Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

例:ユニキャスト RPF の設定(ルーター上)

この例では、カスタマーエッジインターフェイスでユニキャストRPFを設定して着信トラフィックをフィルタリングすることにより、イングレスインターフェイスをサービス拒否(DoS)および分散型サービス拒否(DDoS)攻撃から防御する方法を示します。

必要条件

デバイスの初期化以上の特別な設定は必要ありません。

概要

この例では、デバイス A は OSPF を使用して、デバイス D に接続するリンクのプレフィックスをアドバタイズしています。デバイス B にはユニキャスト RPF が設定されています。OSPF は、機器 B と機器 C の間のリンク、および機器 A と機器 C の間のリンクでは有効ですが、機器 A と機器 B の間のリンクでは有効ではありません。そのため、機器Bは機器Cを経由して機器Dへのルートを学習します。

DHCP または BOOTP を使用する環境でイングレス フィルタリングを使用する場合は、送信元アドレスが 0.0.0.0、宛先アドレスが 255.255.255.255 のパケットが、必要に応じてルーターのリレー エージェントに到達できるようにする必要があります。

この例には、失敗フィルターも含まれています。パケットがユニキャスト RPF チェックに不合格になると、失敗フィルターが評価され、パケットを受け入れるかどうかが判断されます。この例のフェイルフィルターは、デバイスBのインターフェイスがDHCP(動的ホスト構成プロトコル)パケットを受け入れることを可能にします。フィルターは、送信元アドレスが 0.0.0.0、宛先アドレスが 255.255.255.255 のすべてのパケットを受け入れます。

位相幾何学

図 1 に、サンプル ネットワークを示します。

図 1: ユニキャストRPFサンプルのプールUnicast RPF Sample Topoolgy

構成

CLIクイック構成

この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、 [edit] 階層レベルのCLIにコマンドをコピーして貼り付けます。

1 デバイスA 1

1 デバイスB 1

1 デバイスC 1

デバイスD 1

デバイスE 1

デバイス A の設定

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、「 1 コンフィグレーション・モードでのCLIエディタの使用」を参照してください。

デバイス A を設定するには:

  1. インターフェイスを設定します。

  2. OSPFを設定します。

  3. ルーティングポリシーを設定します。

  4. デバイス A の設定が完了したら、設定をコミットします。

デバイス B の設定

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、「 1 コンフィグレーション・モードでのCLIエディタの使用」を参照してください。

デバイス B を設定するには:

  1. インターフェイスを設定します。

  2. OSPFを設定します。

  3. ユニキャスト RPF を設定し、オプションの失敗フィルターを適用します。

  4. (オプション)パケットがRPFチェックに失敗した場合に評価される失敗フィルターを設定します。

  5. (オプション)RPF チェックで考慮されるアクティブ パスのみを設定します。

    これはデフォルトの動作です。

  6. デバイス B の設定が完了したら、設定をコミットします。

業績

show firewallshow interfacesshow protocolsshow routing-options、および show policy-options コマンドを発行して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

1 デバイスA 1

1 デバイスB 1

CLIクイック設定に示すように、デバイスC、デバイスD、およびデバイスEで設定を入力します。

検証

設定が正常に機能していることを確認します。

ユニキャスト RPF が有効になっていることを確認する

目的

デバイス B のインターフェイスでユニキャスト RPF が有効になっていることを確認します。

アクション

意味

uRPF フラグは、このインターフェイスでユニキャスト RPF が有効になっていることを確認します。

送信元アドレスがブロックされていることを確認する

目的

ping コマンドを使用して、デバイス B が予期しない送信元アドレスからのトラフィックをブロックしていることを確認します。

アクション

デバイスAから、送信元アドレスとして10.0.0.17を使用して、デバイスBのインターフェイスにpingを実行します。

意味

予想どおり、ping 操作は失敗します。

送信元アドレスのブロックが解除されていることを確認する

目的

ping コマンドを使用して、RPF チェックが非アクティブ化されたときにデバイス B がトラフィックをブロックしないようにします。

アクション

  1. インターフェイスの 1 つで RPF チェックを無効にします。

  2. ping 操作を再実行します。

意味

予想どおり、ping 操作は成功します。