートを追加する処理は、スタティック ルート、ネットワーク ステートメント、またはダイナミック ルーティングを介して実行できます (パケットが、特定の最適ではない非対称入力パスによって到達することがわかっている場合、ユニキャスト RPF の使用を ACL で許可します)。

受信側インターフェイスでの IP 送信元アドレスは、そのインターフェイスのルーティング エントリと一致する必要があります。

ユニキャスト RPF は入力機能であり、接続のアップストリーム終端にあるルータの入力インターフェイスにのみ適用されます。

このような実装原理があるため、ダウンストリーム ネットワークまたは ISP からインターネットに対する他の接続がない場合でも、ユニキャスト RPF は、顧客のためだけでなく、ダウンストリーム ネットワークまたは ISP のためにもネットワーク管理者が使用できるツールになります。


注意 重みやローカル プリファレンスなど、オプションの BGP アトリビュートを使用して、送信元アドレスに戻る最適なパスを変更できます。変更によって、ユニキャスト RPF の操作に影響が出ます。

ここでは、ユニキャスト RPF の実装に関する情報を説明します。

「セキュリティ ポリシーとユニキャスト RPF」

「ユニキャスト RPF の入力および出力フィルタリング ポリシー」

「ユニキャスト RPF を使用する場所」

「ルーティング テーブルの要件」

「ユニキャスト RPF を使用すべきではない場所」

「BOOTP および DHCP を使用するユニキャスト RPF」

セキュリティ ポリシーとユニキャスト RPF

ユニキャスト RPF を展開するためのポリシーを決定する際には、次の点を考慮します。

ユニキャスト RPF は、ネットワークの広範な部分からダウンストリームのインターフェイス(できればネットワークのエッジ)に適用する必要があります。

ユニキャスト RPF の適用先がダウンストリームになるほど、アドレスの偽造を軽減し、偽造されたアドレスの送信元を特定するときに細かく制御できます。たとえば、集約ルータにユニキャスト RPF を適用すると、多数のダウンストリーム ネットワークまたはクライアントからの攻撃を軽減でき、管理は容易ですが、攻撃元の特定には役立ちません。ネットワーク アクセス サーバにユニキャスト RPF を適用すると、攻撃の範囲を絞り、攻撃元を追跡しやすくなります。ただし、多数のサイトにユニキャスト RPF を展開すると、ネットワーク運用の管理コストが増加します。

インターネット、イントラネット、およびエクストラネットのリソースにわたってユニキャスト RPF を展開するエンティティ数が多くなるほど、インターネット コミュニティ全体の大規模なネットワークの中断を軽減できる可能性と、攻撃元を追跡できる可能性が高くなります。

ユニキャスト RPF はトンネルでカプセル化された IP パケットを検査しません(GRE、LT2P、PPTP など)。ユニキャスト RPF はホーム ゲートウェイで設定する必要があるため、トンネリングおよびカプセル化レイヤがパケットから削除された後にのみ、ユニキャスト RPF は処理されます。

ユニキャスト RPF の入力および出力フィルタリング ポリシー

ユニキャスト RPF は、Cisco IOS XE Access Control List(ACL; アクセス コントロール リスト)を使用した入力および出力フィルタリングのポリシーと組み合わせることで、スプーフィング攻撃を軽減する際の効果が高くなります。

入力フィルタリングは、内部ネットワークまたは外部ネットワークから送信され、ネットワーク インターフェイスで受信されたトラフィックに対してフィルタを適用します。入力フィルタリングでは、ローカル ネットワーク、プライベート、またはブロードキャスト アドレスと一致する送信元アドレスを持つ、他のネットワークまたはインターネットから着信したパケットはドロップされます。たとえば、ISP 環境では、クライアント(顧客)またはインターネットからルータに受信したトラフィックに、入力フィルタリングを適用できます。

入力フィルタリングは、ネットワーク インターフェイス(送信側インターフェイス)を終了するトラフィックに対してフィルタを適用します。ネットワークをインターネットまたは他のネットワークに接続するルータ上のパケットをフィルタリングすることで、有効な送信元 IP アドレスがあるパケットのみを内部ネットワークから送信できます。

