Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ユニキャスト RPF(スイッチ)について

IPスプーフィングや、ある種のサービス拒否(DoS)攻撃、分散型サービス拒否(DDoS)攻撃から保護するために、ユニキャストリバースパスフォワーディング(RPF)は、パケットが正当なパスから到着していることを確認します。これは、信頼できないイングレスインターフェイスに到着する各パケットの送信元アドレスを確認し、送信元アドレスの転送テーブルのエントリと比較することで実現されます。パケットが有効なパス、つまり送信者が宛先に到達するために使用するパスからのものである場合、デバイスはパケットを宛先アドレスに転送します。有効なパスからでない場合、デバイスはパケットを破棄します。IPスプーフィングは、保護されていない限り、実際にはパケットが宛先向けではない場合でも、侵入者がIPパケットを本物のトラフィックとして宛先に渡すための効果的な方法になる可能性があります。

ユニキャスト RPF は、IPv4 および IPv6 プロトコル ファミリー、および仮想プライベート ネットワーク(VPN)アドレス ファミリーでサポートされています。ユニキャスト RPF は、トンネル ソースとして設定されたインターフェイスではサポートされません。これは、トンネルから出るトランジットパケットのみに影響します。

手記:RPF チェックは、QFX シリーズおよび EX シリーズ スイッチ上の vxlan 対応インターフェイスではサポートされていません。

ユニキャスト RPF には、 厳密モードルーズ モードの 2 つのモードがあります。デフォルトは strict モードで、受信インターフェイスがパケットのユニキャスト送信元アドレスへの最適なリターン パスである場合にのみ、スイッチがパケットを転送することを意味します。厳密モードは、信頼できないインターフェイス(信頼できないユーザーまたはプロセスがネットワーク セグメントにパケットを配置できる)や、対称的にルーティングされたインターフェイス( ユニキャスト RPF を有効にするタイミングを参照)で特に役立ちます。ストリクト ユニキャスト RPF の詳細については、RFC 3704 、 マルチホーム ネットワークのイングレス フィルタリング (http://www.ietf.org/rfc/rfc3704.txt)を参照してください。

選択したカスタマーエッジインターフェイスでストリクトモードユニキャストRPFを有効にするには:

[インターフェイスの編集]user@switch# set interface-name unit 0 family inet rpf-check

もう 1 つのモードはルーズ モードで、システムはパケットのルーティング テーブルに対応するプレフィックスを持つ送信元アドレスがあるかどうかをチェックしますが、受信インターフェイスがパケットのユニキャスト送信元アドレスへの最適なリターン パスであるかどうかはチェックしません。

ユニキャスト RPF ルーズ モードを有効にするには、次のように入力します。

[インターフェイスの編集]user@switch# set interface-name unit 0 family inet rpf-check mode loose

手記:ジュニパーネットワークス EX3200、EX4200、および EX4300 イーサネット スイッチでは、ユニキャスト RPF が任意のインターフェイスで設定されている場合、スイッチはユニキャスト RPF をすべてのインターフェイスに グローバルに適用します。詳細については、 EX3200、EX4200、および EX4300 スイッチでのユニキャスト RPF 実装の制限を参照してください。

スイッチ用ユニキャスト RPF の概要

ユニキャスト RPF は、アドレスをスプーフィングしている可能性のある IP パケットの転送を削減するイングレス フィルタとして機能します。デフォルトでは、ユニキャスト RPF はスイッチ インターフェイス上で無効になっています。スイッチは、ユニキャスト送信元アドレスに戻る最適なリターン パスを決定するアクティブ パス方式のみをサポートしています。アクティブパス方式は、転送テーブルの中で最適なリバースパスエントリを検索します。最適なリターンパスを決定する際に、ルーティングプロトコル固有のメソッドを使用して指定された代替ルートは考慮されません。

転送テーブルに、パケットをユニキャスト送信元に転送するために使用するインターフェイスとして受信インターフェイスがリストされている場合、それが最適なリターンパスインターフェイスです。

