Catalyst 4500 シリーズ スイッチ Cisco IOS ソフトウェア コンフィギュレーション ガイド Release 12.2(44)SG

ユニキャスト RPF の概要

ユニキャスト RPF がインターフェイスでイネーブルのときは、ルータはそのインターフェイスに対する入力として受信したすべてのパケットを検証して、送信元アドレスおよび送信元インターフェイスがルーティング テーブルに存在し、パケットを受信したインターフェイスと一致することを確認します。「後方検索」機能は、Cisco Express Forwarding（CEF）がルータでイネーブルの場合にのみ利用可能です。これは、検索が Forwarding Information Base（FIB; 転送情報ベース）に基づいて行われるためです。FIB は CEF の動作の一部として生成されます。

（注） ユニキャスト RPF は入力機能であり、接続のアップストリーム終端にあるルータの入力インターフェイスにのみ適用されます。

ユニキャスト RPF は、ルータ インターフェイスで受信したパケットが、パケットの送信元への最適な戻りパス（戻りルート）で到着しているかどうかを確認します。ユニキャスト RPF は、CEF テーブルの逆引きを行うことでこれを確認します。最適なリバース パス ルートのいずれかでパケットの受信が行われた場合は、パケットは通常通り転送されます。パケットを受信したインターフェイスと同じインターフェイスにリバース パス ルートがない場合は、送信元アドレスが変更されている可能性があります。ユニキャスト RPF がそのパケットのリバース パスを見つけられない場合は、パケットはドロップされます。

（注） ユニキャスト RPF では、「最適な」等コスト戻りパスのすべてが有効とされます。そのため、ユニキャスト RPF は、複数の戻りパスが存在する場合に、各パスがルーティング コスト（ホップ数、重みなど）に関してその他のパスと等しく、ルートが FIB に存在するという条件で動作します。ユニキャスト RPF はまた、EIGRP バリアントが使用されていて、送信元 IP アドレスに戻る不等候補パスが存在する場合にも機能します。

ユニキャスト RPF および ACL が設定されているインターフェイスでパケットを受信する場合は、次の動作が発生します。

ステップ 1 受信インターフェイスで設定されている入力 ACL を確認します。

ステップ 2 ユニキャスト RPF は、FIB テーブルの逆引きを行うことで、パケットが送信元への最適な戻りパスで到着しているかどうかを確認します。

ステップ 3 パケット転送のため CEF テーブル（FIB）のルックアップを実行します。

ステップ 4 送信インターフェイス上の出力 ALC の確認が行われます。

ステップ 5 パケットが転送されます。

ここでは、ユニキャスト RPF 拡張の内容について説明します。

• アクセス コントロール リストおよびロギング

• インターフェイス単位の統計情報

図29-1 は、ユニキャスト RPF および CEF が連動して、パケットの戻りパスを確認することで IP 送信元アドレスを確認する方法を示します。この例では、お客様は送信元アドレスが 192.168.1.1 であるパケットをインターフェイス GigabitEthernet 1/1 から送信しています。ユニキャスト RPF は、192.168.1.1 に GigabitEthernet 1/1 へのパスがあるかどうか FIB を確認します。一致するパスがある場合にパケットが送信されます。一致するものがない場合、パケットはドロップされます。

図29-1 ユニキャスト RPF による IP 送信元アドレスの確認

図29-2 は、ユニキャスト RPF が確認に失敗したパケットをドロップする方法を示します。この例では、お客様は送信元アドレスが 209.165.200.225 であるパケットを送信していて、そのパケットをインターフェイス GigabitEthernet 1/1 で受信します。ユニキャスト RPF は、209.165.200.225 に GigabitEthernet 1/1 への戻りパスがあるかどうか FIB を確認します。一致するパスがある場合にパケットが送信されます。この場合、お客様のパケットを GigabitEthernet 1/1 上の送信元アドレス 209.165.200.225 に戻るルートのエントリがルーティング テーブルにないため、パケットはドロップされます。

図29-2 ユニキャスト RPF による確認に失敗したパケットのドロップ

ユニキャスト RPF の実装

ユニキャスト RPF には、次の主要な実装原理があります。

• パケットの受信は、パケットの送信元への最適な戻りパス（ルート）があるインターフェイスで行われる必要があります（ 対称ルーティング と呼ばれるプロセス）。FIB に、受信するインターフェイスへのルートと一致するルートが存在する必要があります。FIB へのルートの追加は、スタティック ルート、ネットワーク ステートメント、またはダイナミック ルーティングによって行われます（ACL は、パッケージが特定の、最適ではない非対称入力パスで到着すると分かっている場合には、ユニキャスト RPF の使用を許可します）。

