この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章では、Cisco NX-OS デバイス上で出力トラフィックのレート制限を設定する手順について説明します。
この章の内容は、次のとおりです。
ユニキャスト RPF 機能では、変形または偽造(スプーフィング)された IPv4 ソース アドレスがネットワークに注入されて引き起こされる問題を、裏付けのない IPv4 パケットを廃棄することによって緩和します。 たとえば、Smurf や Tribal Flood Network(TFN)など、いくつかの一般的なサービス拒絶(DoS)攻撃は、偽造の送信元 IPv4 または IPv6 アドレスや、すぐに変化する送信元 IPv4 または IPv6 アドレスを利用して、攻撃を突き止めたりフィルタリングしたりする手段を妨ぐことができます。 ユニキャスト RPF では、送信元アドレスが有効で IP ルーティング テーブルと一致するパケットだけを転送することにより、攻撃を回避します。
インターフェイス上でユニキャスト RPF をイネーブルにすると、はそのインターフェイス上で受信されたすべての入力パケットを検証することにより、送信元アドレスと発信元インターフェイスがルーティング テーブル内に現れ、しかもパケット受信場所のインターフェイスと一致することを確認します。 この送信元アドレス検査は転送情報ベース(FIB)に依存しています。
(注) |
ユニキャスト RPF は入力機能であり、接続のアップストリーム エンドにあるの入力インターフェイスにのみ適用されます。 |
ユニキャスト RPF は、FIB のリバース ルックアップを実行することにより、インターフェイスでの受信パケットがそのパケットの送信元への最良リターン パスで着信していることを確認します。 パケットが最適なリバース パス ルートのいずれかから受信された場合、パケットは通常どおりに転送されます。 パケットを受信したインターフェイス上にリバース パス ルートがない場合、攻撃者によって送信元アドレスがすでに変更された可能性があります。 ユニキャスト RPF がそのパケットのリバース パスを見つけられない場合は、パケットはドロップされます。
(注) |
ユニキャスト RPF では、コストが等しいすべての「最良」リターン パスが有効と見なされます。つまり、複数のリターン パスが存在する場合、各パスのルーティング コスト(ホップ カウントや重みなど)が他のパスと等しく、そのルートが FIB 内にある限り、ユニキャスト RPF は機能します。 また、ユニキャスト RPF は、Enhanced Interior Gateway Routing Protocol(EIGRP)バリアントが使用されていて、送信元 IP アドレスに戻る同等でない候補パスが存在する場合にも機能します。 |
ユニキャスト RPF には、主要な実装原理がいくつかあります。
パケットは、パケットの送信元に対する最適なリターン パス(ルート)があるインターフェイスで受信される必要があります(このプロセスは対称ルーティングと呼ばれます)。 FIB に受信インターフェイスへのルートと一致するルートが存在する必要があります。 スタティック ルート、ネットワーク文、ダイナミック ルーティングによって FIB にルートが追加されます。
受信側インターフェイスでの IP 送信元アドレスは、そのインターフェイスのルーティング エントリと一致する必要があります。
ユニキャスト RPF は入力機能であり、接続のアップストリーム エンドのデバイスの入力インターフェイスだけに適用されます。
ダウンストリーム ネットワークにインターネットへの他の接続があっても、ダウンストリーム ネットワークにユニキャスト RPF を使用できます。
注意 |
攻撃者が送信元アドレスへの最良パスを変更する可能性があるので、加重やローカル プリファレンスなどのオプションの BGP 属性を使用する際には、十分に注意してください。 変更によって、ユニキャスト RPF の操作に影響が出ます。 |
ユニキャスト RPF と ACL を設定したインターフェイスでパケットが受信されると、Cisco NX-OS ソフトウェアは次の動作を行います。
Cisco NX-OS デバイスがユニキャスト RPF チェックの失敗によりインターフェイスでパケットをドロップするたびに、その情報が転送エンジン(FE)単位でデバイスにおいてグローバルにカウントされます。 ドロップされたパケットのグローバル統計からは、ネットワーク上での攻撃の可能性に関する情報を得ることができますが、攻撃の送信元となるインターフェイスは特定されません。 ユニキャスト RPF チェックの失敗によりドロップされたパケットのインターフェイス単位の統計情報は利用できません。
製品 |
ライセンス要件 |
---|---|
Cisco NX-OS |
ユニキャスト RPF にはライセンスは必要ありません。 ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。 Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。 |
