VPNのユニキャストリバースパスフォワーディングチェックの有効化

サービス拒否(DoS)攻撃中に IP スプーフィングが発生する可能性があります。IPスプーフィングにより、実際にパケットが宛先用ではない場合、侵入者はIPパケットを本物のトラフィックとして宛先に渡すことができます。この種のスプーフィングは、宛先のリソースを消費するため有害です。

RPF(ユニキャスト リバースパスフォワーディング)チェックは、アドレスがスプーフィングされている可能性のある IP パケットの転送を減らすツールです。ユニキャスト RPF チェックは、IP パケットの送信元アドレスでルート テーブル ルックアップを実行し、受信インターフェイスをチェックします。ルーターは、送信者が宛先に到達するために使用するパスからパケットが到着しているかどうかを判断します。パケットが有効なパスからの場合、ルーターはパケットを宛先アドレスに転送します。有効なパスからではない場合、ルーターはパケットを破棄します。ユニキャスト RPF は、IPv4 および IPv6 プロトコル ファミリー、および仮想プライベート ネットワーク(VPN)アドレス ファミリーでサポートされています。また、VPN ルーティング インスタンス内でユニキャスト RPF を有効にすることもできます。

ユニキャスト RPF チェックを有効にするには、 ステートメントを unicast-reverse-path 含めます。

このステートメントを設定できる階層レベルの一覧については、このステートメントのステートメント概要セクションを参照してください。

ユニキャスト RPF チェック中にアクティブなパスのみを考慮するには、 オプションを active-paths 含めます。ユニキャスト RPF チェック中にすべての実現可能なパスを考慮するには、 オプションを feasible-paths 含めます。

ステートメントの設定方法の詳細については、 例: ユニキャストRPFの設定unicast-reverse-path(ルーター上)および を参照してください。