Cisco NCS 560 シリーズ ルータ(Cisco IOS XR リリース 7.1.x)システム セキュリティ コンフィギュレーション ガイド

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco NCS 560 シリーズ ルータ(Cisco IOS XR リリース 7.1.x)システム セキュリティ コンフィギュレーション ガイド

Chapter Title

URPF について

検索結果

Updated:
2020年4月12日日曜日

章のタイトル: URPF について

URPF について

偽装した IP アドレスを使用し(この手口は IP アドレス スプーフィングと呼ばれます)、サービス プロバイダーによる検出を回避するために送信元 IP アドレスを頻繁に変更することは、DoS 攻撃を計画するハッカーの常套手段となっています。

Unicast Reverse Path Forwarding(URPF)は、ルータで受信されたパケットの送信元 IP アドレスを検証するためのメカニズムです。URPF を設定されたルータは、FIB テーブルでリバース パス ルックアップを実行して、送信元 IP アドレスの存在を確認します。送信元 IP アドレスがテーブルにリストされていれば、送信元は到達可能かつ有効です。送信元 IP アドレスが FIB テーブルにない場合、パケットはルータによって悪意のあるものとして扱われ、廃棄されます。

ルータでは、ルーズ モードでの URPF の使用がサポートされています。URPF ルーズ モードは、ルータが FIB 内の送信元 IP アドレスのプレフィックスのみを検証し、パケットがルータに到達するために使用するインターフェイスは検証しないように設定されている場合に有効となっています。ルーズ モードを設定することで、代替インターフェイスを使用してルータに到達する正当なトラフィックが悪意のあるものと誤解されることがなくなります。URPF ルーズ モードは、マルチホーム プロバイダー エッジ ネットワークで非常に役立ちます。

URPF ルーズ モードの設定

ここでは、IPv4 と IPv6 の両方のネットワークに対し、ルータに URPF ルーズ モードを設定する方法について説明します。

はじめる前に

ルータに URPF ルーズ モードを設定する前に、ここで説明するように、ライン カードのデフォルト スケールを無効にする必要があります。


(注)  

IPv6 uRPF 設定では、すべてのタイプのカード(TCAM カードと非 TCAM カードの両方)に対し、hw-module fib ipv6 scale internet-optimized-disable コマンドが必要です。デフォルトでは、IPv6 はプレフィックスに内部メモリを使用します。したがって、hw-module fib ipv6 scale internet-optimized-disable コマンドを設定してから、ライン カードをリロードする必要があります。


(注)  

ライン カードは、デフォルト スケールを無効にした後でリロードする必要があります。このようにするのは、hw-module コマンドの設定がすぐに有効になるようにするためです。

すべてのタイプの非 TCAM ライン カードの場合:

RP/0/RP0/cpu 0: router(config)# hw-module fib ipv4 scale host-optimized-disable
RP/0/RP0/cpu 0: router(config)# hw-module fib ipv6 scale internet-optimized-disable
RP/0/RP0/cpu 0: router(config)# commit
RP/0/RP0/cpu 0: router(config)# end
RP/0/RP0/cpu 0: router# reload location all
Proceed with reload? [confirm]

設定

ルータに URPF ルーズ モードを設定するには、次の設定を使用します。


(注)  

URPF を動作させるには、(この項で説明するとおり)IPv4 コマンドと IPv6 コマンドの両方を設定する必要があります。

 
RP/0/RP0/cpu 0: router(config)# interface bundle-ether1
RP/0/RP0/cpu 0: router(config-if)# ipv4 address 10.0.0.1 255.255.255.0
RP/0/RP0/cpu 0: router(config-if)# ipv4 verify unicast source reachable-via any
RP/0/RP0/cpu 0: router(config-if)# ipv6 address 2001::1/64
RP/0/RP0/cpu 0: router(config-if)# ipv6 verify unicast source reachable-via any
RP/0/RP0/cpu 0: router(config-if)# commit

実行コンフィギュレーション

次のように設定されていることを確認します。

RP/0/RP0/cpu 0: router(config-if)# show running-config
Thu Jul 27 14:40:38.167 IST
...
!
interface Bundle-Ether1
 ipv4 address 10.0.0.1 255.255.255.0
 ipv4 verify unicast source reachable-via any
ipv6 address 2001::1/64
 ipv6 verify unicast source reachable-via any
!

これで、ルータに URPF ルーズ モードが正常に設定されました。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