ネットワーク フィルタリングの詳細については、RFC 2267『 Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing 』を参照してください。

ユニキャスト RPF を使用する場所

ユニキャスト RPF は、ネットワークから出るアクセス ポイントが実質的に 1 つ(つまり、アップストリーム接続が 1 つ)のみの「シングルホーム」の環境で使用できます。1 つのアクセス ポイントを持つネットワークは、対照ルーティングの最適な例です。つまり、パケットがネットワークに入るインターフェイスが、IP パケットの送信元に対する最適なリターン パスでもあるインターフェイスです。ユニキャスト RPF の最も一般的な使用場所は、インターネット、イントラネット、またはエクストラネット環境のネットワーク周辺機器、または顧客ネットワークの終端用の ISP 環境にあるネットワーク周辺機器です。

ここでは、次の 2 つのネットワーク環境でユニキャスト RPF を実装する場合に注目します。

「ISP に対して単一の接続ポイントを持つ企業ネットワーク」

「ネットワーク アクセス サーバ アプリケーション(PSTN/ISDN PoP 集約ルータでのユニキャスト RPF の適用)」

ISP に対して単一の接続ポイントを持つ企業ネットワーク

企業ネットワークでは、入力インターフェイスでトラフィックをフィルタリングする際に( 入力フィルタリング と呼ばれるプロセス)ユニキャスト RPF を使用する 1 つの目的は、インターネットから着信した不正な形式のパケットから保護することです。従来、インターネットに対して 1 つの接続ポイントを持つローカル ネットワークは、受信インターフェイスとして ACL を使用して、偽造されたパケットがインターネットからローカル ネットワークに入らないようにしていました。

多くのシングルホームのユーザについては、ACL が役立ちますが、入力フィルタとして ACL を使用するときは、2 つの共通して参照される制約事項を含め、トレードオフがあります。

非常に高いパケット レートでの Packet Per Second(PPS)パフォーマンス

ACL のメンテナンス(ネットワークに追加される新しいアドレスがあるかどうか)

ユニキャスト RPF は、これらの制約事項の両方に対処できる 1 つのツールです。ユニキャスト RPF を使用すると、入力フィルタリングはシスコ エクスプレス フォワーディングの PPS レートで実行されます。リンクが 1 Mbps を超える場合、この処理速度は変わります。さらに、ユニキャスト RPF は FIB を使用するため、ACL のメンテナンスは必要ありません。その結果、従来の ACL のような管理コストは軽減されます。次の図と例は、入力フィルタリングのためにユニキャスト RPF を設定する方法を示します。

図 3 に、アップストリーム ISP に対して単一リンクがある企業ネットワークを示します。この例では、インターネットから到達する不正な形式のパケットから保護するために、ユニキャスト RPF は企業ルータのインターフェイス S0/1/0 に適用されます。また、ユニキャスト RPF は、企業ネットワークから不正な形式のパケットが送信されないように保護するために、ISP ルータ上のインターフェイス S2/0/0 にも適用されます。

図 3 入力フィルタリングのためにユニキャスト RPF を使用した企業ネットワーク

 

図 3 ではトポロジ図を使用して、ISP ルータ上の一般的な構成を示します(シスコ エクスプレス フォワーディングが有効であると仮定します)。

ip cef
interface loopback 0
description Loopback interface on Gateway Router 2
ip address 192.168.3.1 255.255.255.255
no ip redirects
no ip directed-broadcast
no ip proxy-arp
interface Serial 2/0/0
description 128K HDLC link to ExampleCorp WT50314E R5-0
bandwidth 128
ip unnumbered loopback 0
ip verify unicast reverse-path
no ip redirects
no ip directed-broadcast
no ip proxy-arp
ip route 192.168.10.0 255.255.252.0 Serial 2/0/0
 