• 受信するインターフェイスにある IP 送信元アドレスが、インターフェイスのルーティング エントリと一致する必要があります。

• ユニキャスト RPF は入力機能であり、接続のアップストリーム終端にあるルータの入力インターフェイスにのみ適用されます。

これらの実装原理においては、ユニキャスト RPF は、ネットワーク管理者がお客様のためだけでなく、ダウンストリーム ネットワークまたは ISP にインターネットに対する別の接続がある場合でも、ダウンストリーム ネットワークまたは ISP のために使用可能なツールとなります。

ここでは、ユニキャスト RPF の実装について説明します。

• セキュリティ ポリシーとユニキャスト RPF

• ユニキャスト RPF を使用する場所

• ルーティング テーブルの要件

• ユニキャスト RPF を使用できない場所

• BOOTP および DHCP を使用したユニキャスト RPF

セキュリティ ポリシーとユニキャスト RPF

ユニキャスト RPF を展開するポリシーの決定時には、次の点を考慮してください。

• ユニキャスト RPF は、大規模なネットワークのダウンストリーム インターフェイス（ネットワークのエッジに存在することが望ましい）に適用する必要があります。

• ユニキャスト RPF をさらに下位のダウンストリームに適用すればするほど、アドレス スプーフィングの軽減時およびスプーフィングされたアドレスの送信元の特定時にさらにきめ細やかに対応できます。たとえば、ユニキャスト RPF を集約ルータに適用すると、多くのダウンストリーム ネットワークまたはクライアントからの攻撃の軽減に役立ち、管理が簡単になりますが、攻撃の送信元の特定には有益ではありません。ユニキャスト RPF をネットワーク アクセス サーバに適用すると、攻撃の範囲の制限や、攻撃の送信元の追跡に役立ちますが、多くのサイト間でユニキャスト RPF を展開することで、ネットワーク オペレーションの管理コストが増大します。

• インターネット、イントラネット、およびエクストラネット リソース全体でユニキャスト RPF を展開するエンティティがさらに増加すれば、インターネット コミュニティ全体の大規模なネットワーク中断がさらに軽減し、攻撃の送信元を追跡する機会がさらに増えます。

• ユニキャスト RPF は、GRE、LT2P、または PPTP などのトンネルにカプセル化した IP パケット を検査しません。ユニキャスト RPF が、トンネリングが行われて暗号化レイヤがパケットから取り除かれたあとにだけネットワーク トラフィックを処理するには、ユニキャスト RPF をホーム ゲートウェイで設定する必要があります。

ユニキャスト RPF を使用する場所

ユニキャスト RPF は、原則的にネットワーク内のアクセス ポイントが 1 つだけ（つまり、アップストリーム接続が 1 つだけ）である「シングルホーム」環境であれば使用できます。アクセス ポイントが 1 つあるネットワークは、対称ルーティングの良い例となります。これは、パケットがネットワークに入るときのインターフェイスが、IP パケットの送信元への最適な戻りパスでもあるということを表します。ユニキャスト RPF は、インターネット、イントラネット、またはエクストラネット環境のネットワーク境界または顧客ネットワーク終端の ISP 環境において最適に使用されます。

次のセクションで、2 つのネットワーク環境におけるユニキャスト RPF 実装の概要について説明します。

• ISP への接続を 1 つ備えるエンタープライズ ネットワーク

• ネットワーク アクセス サーバ アプリケーション（ユニキャスト RPF を PSTN/ISDN PoP 集約ルータに適用）

ISP への接続を 1 つ備えるエンタープライズ ネットワーク

エンタープライズ ネットワークでは、ユニキャスト RPF を使用して入力インターフェイスでのトラフィックをフィルタリングする（ 入力フィルタリング と呼ばれるプロセス）目的の 1 つは、インターネットから誤ったパケットが届かないようにすることです。従来、インターネットへの接続が 1 つあるローカル ネットワークは、受信するインターフェイスで ACL を使用して、スプーフィングされたパケットがインターネットからローカル ネットワークに入ってこないようにしていました。

ACL は、シングルホームを使用する多くのお客様については効果的に機能しますが、ACL を入力フィルタとして使用する場合には、次の 2 つの一般的に言及される制限を含めたトレードオフが存在します。

