VPN のユニキャスト リバース パス フォワーディング チェックの有効化

IPスプーフィングは、サービス拒否(DoS)攻撃中に発生する可能性があります。IPスプーフィングにより、実際にはパケットが宛先向けのものではないにもかかわらず、侵入者はIPパケットを本物のトラフィックとして宛先に渡すことができます。このタイプのなりすましは、宛先のリソースを消費するため有害です。

ユニキャストリバースパスフォワーディング(RPF)チェックは、アドレスを偽装している可能性のあるIPパケットの転送を減らすためのツールです。ユニキャストRPFチェックは、IPパケットの送信元アドレスでルートテーブル検索を実行し、着信インターフェイスをチェックします。ルーターは、送信者が宛先に到達するために使用するパスからパケットが到着しているかどうかを判断します。パケットが有効なパスからのものである場合、ルーターはパケットを宛先アドレスに転送します。有効なパスからのものでない場合、ルーターはパケットを破棄します。ユニキャストRPFは、IPv4およびIPv6プロトコルファミリーと、仮想プライベートネットワーク(VPN)アドレスファミリーでサポートされています。VPNルーティングインスタンス内でユニキャストRPFを有効にすることもできます。

RPF チェックを有効にするにはユニキャスト unicast-reverse-path ステートメントを含めます。

このステートメントを設定できる階層レベルの一覧については、このステートメントの概要のセクションを参照してください。

ユニキャスト RPF チェック中にアクティブなパスのみを考慮するには、 active-paths オプションを含めます。ユニキャスト RPF チェック中に実行可能なすべてのパスを検討するには、 feasible-paths オプションを含めます。

unicast-reverse-pathステートメントの設定方法については、例:ユニキャストRPF(ルーター上)の設定とを参照してください。