シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel

uRFPでのACL設定について

今回はUnicast reverth path forwardingのACLのかけ方について整理してみたいと思います。
Securityの範囲かも知れませんが、uRFPそのものの説明ではないのでこのPostします。

ご存じの方も多いと思いますが、uRFPは簡単に説明すると入ってくるPacketのSrc Addressを
確認し、自分が知っている場合のみそのPacketを通過させるというSimpleかつ強力なSecurity
Toolの1つです。(Securityはよく分かってませんので、すみません。)

基本下記のCommandをInterfaceに入れて頂くだけで設定完了です。


ip verify unicast source reachable-via [any|rx] [ACL]


rxはcheckされたSrc addressがそのInterfaceを通って到達可能な場合のみ
Permitさせます。(Routing tableからSrc addressのNetworkが入ってきた

Interfaceにある必要があるという事です。)もっと詳細なuRFPの説明は

CCOを参照してください。

ここでは、ACLの設定について参考になるような情報を書きたいと思います。
uRPFにACLが設定されていると下記のように動作します。


1.uRPFに設定されているACLにPermitがあるとそのACLにMatchしたPacketは

uRPF check fail有無に関係なくPassされます。


2.uRPFに設定されているACLにDenyがあってもuRPF checkが成功すると

廃棄されず、Passされます。

上記の事からACLの使い勝手は下記のように考えられます。


1.deny ip any any [log|log-input]を用いて実際にuRPF checkに引っかかった
Packetの数を確認できます。


2.permit ip [] [] により、特定のPacketをuRPFの無視させる事ができます。

上記の結果はあくまでTestから確認された動作ベースで整理したもので弊社の公式的な見解とは
違う可能性がありますのでご注意ください。

1262
閲覧回数
12
いいね!
0
コメント