ユニキャスト RPF の実装

ユニキャスト RPF パケット フィルタリング

スイッチでユニキャスト RPF をイネーブルにすると、スイッチはトラフィックを次のように処理します。

  • スイッチは、そのパケットのユニキャスト送信元アドレスへの最適なリターンパスであるパケットをインターフェイス上で受信した場合、パケットを転送します。

  • スイッチからパケットのユニキャスト送信元アドレスへの最適なリターンパスが受信インターフェイスでない場合、スイッチはパケットを破棄します。

  • 転送テーブルにルーティング エントリーがない送信元 IP アドレスを持つパケットをスイッチが受信すると、スイッチはそのパケットを廃棄します。

ブートストラップ プロトコル(BOOTP)と DHCP 要求

ブートストラップ プロトコル(BOOTP)および DHCP リクエスト パケットはブロードキャスト MAC アドレスとともに送信されるため、スイッチはそれらに対してユニキャスト RPF チェックを実行しません。スイッチは、ユニキャスト RPF チェックを行わずに、すべての BOOTP パケットと DHCP 要求パケットを転送します。

デフォルトのルート処理

送信元への最適なリターンパスがデフォルトルート(0.0.0.0)で、デフォルトルートが reject を指している場合、スイッチはパケットを破棄します。デフォルト ルートが有効なネットワーク インターフェイスを指している場合、スイッチはパケットに対して通常のユニキャスト RPF チェックを実行します。

手記:

EX4300 では、スイッチがユニキャスト RPF 厳密モードで設定されている場合、デフォルト ルートは使用されません。

ユニキャスト RPF を有効にする場合

ネットワーク インターフェイスに到着するトラフィックが、インターフェイスが到達できるネットワーク上にある送信元から来るようにする場合に、ユニキャスト RPF を有効にします。信頼できないインターフェイスでユニキャスト RPF を有効にして、スプーフィングされたパケットをフィルタリングすることができます。たとえば、ユニキャスト RPF の一般的なアプリケーションは、インターネットからの DoS/DDoS 攻撃からエンタープライズ ネットワークを守るためのものです。

ユニキャスト RPF は、対称的にルーティングされたインターフェイスでのみ有効にし、トラフィック ソースのできるだけ近くで行うと、なりすましトラフィックが増殖したり、ユニキャスト RPF が有効になっていないインターフェイスに到達したりする前に、それを阻止します。ユニキャスト RPF は EX3200、EX4200、および EX4300 スイッチでグローバルに有効になっているため、図 1 に示すように、これらのスイッチでユニキャスト RPF を有効にする前に、すべてのインターフェイスが対称的にルーティングされていることを確認してください。非対称にルーティングされたインターフェイスでユニキャスト RPF を有効にすると、正当な送信元からのパケットがフィルタリングされます。対称ルーテッドインターフェイスは、送信元と宛先の間で両方向に同じルートを使用します。

ユニキャストRPFは、EX3200、EX4200、およびEX4300スイッチでグローバルに有効になっています。これらのデバイスでは、 すべての インターフェイスが対称的にルーティングされていることを確認してから、これらのスイッチでユニキャストRPFを有効にしてください。非対称にルーティングされたインターフェイスでユニキャスト RPF を有効にすると、正当な送信元からのパケットがフィルタリングされます。

図1:対称的にルーティングされたインターフェイス Symmetrically Routed Interfaces

次のスイッチ インターフェイスは、対称的にルーティングされる可能性が最も高いため、ユニキャスト RPF 有効化の候補となります。

  • 顧客に対するサービスプロバイダエッジ

  • サービスプロバイダにとってのカスタマーエッジ

  • ネットワーク外の単一のアクセスポイント(通常はネットワーク境界上)

  • リンクが 1 つしかない端末ネットワーク

EX3200、EX4200、および EX4300 スイッチでは、すべてのインターフェイスまたは 1 つのインターフェイスのみでユニキャスト RPF を明示的に有効にすることを推奨します。混乱を避けるため、一部のインターフェイスのみで有効にしないでください。

  • ユニキャスト RPF を 1 つのインターフェイスでのみ明示的に有効にすると、明示的に有効にしたすべてのインターフェイスでユニキャスト RPF を明示的に無効にする必要があるため、将来無効にすることを選択する場合が容易になります。2 つのインターフェイスでユニキャスト RPF を明示的に有効にし、1 つのインターフェイスでのみ無効にしても、ユニキャスト RPF はスイッチ上でグローバルに暗黙的に有効になります。このアプローチの欠点は、ユニキャスト RPF が明示的に有効になっているインターフェイスでのみユニキャスト RPF が有効であることを示すフラグがスイッチに表示されるため、ユニキャスト RPF がすべてのインターフェイスで有効になっていても、このステータスが表示されないことです。

