この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章では、Cisco NX-OS デバイス上で出力トラフィックのレート制限を設定する手順について説明します。
この章は、次の内容で構成されています。
ユニキャスト RPF 機能では、ネットワークに変形または偽造(スプーフィング)された IPv4 ソース アドレスが注入されて引き起こされる問題を、裏付けのない IPv4 パケットを廃棄することによって緩和します。 たとえば、Smurf や Tribal Flood Network(TFN)など、いくつかの一般的な Denial of Service(DoS; サービス拒絶)攻撃は、偽造の送信元 IPv4 または IPv6 アドレスやすぐに変更される送信元 IPv4 または IPv6 アドレスを利用して、攻撃を突き止めたりフィルタリングしたりする手段を妨ぐことができます。 ユニキャスト RPF では、送信元アドレスが有効で IP ルーティング テーブルと一致するパケットだけを転送することにより、攻撃を回避します。
インターフェイス上でユニキャスト RPF をイネーブルにすると、スイッチはそのインターフェイス上で受信されたすべての入力パケットを検証することにより、送信元アドレスと発信元インターフェイスがルーティング テーブル内に現れ、かつパケットが受信されたインターフェイスと一致することを確認します。 この送信元アドレス検査は Forwarding Information Base(FIB; 転送情報ベース)に依存しています。
(注) |
ユニキャスト RPF は入力機能であり、接続のアップストリーム エンドにあるスイッチの入力インターフェイスにのみ適用されます。 |
ユニキャスト RPF は、FIB のリバース ルックアップを実行することにより、スイッチ インターフェイスでの受信パケットがそのパケットの送信元への最良リターン パスで着信することを確認します。 パケットが最適なリバース パス ルートのいずれかから受信された場合、パケットは通常どおりに転送されます。 パケットを受信したインターフェイス上にリバース パス ルートがない場合、攻撃者によって送信元アドレスが変更される可能性があります。 ユニキャスト RPF がそのパケットのリバース パスを見つけられない場合は、パケットはドロップされます。
(注) |
ユニキャスト RPF では、コストが等しいすべての「最良」リターン パスが有効と見なされます。つまり、複数のリターン パスが存在していても、各パスのルーティング コスト(ホップ カウントや重みなど)が他のパスと等しく、そのルートが FIB 内にある限り、ユニキャスト RPF は機能します。 ユニキャスト RPF は、Enhanced Interior Gateway Routing Protocol(EIGRP)バリアントが使用されていて、送信元 IP アドレスに戻る同等でない候補パスが存在する場合にも機能します。 |
ユニキャスト RPF には、キーの実装原則がいくつかあります。
ダウンストリーム ネットワークにインターネットへの他の接続があっても、ダウンストリーム ネットワークにユニキャスト RPF を使用できます。
注意 |
攻撃者が送信元アドレスへの最良パスを変更する可能性があるので、加重やローカル プリファレンスなどのオプションの BGP 属性を使用する際には、十分に注意してください。 変更によって、ユニキャスト RPF の操作に影響が出ます。 |
ユニキャスト RPF と ACL を設定したインターフェイスでパケットが受信されると、Cisco NX-OS ソフトウェアは次の動作を行います。
Cisco NX-OS デバイスがユニキャスト RPF チェックの失敗によりインターフェイスでパケットをドロップするたびに、その情報が Forwarding Engine(FE;転送エンジン)単位でデバイスにおいてグローバルにカウントされます。 ドロップされたパケットのグローバル統計からは、ネットワーク上での攻撃の可能性に関する情報を得ることができますが、攻撃の送信元となるインターフェイスは特定されません。 ユニキャスト RPF チェックの失敗によりドロップされたパケットのインターフェイス単位の統計情報は利用できません。
製品 |
ライセンス要件 |
---|---|
Cisco NX-OS |
ユニキャスト RPF にはライセンスは必要ありません。 ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。 NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。 |
ユニキャスト RPF に関する注意事項と制約事項は次のとおりです。
(注) |
Cisco IOS の CLI に慣れている場合、この機能に対応する Cisco NX-OS コマンドは通常使用する Cisco IOS コマンドと異なる場合があるので注意してください。 |
パラメータ |
デフォルト |
---|---|
ユニキャスト RPF |
ディセーブル |
入力インターフェイスに次のいずれかのユニキャスト RPF モードを設定できます。
緩和モードの IPv4 パケット用ユニキャスト RPF の設定例を示します。
interface Ethernet2/3 ip address 172.23.231.240/23 ip verify unicast source reachable-via any
厳格モードの IPv4 パケット用ユニキャスト RPF の設定例を示します。
interface Ethernet2/2 ip address 172.23.231.240/23 ip verify unicast source reachable-via rx
緩和モードの IPv6 パケット用ユニキャスト RPF の設定例を示します。
interface Ethernet2/1 ipv6 address 2001:0DB8:c18:1::3/64 ipv6 verify unicast source reachable-via any
厳格モードの IPv6 パケット用ユニキャスト RPF の設定例を示します。
interface Ethernet2/4 ipv6 address 2001:0DB8:c18:1::3/64 ipv6 verify unicast source reachable-via rx
ユニキャスト RPF の設定情報を表示するには、次のいずれかの作業を行います。
コマンド |
目的 |
---|---|
show running-config interface ethernet slot/port |
実行コンフィギュレーション内のインターフェイスの設定を表示します。 |
show running-config ip [all] |
実行コンフィギュレーション内の IPv4 設定を表示します。 |
show startup-config interface ethernet slot/port |
スタートアップ コンフィギュレーション内のインターフェイスの設定を表示します。 |
show startup-config ip |
スタートアップ コンフィギュレーション内の IP 設定を表示します。 |