企業ネットワークのゲートウェイ ルータ構成は、次のようになります(シスコ エクスプレス フォワーディングが有効であると仮定します)。

ip cef
interface FastEthernet 0/0/0
description ExampleCorp LAN
ip address 192.168.10.1 255.255.252.0
no ip redirects
no ip directed-broadcast
no ip proxy-arp
interface Serial 0/1/0
description 128K HDLC link to ExampleCorp Internet Inc WT50314E C0
bandwidth 128
ip unnumbered FastEthernet 0/0/0
ip verify unicast reverse-path
no ip redirects
no ip directed-broadcast
no ip proxy-arp
ip route 0.0.0.0 0.0.0.0 Serial 0/1/0
 

この図で、ユニキャスト RPF が単一のデフォルト ルートで機能することがわかります。追加のルートやルーティング プロセスはありません。ネットワーク 192.168.10.0/22 は接続済みネットワークです。そのため、送信元アドレスが 192.168.10.0/22 の範囲内にあるインターネットからの着信パケットは、ユニキャスト RPF によってドロップされます。

ネットワーク アクセス サーバ アプリケーション(PSTN/ISDN PoP 集約ルータでのユニキャスト RPF の適用)

集約ルータは、シングルホームのクライアントでユニキャスト RPF を使用する場合に最適な場所です。ユニキャスト RPF は、インターネットに対するリース回線または PSTN/ISDN/xDSL の顧客の接続で同様に機能します。実際、ダイヤルアップ接続は、偽造 IP アドレスを使用した DoS 攻撃の最大の原因になると言われています。ネットワーク アクセス サーバがシスコ エクスプレス フォワーディングをサポートする限り、ユニキャスト RPF は機能します。このトポロジでは、顧客の集約ルータがインターネット ルーティング テーブル全体を保持する必要はありません。集約ルータには、ルーティングのプレフィクス情報(IP アドレス ブロック)が必要です。そのため、Interior Gateway Protocol(IGP)または Internal Border Gateway Protocol(IBGP)(内部ネットワークに対する顧客のルートを追加する方法によって異なります)で設定または再配布された情報があれば、ユニキャスト RPF がジョブを実行するために十分です。

図 4 に、Internet Service Provider(ISP)の Point of Presence(POP)の場合の、集約およびアクセス ルータに対するユニキャスト RPF のアプリケーションを示します。この ISP ルータはダイヤルアップのユーザ接続を提供しています。この例では、ユニキャスト RPF は、ISP の集約ルータの受信(入力)インターフェイス上にあるユーザのダイヤルアップ接続ルータからアップストリームに適用されます。

図 4 PSTN/ISDN ユーザ接続に適用されるユニキャスト RPF

 

ルーティング テーブルの要件

ユニキャスト RPF が適切に機能するには、シスコ エクスプレス フォワーディング テーブルに適切な情報が必要です。この要件は、ルータがインターネット ルーティング テーブル全体を保持する必要があることを意味しません。シスコ エクスプレス フォワーディング テーブルに必要なルーティング情報の内容は、ユニキャスト RPF を設定する場所と、ルータがネットワークで実行する機能によって異なります。たとえば、ISP 環境では、ルータが顧客向けのリース回線の集約ルータである場合、IGP または IBGP(ネットワークで使用される技術によって異なります)に再配布されるスタティック ルートに基づく情報のみが必要です。ユニキャスト RPF は顧客のインターフェイスで設定されます。そのため、最小限のルーティング情報に関する要件です。別のシナリオで、シングルホームの ISP は、インターネットに対するゲートウェイ リンクにユニキャスト RPF を配置する場合があります。この場合、インターネット ルーティング テーブル全体が必要です。ルーティング テーブル全体を必須にすることで、インターネット ルーティング テーブルに含まれないアドレスを使用する外部の DoS 攻撃から、ISP を保護できます。

ユニキャスト RPF を使用すべきではない場所

ユニキャスト RPF は、ネットワークの内側であるインターフェイスに使用しないでください。内部インターフェイスは、ルーティングが非対称図 5 を参照)な場合があります。つまり、パケットの送信元に対して複数のルートがあります。ユニキャスト RPF は、そのままで、または設定して対照的な場合にのみ適用する必要があります。管理者が、ユニキャスト RPF を有効にするインターフェイスを慎重に計画する限り、ルーティングの非対称は重大な問題にはなりません。

