ユニキャスト RPF 機能を使用すると、ネットワークに改変または偽造（スプーフィング）された IPv4 ソース アドレスが注入されて引き起こされる問題を、検証可能な IP ソース アドレスを持たない IPv4 パケットを廃棄することにより緩和します。たとえば、Smurf や Tribal Flood Network（TFN）など、いくつかの一般的なサービス拒絶（DoS）攻撃は、偽造の送信元 IPv4 または IPv6 アドレスやすぐに変更される送信元 IPv4 または IPv6 アドレスを利用して、攻撃を突き止めたりフィルタリングしたりする手段を妨ぐことができます。ユニキャスト RPF では、送信元アドレスが有効で IP ルーティング テーブルと一致するパケットだけを転送することにより、攻撃を回避します。

インターフェイス上でユニキャスト RPF を有効にすると、はそのインターフェイス上で受信されたすべての入力パケットを検証することにより、送信元アドレスと送信元インターフェイスがルーティング テーブル内に存在しており、さらにパケット受信場所のインターフェイスとマッチすることを確認します。この送信元アドレス検査は転送情報ベース（FIB）に依存しています。

ユニキャスト RPF は、FIB のリバース ルックアップを実行することにより、 インターフェイスでの受信パケットがそのパケットの送信元への最良リターン パス（リターン ルート）で着信していることを確認します。パケットが最適なリバース パス ルートのいずれかから受信された場合、パケットは通常どおりに転送されます。パケットを受信したインターフェイス上にリバース パス ルートがない場合、攻撃者によって送信元アドレスが変更される可能性があります。ユニキャスト RPF がそのパケットのリバース パスを見つけられない場合は、パケットはドロップされます。

Note	ユニキャスト RPF では、コストが等しいすべての「最良」リターン パスが有効と見なされます。つまり、複数のリターン パスが存在していても、各パスのルーティング コスト（ホップ カウントや重みなど）が他のパスと等しく、そのルートが FIB 内にある限り、ユニキャスト RPF は機能します。ユニキャスト RPF は、Enhanced Interior Gateway Routing Protocol（EIGRP）バリアントが使用されていて、送信元 IP アドレスに戻る同等でない候補パスが存在する場合にも機能します。

ユニキャスト RPF（uRPF）に関する注意事項と制約事項は次のとおりです。

• uRPF は、ネットワーク内のより大きな部分からのダウンストリームのインターフェイスで適用する必要があります（ネットワークのエッジに適用するのが望ましい）。

• なるべくダウンストリームで uRPF を適用する方が、アドレス スプーフィングの軽減やスプーフされたアドレスの送信元の特定の精度が高くなります。たとえば、集約デバイスで uRPF を適用すると、多くのダウンストリーム ネットワークまたはクライアントからの攻撃を軽減できるとともに、管理が簡単になりますが、攻撃の送信元は特定できません。ネットワーク アクセス サーバに uRPF を適用すると、攻撃の範囲を絞り、攻撃元を追跡しやすくなります。ただし、多数のサイトにユニキャスト RPF を展開すると、ネットワーク運用の管理コストが増加します。

• インターネット、イントラネット、およびエクストラネットのリソース全体で uRPF を展開するエンティティが多いほど、インターネット コミュニティを通じた大規模なネットワークの中断が軽減される可能性が高くなり、攻撃の送信元をトレースできる可能性も高くなります。

• uRPF は、汎用ルーティング カプセル化（GRE）トンネルのようなトンネルでカプセル化された IP パケットは検査しません。トンネリングとカプセル化のレイヤ がパケットから除かれてから uRPF がネットワーク トラフィックを処理するように、uRPF はホーム ゲートウェイに設定する必要があります。

• uRPF は、ネットワークからのアクセス ポイントが 1 つだけ、またはアップストリーム接続が 1 つだけの「単一ホーム」環境で使用できます。アクセス ポイントが 1 つのネットワークは対称ルーティングを提供します。これはつまり、パケットがネットワークに入るインターフェイスはその IP パケットの送信元への最良のリターン パスでもあるということです。

• uRPF をネットワーク内部のインターフェイスに使用しないでください。内部インターフェイスは、ルーティングを非対称にする可能性が高く、パケットの送信元へのルートが複数存在する場合が多いからです。uRPF を設定するのは、元々対称であるか、対称に設定されている場合だけにしてください。厳密な uRPF を構成しないでください。

• uRPF を使用すると、送信元が 0.0.0.0 で宛先が 255.255.255.255 のパケットを通過させて、ブートストラップ プロトコル（BOOTP）と Dynamic Host Configuration Protocol（DHCP）を正しく動作させることができます。

• uRPF が有効になっている場合、IPv4 と IPv6 の両方にルーズモードが適用されます。ただし、プロトコルごとに厳密モードを適用することはできます。

• 厳密な uRPF を機能させるには、入力インターフェイスと、送信元 IP アドレスを学習したインターフェイスの両方で有効にします。

• スイッチ ハードウェアは、設定されたルーティング インターフェイスごとに厳密な uRPF を実装しません。

• 厳密な uRPF は、厳密な uRPF 対応インターフェイスの学習ルートごとに実装されます。

• ルートが ECMP として解決されると、厳密な uRPF はルーズ モードにフォールバックします。

• トラップ解決に関するハードウェアの制限により、uRPF はインバンド経由でスーパーバイザ宛パケットに適用されない場合があります。

• IP トラフィックの場合は、IPv4 と IPv6 の構成を同時に有効にするべきです。

• ハードウェアの制限により、Cisco Nexus 3600 シリーズ スイッチは次の組み合わせのみをサポートします：

  uRPF の設定		送信元 IP アドレスのトラフィックチェックの適用
  IPv4	IPv6	IP Unipath	IP ECMP	MPLS Encap/VPN/ECMP
  無効	無効	許可	許可	許可
  Loose	Loose	uRPF loose	uRPF loose	uRPF loose
  Strict	Strict	uRPF strict	uRPF loose	uRPF loose

次の表に、ユニキャスト RPF パラメータのデフォルト設定を示します。

次に、緩和モードの IPv4/IPv6 パケット用ユニキャスト RPF の構成例を示します。

• 
  interface Ethernet2/3
  ip address 172.23.231.240/23
  ip verify unicast source reachable-via any 

• interface Ethernet2/3
  ipv6 address 2001:0DB8:c18:1::3/64
  ipv6 verify unicast source reachable-via any 

次に、厳密モードの IPv4/IPv6 パケット用ユニキャスト RPF の構成例を示します。

• 
  interface Ethernet2/2
  ip address 172.23.231.240/23
  ip verify unicast source reachable-via rx

• 
  interface Ethernet2/2
  ipv6 address 2001:0DB8:c18:1::3/64
  ipv6 verify unicast source reachable-via rx

ユニキャスト RPF の設定情報を表示するには、次のいずれかの作業を行います。