ユニキャスト RPF に関する注意事項と制約事項は次のとおりです。
ユニキャスト RPF は、ネットワーク内のより大きな部分からのダウンストリームのインターフェイスで適用する必要があります(ネットワークのエッジに適用するのが望ましい)。
なるべくダウンストリームでユニキャスト RPF を適用する方が、アドレス スプーフィングの軽減やスプーフされたアドレスの送信元の特定の精度が高くなります。 たとえば、集約デバイスでユニキャスト RPF を適用すると、多くのダウンストリーム ネットワークまたはクライアントからの攻撃を軽減できるとともに、管理が簡単になりますが、攻撃の送信元は特定できません。 ネットワーク アクセス サーバにユニキャスト RPF を適用すると、攻撃の範囲を絞り、攻撃元を追跡しやすくなります。ただし、多数のサイトにユニキャスト RPF を展開すると、ネットワーク運用の管理コストが増加します。
インターネット、イントラネット、およびエクストラネットのリソース全体でユニキャスト RPF を配布するエンティティが多いほど、インターネット コミュニティを通じた大規模なネットワークの中断が軽減される可能性が高くなり、攻撃の送信元をトレースできる可能性も高くなります。
ユニキャスト RPF は、総称ルーティング カプセル化(GRE)トンネルのようなトンネルでカプセル化された IP パケットは検査しません。 トンネリングとカプセル化のレイヤ がパケットから除かれた後でユニキャスト RPF がネットワーク トラフィックを処理するように、ホーム ゲートウェイにユニキャスト RPF を設定する必要があります。
ユニキャスト RPF は、ネットワークからのアクセス ポイントが 1 つだけ、またはアップストリーム接続が 1 つだけの「単一ホーム」環境で使用できます。 アクセス ポイントが 1 つのネットワークは対称ルーティングを提供します。つまりこの場合、パケットがネットワークに入るときのインターフェイスは、その IP パケットの送信元への最良のリターン パスでもあります。
ネットワーク内部のインターフェイスにはユニキャスト RPF を使用しないでください。 内部インターフェイスは、ルーティングを非対称にする可能性が高く、パケットの送信元へのルートが複数存在する場合が多いからです。 ユニキャスト RPF を設定するのは、元々対称であるか、対称に設定されている場合だけにしてください。 ストリクト ユニキャスト RPF を設定しないでください。
ユニキャスト RPF を使用すると、送信元が 0.0.0.0 で宛先が 255.255.255.255 のパケットを通過させて、ブートストラップ プロトコル(BOOTP)と Dynamic Host Configuration Protocol(DHCP)を正しく動作させることができます。
(注) |
Cisco IOS の CLI に慣れている場合、この機能に対応する Cisco NX-OS コマンドは、通常使用する Cisco IOS コマンドと異なる場合があるので注意してください。 |
Parameters |
Default |
---|---|
ユニキャスト RPF |
ディセーブル |
入力インターフェイスに次のいずれかのユニキャスト RPF モードを設定できます。
以下に、緩和モード(ルーズ モード)の IPv4 パケット用ユニキャスト RPF の設定例を示します。
interface Ethernet2/3 ip address 172.23.231.240/23 ip verify unicast source reachable-via any
以下に、厳格モード(ストリクト モード)の IPv4 パケット用ユニキャスト RPF の設定例を示します。
interface Ethernet2/2 ip address 172.23.231.240/23 ip verify unicast source reachable-via rx
以下に、緩和モード(ルーズ モード)の IPv6 パケット用ユニキャスト RPF の設定例を示します。
interface Ethernet2/1 ipv6 address 2001:0DB8:c18:1::3/64 ipv6 verify unicast source reachable-via any
以下に、厳格モード(ストリクト モード)の IPv6 パケット用ユニキャスト RPF の設定例を示します。
interface Ethernet2/4 ipv6 address 2001:0DB8:c18:1::3/64 ipv6 verify unicast source reachable-via rx
ユニキャスト RPF の設定情報を表示するには、次のいずれかの作業を行います。
コマンド |
目的 |
---|---|
show running-config interface ethernet slot/port |
実行コンフィギュレーション内のインターフェイスの設定を表示します。 |
show running-config ip [all] |
実行コンフィギュレーション内の IPv4 設定を表示します。 |
