uRPF [Unicast Reverse Path Forwarding]とは、流入する送信元IPアドレスが本来の経路を辿ってきたか、ルータの経路情報と比較して確認する方法です。パケットの送信元IPアドレスから経路情報を検索して、得られた転送先のインタフェースとパケットが流入したインタフェースを比較してチェックします。
uRPFではルータの経路情報を利用して送信元アドレスの確認を行います。 このためルータの最新の経路情報が正しく保たれていれば、他の管理作業は生じないというメリットがあります。
例えば、ネットワークに変更が生じた場合にも、最新の経路情報に基づいたパケットフィルタリングが行われます。
uRPFにはどのようなモードがありますか?
uRPFのチェック方法には、strictモード(厳密なモード)やlooseモード(緩やかなモード)など複数のモードがあります。
厳密なstrictモードでは、パケットの送信元IPアドレスへの経路と、パケットが流入したインタフェースが、完全に一致するか確認します。
緩やかなlooseモードでは、送信元IPアドレス向けの経路が存在しているか確認を行います。
uRPFの各モードの使い分けについておしえてください
複数の接続回線で冗長化を図る場合など、ネットワーク構成により、上り下りの通信経路が非対称になることがあります。
こうしたケースでは、送信元 IP アドレスへの経路とパケットの流入するインタフェースが一致しないため、strictモードを用いると正しい送信元アドレスのパケットまで破棄してしまいます。 このような場合、looseモードを使います。
looseモードでは、送信元IPアドレスが経路情報に存在するパケットのみ通過させ、それ以外のパケットは破棄します。
例えば、一般に不正な送信元アドレスとされるプライベートアドレスや未使用アドレス、マルチキャストアドレスなど特殊なアドレスを送信元とするパケットは、判別・破棄できます。また、明らかに不正な送信元アドレスのパケットのみを破棄するため、通常の通信に対する影響がありません。
ただし、looseモードは、送信元アドレスが経路情報に存在する場合には、詐称されたアドレスであっても通過させるという欠点もあります。
SEILはuRPF機能を搭載していますか?
SEILシリーズは次の機種でuRPFを使用できます。
- SEIL/X1
- SEIL/X2
- SEIL/B1
- SEIL/x86 Fuji
- SEILアプライアンスシリーズ BPV4