たとえば、ISP のネットワークのエッジにあるルータは、ISP ネットワークの中核にあるルータよりも、対照的なリバース パスを持っている可能性が高くなります。ISP ネットワークの中核にあるルータでは、ルータから阻止される最適な転送パスが、ルータに戻るパケットに選択されたパスである保証はありません。そのため、ACL を使用して、ルータが着信パケットを受け入れることを許可しない限り、非対称ルーティングの可能性がある場合にユニキャスト RPF を適用することは推奨されません。パケットが、特定の最適ではない非対称入力パスによって到達することがわかっている場合、ユニキャスト RPF の使用を ACL で許可します。ただし、ネットワークのエッジ(ISP の場合は、ネットワークの顧客のエッジ)にのみ、ユニキャスト RPF を配置するのが最も単純です。

図 5 に、非対称ルーティング環境で、ユニキャスト RPF が正規のトラフィックをブロックする可能性がある場合を示します。

図 5 非対称ルーティング環境でトラフィックをブロックするユニキャスト RPF

 

BOOTP および DHCP を使用するユニキャスト RPF

ユニキャスト RPF では、0.0.0.0 の送信元と 255.255.255.255 の宛先を持つパケットを渡すことができます。そのため、Bootstrap Protocol(BOOTP)および Dynamic Host Configuration Protocol(DHCP)の関数は適切に動作します。

ユニキャスト ユニキャスト リバース パス転送の設定方法

ここでは、ユニキャスト RPF の設定方法および確認方法について説明します。

「ユニキャスト RPF の設定」

「ユニキャスト RPF の確認」

「ユニキャスト RPF のモニタリングとメンテナンス」

ユニキャスト RPF の設定

ユニキャスト RPF を設定するには、次の作業を実行します。

RPF を設定するための前提条件

ユニキャスト RPF を使用するには、シスコ エクスプレス フォワーディング スイッチングまたはシスコ エクスプレス フォワーディング分散型スイッチング用にルータを設定する必要があります。ユニキャスト RPF は、送信元 IP アドレスを使用した FIB を介する検索として実装されたため、シスコ エクスプレス フォワーディング スイッチングの入力インターフェイスを設定する必要はありません。シスコ エクスプレス フォワーディングがルータで実行されている限り、他のスイッチング モードでコンフィギュレーション コマンドのインターフェイスを設定できます。ユニキャスト RPF は、任意の種類のカプセル化をサポートし、ルータで受信される IP パケットについて処理する、インターフェイスまたはサブインターフェイスで使用可能な入力側の機能です。シスコ エクスプレス フォワーディングをルータ全体で調整することは非常に重要です。シスコ エクスプレス フォワーディングを使用しないと、ユニキャスト RPF は機能しません。

手順の概要

1. enable

2. configure terminal

3. ip cef [ distributed ]

4. interface slot / subslot / port [ . subinterface-number ]

5. ip verify unicast reverse-path list

6. exit

7. ユニキャスト RPF を適用するインターフェイスごとに、ステップ 4 および 5 を繰り返します。

8. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip cef [ distributed ]

 

Router(config)# ip cef distributed

ルータでシスコ エクスプレス フォワーディングまたは分散型シスコ エクスプレス フォワーディングをイネーブルにします。

ステップ 4

Router(config-if)# interface slot / subslot / port [. subinterface-number ]

 

Router(config-if)# interface FastEthernet 0/0/0

ユニキャスト RPF を適用する入力インターフェイスを選択します。これは受信側インターフェイスです。ユニキャスト RPF は次の宛先にパケットを転送する前に、最適なリターン パスを確認できます。

ステップ 5

ip verify unicast reverse-path list

 

Router(config-if)# ip verify unicast reverse-path 197

インターフェイスでユニキャスト RPF をイネーブルにします。 list オプションを使用して、アクセス リストを指定します。アクセス リストがネットワーク アクセスを拒否している場合、偽造されたパケットはそのインターフェイスでドロップされます。アクセス リストがネットワーク アクセスを許可している場合、偽造されたパケットは宛先アドレスに転送されます。転送されたパケットは、インターフェイスの統計情報でカウントされます。アクセス リストにロギング オプションが含まれる場合、偽造されたパケットに関する情報はログ サーバにロギングされます。