show startup-config interface ethernet slot/port |
スタートアップ コンフィギュレーション内のインターフェイスの設定を表示します。 |
show startup-config ip |
スタートアップ コンフィギュレーション内の IP 設定を表示します。 |
目次
この章では、Cisco NX-OS デバイス上で出力トラフィックのレート制限を設定する手順について説明します。
この章の内容は、次のとおりです。
- ユニキャスト RPF の概要
- ユニキャスト RPF のライセンス要件
- ユニキャスト RPF の注意事項と制約事項
- ユニキャスト RPF のデフォルト設定
- ユニキャスト RPF の設定
- ユニキャスト RPF の設定例
- ユニキャスト RPF の設定の確認
ユニキャスト RPF の概要
ユニキャスト RPF 機能では、変形または偽造(スプーフィング)された IPv4 ソース アドレスがネットワークに注入されて引き起こされる問題を、裏付けのない IPv4 パケットを廃棄することによって緩和します。 たとえば、Smurf や Tribal Flood Network(TFN)など、いくつかの一般的なサービス拒絶(DoS)攻撃は、偽造の送信元 IPv4 または IPv6 アドレスや、すぐに変化する送信元 IPv4 または IPv6 アドレスを利用して、攻撃を突き止めたりフィルタリングしたりする手段を妨ぐことができます。 ユニキャスト RPF では、送信元アドレスが有効で IP ルーティング テーブルと一致するパケットだけを転送することにより、攻撃を回避します。
インターフェイス上でユニキャスト RPF をイネーブルにすると、はそのインターフェイス上で受信されたすべての入力パケットを検証することにより、送信元アドレスと発信元インターフェイスがルーティング テーブル内に現れ、しかもパケット受信場所のインターフェイスと一致することを確認します。 この送信元アドレス検査は転送情報ベース(FIB)に依存しています。
(注)
ユニキャスト RPF は入力機能であり、接続のアップストリーム エンドにあるの入力インターフェイスにのみ適用されます。
ユニキャスト RPF は、FIB のリバース ルックアップを実行することにより、インターフェイスでの受信パケットがそのパケットの送信元への最良リターン パスで着信していることを確認します。 パケットが最適なリバース パス ルートのいずれかから受信された場合、パケットは通常どおりに転送されます。 パケットを受信したインターフェイス上にリバース パス ルートがない場合、攻撃者によって送信元アドレスがすでに変更された可能性があります。 ユニキャスト RPF がそのパケットのリバース パスを見つけられない場合は、パケットはドロップされます。
(注)
ユニキャスト RPF では、コストが等しいすべての「最良」リターン パスが有効と見なされます。つまり、複数のリターン パスが存在する場合、各パスのルーティング コスト(ホップ カウントや重みなど)が他のパスと等しく、そのルートが FIB 内にある限り、ユニキャスト RPF は機能します。 また、ユニキャスト RPF は、Enhanced Interior Gateway Routing Protocol(EIGRP)バリアントが使用されていて、送信元 IP アドレスに戻る同等でない候補パスが存在する場合にも機能します。
ユニキャスト RPF プロセス
手順ユニキャスト RPF には、主要な実装原理がいくつかあります。
パケットは、パケットの送信元に対する最適なリターン パス(ルート)があるインターフェイスで受信される必要があります(このプロセスは対称ルーティングと呼ばれます)。 FIB に受信インターフェイスへのルートと一致するルートが存在する必要があります。 スタティック ルート、ネットワーク文、ダイナミック ルーティングによって FIB にルートが追加されます。
受信側インターフェイスでの IP 送信元アドレスは、そのインターフェイスのルーティング エントリと一致する必要があります。
ユニキャスト RPF は入力機能であり、接続のアップストリーム エンドのデバイスの入力インターフェイスだけに適用されます。
ダウンストリーム ネットワークにインターネットへの他の接続があっても、ダウンストリーム ネットワークにユニキャスト RPF を使用できます。
注意
攻撃者が送信元アドレスへの最良パスを変更する可能性があるので、加重やローカル プリファレンスなどのオプションの BGP 属性を使用する際には、十分に注意してください。 変更によって、ユニキャスト RPF の操作に影響が出ます。
ユニキャスト RPF と ACL を設定したインターフェイスでパケットが受信されると、Cisco NX-OS ソフトウェアは次の動作を行います。
ユニキャスト RPF の注意事項と制約事項
ユニキャスト RPF に関する注意事項と制約事項は次のとおりです。
ユニキャスト RPF は、ネットワーク内のより大きな部分からのダウンストリームのインターフェイスで適用する必要があります(ネットワークのエッジに適用するのが望ましい)。
