今回はUnicast reverth path forwardingのACLのかけ方について整理してみたいと思います。
Securityの範囲かも知れませんが、uRFPそのものの説明ではないのでこのPostします。
ご存じの方も多いと思いますが、uRFPは簡単に説明すると入ってくるPacketのSrc Addressを
確認し、自分が知っている場合のみそのPacketを通過させるというSimpleかつ強力なSecurity
Toolの1つです。(Securityはよく分かってませんので、すみません。)
基本下記のCommandをInterfaceに入れて頂くだけで設定完了です。
ip verify unicast source reachable-via [any|rx] [ACL]
rxはcheckされたSrc addressがそのInterfaceを通って到達可能な場合のみ
Permitさせます。(Routing tableからSrc addressのNetworkが入ってきた
Interfaceにある必要があるという事です。)もっと詳細なuRFPの説明は
CCOを参照してください。
ここでは、ACLの設定について参考になるような情報を書きたいと思います。
uRPFにACLが設定されていると下記のように動作します。
1.uRPFに設定されているACLにPermitがあるとそのACLにMatchしたPacketは
uRPF check fail有無に関係なくPassされます。
2.uRPFに設定されているACLにDenyがあってもuRPF checkが成功すると
廃棄されず、Passされます。
上記の事からACLの使い勝手は下記のように考えられます。
1.deny ip any any [log|log-input]を用いて実際にuRPF checkに引っかかった
Packetの数を確認できます。
2.permit ip [] [] により、特定のPacketをuRPFの無視させる事ができます。
上記の結果はあくまでTestから確認された動作ベースで整理したもので弊社の公式的な見解とは
違う可能性がありますのでご注意ください。