指定するアクセス リストごとに、この手順を繰り返します。

ステップ 6

exit

 

Router(config-if)# exit

インターフェイス コンフィギュレーション モードを終了します。ユニキャスト RPF を適用するインターフェイスごとに、ステップ 2 と 3 を繰り返します。

ステップ 7

ユニキャスト RPF を適用するインターフェイスごとに、ステップ 4 および 5 を繰り返します。

-

ステップ 8

end

 

Router(config-if)# end

特権 EXEC モードに戻ります。

ユニキャスト RPF の確認

ユニキャスト RPF が機能していることを確認するには show cef interface コマンドを使用します。次に、インターフェイス serial2/0/0 でユニキャスト RPF がイネーブルである例を示します。

Router# show cef interface serial 2/0/0
 
Serial2/0/0 is up (if_number 8)
Internet address is 192.168.10.2/30
ICMP redirects are never sent
Per packet loadbalancing is disabled
!The next line displays Unicast RPF packet dropping information.
IP unicast RPF check is enabled
Inbound access list is not set
Outbound access list is not set
Interface is marked as point to point interface
Packets switched to this interface on linecard are dropped to next slow path
Hardware idb is Serial2/0/0
Fast switching type 4, interface type 6
!The next line displays Unicast RPF packet dropping information.
IP Distributed CEF switching enabled
IP LES Feature Fast switching turbo vector
IP Feature CEF switching turbo vector
Input fast flags 0x40, Output fast flags 0x0, ifindex 7(7)
Slot 2 Slot unit 0 VC -1
Transmit limit accumulator 0x48001A02 (0x48001A02)
IP MTU 1500

トラブルシューティングのヒント

HSRP エラー

シスコ エクスプレス フォワーディングをディセーブルにする前に、ユニキャスト RPF をディセーブルにできなかった場合、Hot Standby Router Protocol(HSRP; ホットスタンバイ ルータ プロトコル)エラーが発生する可能性があります。ルータでシスコ エクスプレス フォワーディングをディセーブルにするには、まずユニキャスト RPF をディセーブルにする必要があります。ユニキャスト RPF をディセーブルにするには、 「ユニキャスト RPF のモニタリングとメンテナンス」 の項を参照してください。

ドロップされたブート要求

ユニキャスト RPF は、インターフェイスでの送信元アドレス確認の結果として、0.0.0.0 の送信元アドレスを持つ BOOTP 要求パケットをドロップする可能性があります。インターフェイスでブート要求が機能するには、ユニキャスト RPF ではなく ACL を使用する必要があります。

ユニキャスト RPF のモニタリングとメンテナンス

ここでは、ユニキャスト RPF のモニタリングとメンテナンスに使用するコマンドについて説明します。

 

コマンド
目的

Router# show ip traffic

ユニキャスト RPF のドロップと抑制されたドロップに関して、ルータ全体の統計情報が表示されます。

Router# show ip interface type

ユニキャスト RPF のドロップと抑制されたドロップに関して、インターフェイスごとの統計情報が表示されます。

Router# show access-lists

特定の ACL に対する一致の数が表示されます。

Router(config-if)# no ip verify unicast reverse-path list

インターフェイスでユニキャスト RPF をディセーブルにします。インターフェイスの特定の ACL についてユニキャスト RPF をディセーブルにするには、list オプションを使用します。


注意 シスコ エクスプレス フォワーディングをディセーブルにするには、まずユニキャスト RPF をディセーブルにする必要があります。シスコ エクスプレス フォワーディングをディセーブルにする前に、ユニキャスト RPF をディセーブルにできなかった場合、HSRP エラーが発生する可能性があります。ルータでシスコ エクスプレス フォワーディングをディセーブルにするには、まずユニキャスト RPF をディセーブルにする必要があります。

ユニキャスト RPF は、不正な形式または偽造された送信元アドレスが原因でドロップまたは抑制されたパケットの数をカウントします。ユニキャスト RPF は、次の全体的な情報とインターフェイスごとの情報を含むドロップされたパケットまたは転送されたパケットをカウントします。