なるべくダウンストリームでユニキャスト RPF を適用する方が、アドレス スプーフィングの軽減やスプーフされたアドレスの送信元の特定の精度が高くなります。 たとえば、集約デバイスでユニキャスト RPF を適用すると、多くのダウンストリーム ネットワークまたはクライアントからの攻撃を軽減できるとともに、管理が簡単になりますが、攻撃の送信元は特定できません。 ネットワーク アクセス サーバにユニキャスト RPF を適用すると、攻撃の範囲を絞り、攻撃元を追跡しやすくなります。ただし、多数のサイトにユニキャスト RPF を展開すると、ネットワーク運用の管理コストが増加します。
インターネット、イントラネット、およびエクストラネットのリソース全体でユニキャスト RPF を配布するエンティティが多いほど、インターネット コミュニティを通じた大規模なネットワークの中断が軽減される可能性が高くなり、攻撃の送信元をトレースできる可能性も高くなります。
ユニキャスト RPF は、総称ルーティング カプセル化(GRE)トンネルのようなトンネルでカプセル化された IP パケットは検査しません。 トンネリングとカプセル化のレイヤ がパケットから除かれた後でユニキャスト RPF がネットワーク トラフィックを処理するように、ホーム ゲートウェイにユニキャスト RPF を設定する必要があります。
ユニキャスト RPF は、ネットワークからのアクセス ポイントが 1 つだけ、またはアップストリーム接続が 1 つだけの「単一ホーム」環境で使用できます。 アクセス ポイントが 1 つのネットワークは対称ルーティングを提供します。つまりこの場合、パケットがネットワークに入るときのインターフェイスは、その IP パケットの送信元への最良のリターン パスでもあります。
ネットワーク内部のインターフェイスにはユニキャスト RPF を使用しないでください。 内部インターフェイスは、ルーティングを非対称にする可能性が高く、パケットの送信元へのルートが複数存在する場合が多いからです。 ユニキャスト RPF を設定するのは、元々対称であるか、対称に設定されている場合だけにしてください。 ストリクト ユニキャスト RPF を設定しないでください。
ユニキャスト RPF を使用すると、送信元が 0.0.0.0 で宛先が 255.255.255.255 のパケットを通過させて、ブートストラップ プロトコル(BOOTP)と Dynamic Host Configuration Protocol(DHCP)を正しく動作させることができます。
(注)
Cisco IOS の CLI に慣れている場合、この機能に対応する Cisco NX-OS コマンドは、通常使用する Cisco IOS コマンドと異なる場合があるので注意してください。
ユニキャスト RPF の設定
手順入力インターフェイスに次のいずれかのユニキャスト RPF モードを設定できます。
- ストリクト ユニキャスト RPF モード
- ストリクト(厳格)モードでは、ユニキャスト RPF が FIB で一致するパケット送信元アドレスを見つけて、パケットを受信した入力インターフェイスが FIB 内のユニキャスト RPF インターフェイスのいずれかと一致した場合に、チェックに合格します。 チェックに合格しないと、パケットは廃棄されます。 このタイプのユニキャスト RPF チェックは、パケット フローが対称であると予想される場合に使用できます。
- ルーズ ユニキャスト RPF モード
- ルーズ(緩和)モードでは、FIB でのパケット送信元アドレスのルックアップで一致が戻され、FIB の結果から、その送信元が少なくとも 1 つの実インターフェイスで到達可能であることが示される場合に、チェックに合格します。 パケットを受信した入力インターフェイスが FIB 内のインターフェイスのいずれかと一致する必要はありません。
ユニキャスト RPF の設定例
以下に、緩和モード(ルーズ モード)の IPv4 パケット用ユニキャスト RPF の設定例を示します。
interface Ethernet2/3 ip address 172.23.231.240/23 ip verify unicast source reachable-via any以下に、厳格モード(ストリクト モード)の IPv4 パケット用ユニキャスト RPF の設定例を示します。
interface Ethernet2/2 ip address 172.23.231.240/23 ip verify unicast source reachable-via rx以下に、緩和モード(ルーズ モード)の IPv6 パケット用ユニキャスト RPF の設定例を示します。
interface Ethernet2/1 ipv6 address 2001:0DB8:c18:1::3/64 ipv6 verify unicast source reachable-via any以下に、厳格モード(ストリクト モード)の IPv6 パケット用ユニキャスト RPF の設定例を示します。
interface Ethernet2/4 ipv6 address 2001:0DB8:c18:1::3/64 ipv6 verify unicast source reachable-via rx