ユニキャスト リバース パス フォワーディング(uRPF)

ユニキャスト リバース パス フォワーディングとは

**ユニキャスト リバース パス フォワーディング（Unicast Reverse Path Forwarding, uRPF）**は、Ciscoルーターやスイッチで使用されるセキュリティ機能の1つで、不正なIPアドレスを持つパケットがネットワークに流入するのを防ぐために使用されます。特に、IPスプーフィング攻撃を防ぐ効果があります。uRPFは、パケットの送信元アドレスが有効であるかを確認し、正しい経路から来たパケットのみを受け入れるように動作します。

uRPFの動作原理

uRPFは、受信したパケットの送信元アドレスに対して、ルーターのルーティングテーブルを確認し、以下の基準を満たしているかどうかを判断します。

• 送信元アドレスに対して、正しい戻り経路があるか（ルートエントリがあるか）。
• その戻り経路が、パケットを受信したインターフェースと一致しているか。

もし、パケットが逆方向の経路（送信元アドレスに対する戻り経路）と一致しないインターフェースから到着した場合、そのパケットは不正なものとして破棄されます。これにより、IPスプーフィング攻撃（攻撃者が偽の送信元IPアドレスを使用してパケットを送信する攻撃）を防止できます。

uRPFのモード

uRPFには、2つの主要な動作モードがあります。

1. 厳格モード（Strict Mode）

• 厳密なチェックを行い、パケットが送信元アドレスに対する戻り経路と完全に一致するインターフェースから到着している必要があります。
• 具体的には、受信インターフェースがその送信元アドレスのルーティングエントリと一致しない場合、そのパケットは破棄されます。

2. ルーズモード（Loose Mode）

• 送信元アドレスに対するルートがルーティングテーブルに存在すれば、そのパケットを許可します。受信インターフェースとルーティングエントリのインターフェースが一致する必要はありません。
• ルーズモードでは、厳格モードよりも柔軟で、異なるインターフェースからのパケットも許可しますが、送信元アドレスに対する有効なルートが存在しなければなりません。

ユニキャスト リバース パス フォワーディング(uRPF)の設定

基本構文

指定したインターフェイスにユニキャスト リバース パス フォワーディング(uRPF)を適用します。
Router(config)#interface interface-id
Router(config-if)#ip verify unicast source reachable-via [ any | rx ] [ allow-default ]