全体のユニキャスト RPF のドロップ

インターフェイスごとのユニキャスト RPF のドロップ

インターフェイスごとのユニキャスト RPF の抑制されたドロップ

show ip traffic コマンドを使用すると、ルータのすべてのインターフェイスに関するドロップまたは抑制されたパケットの総数(全体的なカウント)が表示されます。ユニキャスト RPF のドロップ数は、IP 統計情報セクションに含まれます。

Router# show ip traffic
 
IP statistics:
Rcvd: 1471590 total, 887368 local destination
0 format errors, 0 checksum errors, 301274 bad hop count
0 unknown protocol, 0 not a gateway
0 security failures, 0 bad options, 0 with options
Opts: 0 end, 0 nop, 0 basic security, 0 loose source route
0 timestamp, 0 extended security, 0 record route
0 stream ID, 0 strict source route, 0 alert, 0 other
Frags: 0 reassembled, 0 timeouts, 0 couldn't reassemble
0 fragmented, 0 couldn't fragment
Bcast: 205233 received, 0 sent
Mcast: 463292 received, 462118 sent
Sent: 990158 generated, 282938 forwarded
! The second line below (“0 unicast RPF”) displays Unicast RPF packet dropping information.
Drop: 3 encapsulation failed, 0 unresolved, 0 no adjacency
0 no route, 0 unicast RPF, 0 forced drop
 

ドロップまたは抑制されたパケットの数がゼロ以外の値の場合、次の 2 つのいずれかを意味する可能性があります。

ユニキャスト RPF は、不正な送信元アドレスを持つパケットをドロップまたは抑制しています(通常の処理)。

非対称ルーティングが存在する環境でユニキャスト RPF を使用するようにルータが誤って設定されているため、ユニキャスト RPF は正規のパケットをドロップまたは抑制しています。つまり、送信元アドレスに対する最適なリターン パスとして複数のパスが存在する環境の場合です。

show ip interface コマンドを使用すると、特定のインターフェイスでドロップまたは抑制されたパケットの総数が表示されます。特定の ACL を使用するようにユニキャスト RPF が設定されている場合、ドロップの統計情報と共にその ACL の情報が表示されます。

Router> show ip interface fastethernet0/1/1
 
Unicast RPF ACL 197
1 unicast RPF drop
1 unicast RPF suppressed drop
 

show access-lists コマンドを使用すると、特定のアクセス リストの特定のエントリについては見つかった一致の数が表示されます。

Router> show access-lists
 
Extended IP access list 197
deny ip 192.168.201.0 0.0.0.63 any log-input (1 match)
permit ip 192.168.201.64 0.0.0.63 any log-input (1 match)
deny ip 192.168.201.128 0.0.0.63 any log-input
permit ip 192.168.201.192 0.0.0.63 any log-input

ユニキャスト RPF の設定例

ここでは、次の設定例について説明します。

「インバウンドおよびアウトバウンド フィルタを使用するユニキャスト RPF:例」

「ACL とロギングを使用するユニキャスト RPF :例」

インバウンドおよびアウトバウンド フィルタを使用するユニキャスト RPF:例

次の例では、ごくシンプルなシングルホームの ISP を使用して、ユニキャスト RPF と併用される入力および出力フィルタの概念について説明します。この例では、ISP が割り当てた Classless Interdomain Routing(CIDR; クラスレス ドメイン間ルーティング)ブロック 209.165.202.128/28 を示します。アップストリーム インターフェイスでインバウンドおよびアウトバウンド フィルタの両方があります。ただし、通常の ISP はシングルホームではありません。そのため、(アウトバウンド トラフィックがあるリンクから送出され、別のリンク経由で返送される場合)非対称フローのプロビジョニングを ISP の境界ルータ上のフィルタに設計する必要があります。