• 非常に高速なパケット レートでのパケット/秒（PPS）パフォーマンス

（注） この制限は、ソフトウェア パケットの転送にのみ適用されます。ハードウェア パケットの転送は、ACL および uRPF の両方で同じです。

• ACL のメンテナンス（ネットワークに新しいアドレスが追加された場合）

ユニキャスト RPF は両方の制限に対応するツールです。ユニキャスト RPF を使用すると、入力フィルタリングは CEF PPS レートで行われます。この処理スピードは、リンク速度が 1 Mbps を超えたときに効果があります。さらに、ユニキャスト RPF は FIB を使用するため、ACL メンテナンスが不要になり、したがって従来の ACL の管理オーバーヘッドが減少します。次に、ユニキャスト RPF を入力フィルタリング向けに設定する方法を示す図および例を示します。

図29-3 に、アップストリーム ISP へのリンクが 1 つあるエンタープライズ ネットワークを示します。この例では、間違ったパケットがインターネットから届かないようにするために、ユニキャスト RPF はエンタープライズ ルータのインターフェイス GigabitEthernet 1/1 で適用されます。また、間違ったパケットがエンタープライズ ネットワークから届かないようにするために、ユニキャスト RPF は ISP ルータのインターフェイス GigabitEthernet 2/1 で適用されます。

図29-3 入力フィルタリングのためにユニキャスト RPF を使用するエンタープライズ ネットワーク

図29-3 の関係図を使用すると、ISP ルータの典型的な構成は（CEF が有効になっていると想定して）次のとおりです。

エンタープライズ ネットワークのゲートウェイ ルータ設定は（CEF が有効になっていると想定して）次のとおりです。

ユニキャスト RPF は、1 つのデフォルト ルートで動作することに注意してください。追加のルートまたはルーティング プロトコルはありません。ネットワーク 192.168.10.0/22 は接続されたネットワークです。したがって、送信元アドレスが 192.168.10.0/22 の範囲内の、インターネットから届くパケットは、ユニキャスト RPF によってドロップされます。

ネットワーク アクセス サーバ アプリケーション（ユニキャスト RPF を PSTN/ISDN PoP 集約ルータに適用）

集約ルータは、シングルホームを使用するお客様にとってはユニキャストを使用する最適な場所です。ユニキャスト RPF は、インターネットへの接続に専用線または PSTN/ISDN/xDSL を使用するお客様にとって等しく効果的に動作します。実際、ダイヤルアップ接続は偽造 IP アドレスを使用した DoS 攻撃の送信元とみなされることが非常に多くあります。ネットワーク アクセス サーバが CEF をサポートしているかぎり、ユニキャスト RPF は動作します。この関係図では、お客様の集約ルータに完全なインターネット ルーティング テーブルを用意する必要はありません。集約ルータは、プレフィクス情報（IP アドレス ブロック）をルーティングする必要があります。したがって、Interior Gateway Protocol（IGP; 内部ゲートウェイ プロトコル）または Internal Border Gateway Protocol（IBGP; 内部ボーダー ゲートウェイ プロトコル）で設定または再配布された情報であれば、ユニキャストはその機能を十分に発揮できます。

図29-4 は、お客様にダイヤルアップ接続を提供する ISP ルータとの ISP アクセス ポイント向けの集約ルータおよびアクセス ルータへのユニキャスト RPF の適用を示します。この例では、ユニキャスト RPF は ISP 集約ルータの受信する（入力）インターフェイスの、お客様のダイヤルアップ接続ルータからのアップストリームに適用されます。

図29-4 お客様の PSTN/ISDN 接続に適用されるユニキャスト RPF

ルーティング テーブルの要件

ユニキャスト RPF が正しく動作するには、CEF テーブルに適切な情報が存在する必要があります。この要件は、ルータに完全なインターネット ルーティング テーブルが存在する必要があるという意味ではありません。CEF テーブルに必要なルーティング情報の量は、ユニキャスト RPF の設定場所およびルータがネットワークで実行している機能によって異なります。例えば、ISP 環境では、お客様向けの専用線集約ルータであるルータが必要とするのは IGP または IBGP（ネットワークでどちらの技術を使用しているかにより異なります）で再配布されたスタティック ルートに関する情報のみです。ユニキャスト RPF がお客様のインターフェイス上で設定されるため、必要になるのは最低限のルーティング情報のみです。また別のシナリオで、シングルホームの ISP が、ユニキャスト RPF をインターネットにリンクするゲートウェイ上に配置する場合は、完全なインターネット ルーティング テーブルが必要になります。完全なルーティング テーブルを要求することで、インターネット ルーティング テーブルにないアドレスを使用する外部 DoS 攻撃から ISP を保護するのに役立ちます。

