CUPS アーキテクチャは、ユーザープレーンでのパケット送信元の検証をサポートします。送信元の検証は、パケットスプーフィングが疑われる場合や、ネットワーク内でのパケットの回送およびラベル付けの確認に有効です。

ユーザープレーンは、アップリンクデータパケットの送信元 IP アドレスと UE の IP アドレスが一致するかどうかを確認し、さらに設定された値に基づいて、データパケットをドロップするか許可するかを決定します。

この機能には、非 CUPS アーキテクチャの一部である既存の設定が実装されています。ip source-violation コマンド（[APN Configuration] モードの一部）は、パケット送信元の検証を実装するために使用されます。

特定の APN に対するパケット送信元の検証を有効または無効にするには、次の設定を使用します。

configure 
   context context_name 
      apn apn_name 
         ip source-violation { ignore | check [ drop-limit limit ] [ exclude-from-accounting ] } 
         default ip source-violation 
         end 

注：

• default ：サブスクライバから受信した送信元アドレスの違反チェックを有効にします。セッションが削除される前にサブスクライバから受信できる無効パケットのドロップ制限数は 10 です。

• ignore ：APN の送信元アドレスチェックを無効にします。

  ユーザープレーンでは IP ソース違反カウンタは増分されず、ドロップされたパケットの統計はゼロになります。ユーザープレーンが別のストリームを作成し、VPP が同じストリーム ID を使用し、fastpath を介してそれらのパケットを送信します。

• check [ drop-limit limit ] ：デフォルトは [Enabled] で、limit は 10 です。

  サブスクライバから受信した送信元アドレスの違反チェックを有効にします。drop-limit を設定して、セッションが削除される前にサブスクライバから受信できる無効なパケット数に対する制限を設定できます。

  limit ：0 ～ 1,000,000 の任意の整数値に設定できます。値 0 は、すべての無効なパケットが廃棄され、セッションはシステムによって削除されないことを示します。

• exclude-from-accounting ：アカウンティングレコード用に生成された統計情報から、IP ソース違反で識別されたパケットを除外します。

  exclude-from-accounting が無効になっている場合：

  • ドロップされたパケットは考慮されませんが、VPP から送信されたパケットは課金されます。

  • 使用状況レポートの URR にドロップバイト数が表示されます。

  • パケットドロップカウンタが増加します。

  exclude-from-accounting が有効になっている場合：

  • ドロップされたパケットは考慮されません。

  • 使用状況レポート URR にドロップされたパケットは表示されません。

  • パケットドロップカウンタが増加します。

この項では、IP ソース違反機能のモニタリングと障害対応について説明します