  • すべてのインターフェイスでユニキャスト RPF を明示的に有効にすると、すべてのインターフェイスが正しいステータスを示すため、スイッチでユニキャスト RPF が有効になっているかどうかを簡単に知ることができます。(ユニキャスト RPF を明示的に有効にしたインターフェイスにのみ、ユニキャスト RPF が有効になっていることを示すフラグが表示されます)。このアプローチの欠点は、ユニキャスト RPF を無効にする場合、すべてのインターフェイスで明示的に無効にする必要があることです。ユニキャスト RPF が任意のインターフェイスで有効になっている場合、すべてのインターフェイスで暗黙的に有効になります。

ユニキャスト RPF を有効にしてはいけない場合

通常、次の場合はユニキャスト RPF は有効にしません。

  • スイッチ インターフェイスはマルチホームです。

  • スイッチ インターフェイスは信頼できるインターフェイスです。

  • BGPはプレフィックスを伝送していますが、それらのプレフィックスの一部はアドバタイズされないか、ISPのポリシーで受け入れられません。(この場合の効果は、不完全なアクセス リストを使用してインターフェイスをフィルタリングするのと同じです)。

  • スイッチ インターフェイスは、ネットワーク コアに面しています。コアに面するインターフェイスは、通常、非対称にルーティングされます。

非対称ルーテッド インターフェイスは、 図 2 に示すように、送信元と宛先の間でパケットを送受信するために異なるパスを使用します。これは、インターフェイスがパケットを受信した場合、そのインターフェイスは送信元に戻る最適なリターンパスとして転送テーブルのエントリと一致しないことを意味します。受信インターフェイスがパケット送信元への最適なリターン パスでない場合、ユニキャスト RPF により、パケットが有効な送信元から送信された場合でも、スイッチはパケットを破棄します。

図2: 非対称にルーティングされたインターフェイス Asymmetrically Routed Interfaces
手記:

ユニキャストRPFは、これらのスイッチのすべてのインターフェイスでグローバルに有効になっているため、スイッチインターフェイスが非対称にルーティングされている場合は、EX3200、EX4200、およびEX4300スイッチでユニキャストRPFを有効にしないでください。ユニキャスト RPF を有効にするには、転送するトラフィックをスイッチが廃棄するリスクなく、すべてのスイッチ インターフェイスを対称的にルーティングする必要があります。

EX3200、EX4200、および EX4300 スイッチでのユニキャスト RPF 実装の制限

EX3200、EX4200、EX4300 の各スイッチでは、グローバルにユニキャスト RPF を実装しています。ユニキャスト RPF をインターフェイス単位で有効にすることはできません。ユニキャスト RPF は、デフォルトでグローバルにディセーブルになっています。

  • 任意のインターフェイスでユニキャストRPFを有効にすると、LAG(リンクアグリゲーショングループ)、IRB(統合型ルーティングおよびブリッジング)インターフェイス、RVI(ルーテッドVLANインターフェイス)を含むすべてのスイッチインターフェイスで自動的に有効になります。

  • ユニキャスト RPF を有効にしたインターフェイスでユニキャスト RPF を無効にすると、すべてのスイッチ インターフェイスで自動的に無効になります。

手記:

ユニキャスト RPF が明示的に有効になっているすべてのインターフェイスでユニキャスト RPF を明示的に無効にしないと、ユニキャスト RPF はすべてのスイッチ インターフェイスで有効のままになります。

QFXスイッチ、OCXスイッチ、EX3200およびEX4200スイッチは、等コストマルチパス(ECMP)トラフィックに対してユニキャストRPFフィルタリングを実行しません。ユニキャスト RPF チェックでは、パケット送信元への最適なリターン パスが 1 つだけ調べられますが、ECMP トラフィックは複数のパスで構成されるアドレス ブロックを使用します。これらのスイッチで、ユニキャスト RPF を使用して ECMP トラフィックをフィルタリングすると、転送するパケットがスイッチによって破棄されることがあります。これは、ユニキャスト RPF フィルタが ECMP アドレス ブロック全体を調べないためです。