ユニキャスト RPF を使用できない場所

ユニキャスト RPF は、ネットワークの内側にあるインターフェイスで使用しないでください。内側にあるインターフェイスでは、ルーティングの非対称性（図29-5 を参照）が発生しやすく、パケットの送信元への複数のルートが存在することになるためです。ユニキャスト RPF は、対称性が自然に発生するか、対称性が設定されている環境にのみ適用する必要があります。管理者がユニキャスト RPF を有効化するインターフェイスを注意深く計画するかぎり、ルーティングの非対称性は深刻な問題ではありません。

たとえば、ISP ネットワークのコアにあるルータよりも、ISP のネットワークのエッジにあるルータには、対称リバース パスがあることが多くあります。ISP ネットワークのコアにあるルータには、ルータからの最適な転送パスが、パケットがルータに戻るときに選択されるパスであるという保証がありません。したがって、ACL を使用して、ルータが着信パケットを受け入れる場合を除いて、ユニキャスト RPF を非対称ルーティングが発生する可能性がある場所に適用することを推奨しません。ACL は、パケットが特定の、最適ではない非対称入力パスで到着すると分かっている場合には、ユニキャスト RPF の使用を許可します。ただし、ISP にとっては、ユニキャスト RPF をネットワークのエッジまたはお客様のネットワークのエッジにのみ配置するのが最も簡単です。

図29-5 は、ユニキャスト RPF が非対称ルーティング環境で正規のトラフィックをブロックする方法を示します。

図29-5 非対称ルーティング環境においてトラフィックをブロックするユニキャスト RPF

BOOTP および DHCP を使用したユニキャスト RPF

Bootstrap Protocol（BOOTP; ブートストラップ プロトコル）および Dynamic Host Configuration Protocol（DHCP）機能が正しく動作するようにするために、ユニキャスト RPF は、送信元として 0.0.0.0、宛先として 255.255.255.255 を持つパケットの通過を許可します。

制約事項

マルチホームを使用するクライアントへのユニキャスト RPF の適用には、いくつかの基本的な制約事項があります。

• マルチホーミングはクライアントが冗長サービスを構築する目的と合わないため、クライアントは同じルータに対してマルチホームをしないでください。

• お客様は、（インターネットから）リンクに流れるパケットが、リンクからアドバタイズされたルートと一致することを確認する必要があります。一致しない場合、ユニキャスト RPF はそれらのパケットを間違ったパケットとしてフィルタリングします。

関連機能および技術

ユニキャスト RPF に関連する機能および技術に関する詳細については、次の項目を参照してください。

• ユニキャスト RPF がルータ上で適切に機能するには CEF が必要です。CEF の詳細については、『 Cisco IOS Switching Services Configuration Guide 』を参照してください。

• Cisco IOS Access Control List（ACL; アクセス コントロール リスト）を使用して 入力 および 出力 フィルタリングのポリシーを組み合わせると、スプーフィング攻撃の軽減に対するユニキャスト RPF の効果が大きくなります。

–入力フィルタリングでは、内部または外部ネットワークのネットワーク インターフェイスで受信したトラフィックにフィルタを適用します。入力フィルタリングを使用すると、別のネットワークまたはインターネットから到着したパケットのうち、その送信元アドレスがローカル ネットワーク、プライベート、またはブロードキャスト アドレスと一致するパケットがドロップされます。たとえば ISP 環境では、入力フィルタリングはクライアント（お客様）またはインターネットのいずれかのルータで受信したトラフィックに適用できます。

–出力フィルタリングでは、ネットワーク インターフェイス（送信するインターフェイス）から送信されるトラフィックにフィルタを適用します。ネットワークをインターネットまたは他のネットワークに接続するルータ上のパケットをフィルタリングすることで、ネットワークから送信するために有効な送信元 IP アドレスを持つパケットのみを許可できます。

ネットワーク フィルタリングの詳細については、『RFC 2267』および『 Cisco IOS IP Configuration Guide 』を参照してください。

• Cisco IOS ソフトウェアは、DoS 攻撃を軽減するために役立つ機能をさらに提供しています。

–Committed Access Rate（CAR; 専用アクセス レート）。CAR を使用すると、アクセス リストと一致するネットワーク トラフィックに対して、帯域ポリシーを強制できます。たとえば CAR は、ICMP トラフィックなどの量が少ないと思われるトラフィックにレート制限を課すことができます。CAR の詳細については、『 Cisco IOS Quality of Service Solutions Configuration Guide 』を参照してください。

–Context-based Access Control（CBAC; コンテキストベース アクセス コントロール）。CBAC は、保護されたネットワークから発信されていないネットワーク トラフィックを選択的にブロックします。CBAC は、タイムアウトおよびしきい値を使用してセッション ステート情報を管理します。これは、完全に確立された状態ではなくなっているセッションをいつドロップするか決定するのに役立ちます。ネットワーク セッションのタイムアウト値を設定することは、システム リソースを解放し、特定の時間が経過したあとでセッションをドロップするので、DoS 攻撃の軽減に役立ちます。CBAC の詳細については、『 Cisco IOS Security Configuration Guide 』を参照してください。

