このページの目次
仮想インターフェイスでのリバースパスフォワーディングの設定
概要
ユニキャストリバースパスフォワーディング(RPF)は、RPF チェックを実行して、パケットが有効な送信元アドレスから送信されたことを検証します。RPF チェックは、着信パケットの送信元 IP アドレスが有効なパスから到着しているかどうかを確認するために、IP ルーティング テーブルを使用する検証ツールです。RPF は、IP アドレスをスプーフィングしている可能性のある IP パケットの転送を削減するのに役立ちます。
パケットがインターフェイスに到着すると、RPF はパケットの送信元 IP アドレスで転送テーブル ルックアップを実行し、着信インターフェイスをチェックします。受信インターフェイスは、パケットが到着したインターフェイスと一致する必要があります。インターフェイスが一致しない場合、vRouter はパケットをドロップします。パケットが有効なパスからのものである場合、vRouter はパケットを宛先アドレスに転送します。
ソース RPF は、仮想ネットワークごとに有効または無効にできます。デフォルトでは、RPF はディセーブルになっています。
-
RPF イネーブル
パケットがインターフェイスに到達するたびに、RPF はパケットの送信元 IP アドレスをチェックします。ルートが vRouter によって学習されない場合、すべてのパケットが破棄されます。ワークロードに割り当てられたMAC/IPアドレスから受信したパケットのみがインターフェイスで許可されます。
-
RPF ディセーブル
任意の送信元からのパケットがインターフェイス上で受け入れられます。転送テーブルのルックアップは、着信パケットの送信元 IP アドレスでは実行されません。
仮想インターフェイスでRPFを有効にする
仮想インターフェイスでRPFを設定するために使用する名前空間YAMLファイルの例を次に示します。RPF を有効にするには、 の下の virtualNetworkPropertiesenable変数を rpf に設定します。
apiVersion: v1
kind: Namespace
metadata:
name: rpf-ns
---
apiVersion: core.contrail.juniper.net/v1alpha1
kind: Subnet
metadata:
namespace: rpf-ns
name: rpf-subnet-1
annotations:
core.juniper.net/display-name: Sample Subnet
core.juniper.net/description:
Subnet represents a block of IP addresses and its configuration.
IPAM allocates and releases IP address from that block on demand.
It can be used by different VirtualNetwork in the mean time.
spec:
cidr: "172.20.10.0/24"
---
apiVersion: core.contrail.juniper.net/v1alpha1
kind: VirtualNetwork
metadata:
namespace: rpf-ns
name: rpf-vn-1
annotations:
core.juniper.net/display-name: Sample Virtual Network
core.juniper.net/description:
VirtualNetwork is a collection of end points (interface or ip(s) or MAC(s))
that can communicate with each other by default. It is a collection of
subnets whose default gateways are connected by an implicit router
spec:
v4SubnetReference:
apiVersion: core.contrail.juniper.net/v1alpha1
kind: Subnet
namespace: rpf-ns
name: rpf-subnet-1
fabricSNAT: true
virtualNetworkProperties:
rpf: enable