ip cef distributed
!
interface Serial 5/0/0
description Connection to Upstream ISP
ip address 209.165.200.225 255.255.255.252
no ip redirects
no ip directed-broadcast
no ip proxy-arp
ip verify unicast reverse-path
ip access-group 111 in
ip access-group 110 out
!
access-list 110 permit ip 209.165.202.128 0.0.0.31 any
access-list 110 deny ip any any log
access-list 111 deny ip host 0.0.0.0 any log
access-list 111 deny ip 127.0.0.0 0.255.255.255 any log
access-list 111 deny ip 10.0.0.0 0.255.255.255 any log
access-list 111 deny ip 172.16.0.0 0.15.255.255 any log
access-list 111 deny ip 192.168.0.0 0.0.255.255 any log
access-list 111 deny ip 209.165.202.128 0.0.0.31 any log
access-list 111 permit ip any any

ACL とロギングを使用するユニキャスト RPF :例

次に、ユニキャスト RPF に ACL とロギングを使用する例を示します。この例では、拡張 ACL 197 に、特定のアドレス範囲についてネットワーク トラフィックを拒否または拒否するエントリが設定されています。ユニキャスト RPF はインターフェイス FastEthernet0/1/1 に設定され、そのインターフェイスに到達するパケットを確認します。

たとえば、192.168.201.10 の送信元アドレスを持つパケットがインターフェイス FastEthernet0/1/1 に到達すると、ACL 197 の deny ステートメントのためにドロップされます。この場合、ACL 情報はロギングされます(この ACL エントリではロギング オプションが有効です)。また、ドロップされたパケットはインターフェイスごと、または全体としてカウントされます。192.168.201.100 の送信元アドレスを持つパケットがインターフェイス FastEthernet0/1/2 に到達すると、ACL 197 の permit ステートメントのために転送されます。ドロップまたは抑制されたパケットに関する ACL 情報は、ログ サーバにロギングされます(この ACL エントリではロギング オプションが有効です)。

ip cef distributed
!
int fasteth0/1/1
ip address 192.168.200.1 255.255.255.0
ip verify unicast reverse-path 197
!
int fasteth0/1/2
ip address 192.168.201.1 255.255.255.0
!
access-list 197 deny ip 192.168.201.0 0.0.0.63 any log-input
access-list 197 permit ip 192.168.201.64 0.0.0.63 any log-input
access-list 197 deny ip 192.168.201.128 0.0.0.63 any log-input
access-list 197 permit ip 192.168.201.192 0.0.0.63 any log-input
access-list 197 deny ip host 0.0.0.0 any log

その他の関連資料

ここでは、ユニキャスト リバース パス転送機能に関する関連資料について説明します。

関連マニュアル

内容
参照先

シスコ エクスプレス フォワーディングの概念と作業

Cisco IOS XE IP Switching Configuration Guide , Release 2

ユニキャスト RPF コマンドの説明

『Cisco IOS Security Command Reference』

RFC

RFC
タイトル

RFC 1918

『Address Allocation for Private Internets』

RFC 2267

『Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing』

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/en/US/support/index.html

ユニキャスト リバース パス転送に関する機能情報

表 1 に、この機能のリリース履歴を示します。

プラットフォーム サポートとソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートする Cisco IOS XE のソフトウェア イメージを判別できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 に、特定の Cisco IOS XE ソフトウェア リリース群で特定の機能をサポートする Cisco IOS XE ソフトウェア リリースだけを示します。特に明記されていない限り、Cisco IOS XE ソフトウェア リリース群の後続のリリースでもこの機能をサポートします。


 

表 1 ユニキャスト リバース パス転送に関する機能情報

機能名
リリース
機能情報

ユニキャスト Reverse Path Forwarding(ユニキャスト RPF)

Cisco IOS XE Release 2.1

ユニキャスト RPF を使用すると、ルータを通過する不正な形式または偽造の IP 送信元アドレスによって発生する問題を軽減できます。

この機能に関する詳細については、次の各項を参照してください。

「ユニキャスト リバース パス転送の概要」

「ユニキャスト RPF の機能」

「原理を実装するユニキャスト RPF」

「ユニキャスト RPF の設定」

この機能について導入または変更されたコマンドはありません。

Copyright © 2009-2011, シスコシステムズ合同会社.
All rights reserved.