–TCP 代行受信。TCP 代行受信機能はソフトウェアに実装され、DoS 攻撃の一種である TCP SYN フラッディング攻撃から TCP サーバを保護します。SYN フラッディング攻撃は、ハッカーが接続要求を集中させてサーバにフラッディングさせるときに発生します。CBAC と同様に、TCP 代行受信機能もまた、タイムアウトおよびしきい値を使用してセッション ステート情報を管理します。これは、完全に確立された状態ではなくなっているセッションをいつドロップするか決定するのに役立ちます。TCP 代行受信の詳細については、『 Cisco IOS Security Configuration Guide 』を参照してください。

ユニキャスト RPF 設定の前提条件

ユニキャスト RPF を設定する前に、ACL を次のように設定します。

• 標準または拡張 ACL を設定して、無効な IP アドレスの送信を削減します（出力フィルタリングを実行します）。有効な送信元アドレスのみネットワークに出入りすることを許可して、それ以外の送信元すべてがインターネットに向けてネットワークを出ないようにします。

• 標準または拡張 ACL エントリを設定して、無効な送信元 IP アドレスを持つパケットをドロップ（拒否）します（入力フィルタリングを実行します）。無効な送信元 IP アドレスには、次の種類があります。

–予約されたアドレス

–ループバック アドレス

–プライベート アドレス（RFC 1918、「Address Allocation for Private Internets」）

–ブロードキャスト アドレス（マルチキャスト アドレスを含む）

–保護されたネットワークに関連する有効なアドレスの範囲外の送信元アドレス

ユニキャスト RPF の設定

ユニキャスト RPF は、いかなる種類のカプセル化でもサポートし、ルータによって受信された IP パケットの操作を行うインターフェイスまたはサブインターフェイス上でイネーブルとなる入力側の機能です。

ユニキャスト RPF を設定するには、次の作業を行います。

ユニキャスト RPF の確認

ユニキャスト RPF が動作可能かどうかを確認するには、 show cef interface コマンドを使用します。次に、ユニキャスト RPF がインターフェイス GigabitEthernet 3/1 でイネーブルになっている例を示します。

専用線集約ルータでのユニキャスト RPF の例

次のコマンドは、ユニキャスト RPF をシリアル インターフェイス上でイネーブルにします。

Cisco AS5800 でのダイヤルアップ ポートを使用したユニキャスト RPF の例

次の例では、Cisco AS5800 でユニキャスト RPF をイネーブルにします。 interface Group-Async コマンドを使用すると、すべてのダイヤルアップ ポートにユニキャスト RPF を適用することが容易になります。

着信および発信フィルタを使用したユニキャスト RPF の例

次に、非常に簡単なシングルホームを使用する ISP を使用して、ユニキャスト RPF とともに使用する入力および出力フィルタの概念の例を示します。この例は、アップストリーム インターフェイスで着信および発信フィルタの両方を使用する、ISP が割り当てた Classless Interdomain Routing（CIDR）ブロック 209.165.202.128/28 を示します。ISP は一般的にシングルホームを使用しないことに注意してください。したがって、非対称フローについての規定（発信トラフィックが 1 つのリンクから発信され、別のリンクから戻る場合）を設計して ISP の境界ルータ上のフィルタに組み込む必要があります。

ACL およびロギングを使用したユニキャスト RPF の例

次に、ユニキャスト RPF を使用して ACL およびロギングを使用する例を示します。この例では、拡張 ACL 197 が特定のアドレス範囲についてネットワーク トラフィックを拒否または許可するエントリを示します。ユニキャスト RPF は、インターフェイス Ethernet0 で設定され、そのインターフェイスに到着したパケットを確認します。

たとえば、インターフェイス Ethernet0 に到着する送信元アドレスが 192.168.201.10 であるパケットは、ACL 197 にある拒否（deny）ステートメントのため、ドロップされます。この場合、ACL 情報はログに記録され（ロギング オプションが ACL エントリについてオンになっている）、ドロップされたパケットはインターフェイス単位でグローバルにカウントされます。インターフェイス Ethernet0 に到着する送信元アドレスが 192.168.201.100 であるパケットは、ACL 197 にある許可（permit）ステートメントのため、転送されます。ドロップまたは抑制されたパケットに関する ACL 情報はログ サーバに記録されます（ロギング オプションが ACL エントリについてオンになっている）。