参考資料・時間
資料:
INE Network Security
勉強時間:
20260409 : 約3時間
20260410 : 約3時間
20260411 : 約2.5時間
20260412 : 約3時間
20260413 : 約3時間
20260414 : 約3時間
20260415 : 約3時間
学習内容
AAA
AAAはAuthentication, Authorization, Accountの3つをまとめたもの。
AAAは主にOld-ModelとNew-Modelに分けられる。
Old-Model
〇Authentication
デフォルトで認証設定できるものを指す。
例)
line console 0
password [PW]
!
username admin password cisco
〇Authorization
権限(認可)を設定可能。
! show run実行確認
SW>show running-config
^
% Invalid input detected at '^' marker.
! 権限変更
SW(config)#privilege exec level 1 show run
! 権限確認(Login後)
SW>show privilege
Current privilege level is 1
! show run実行確認
SW>show running-config
Building configuration...
Current configuration : 462 bytes
!
! Last configuration change at 16:39:04 UTC Thu Apr 9 2026
!
boot-start-marker
boot-end-marker
!
!
〇Accounting
設定変更の通知とロギングをトラッキングする。
! 設定変更手順
conf t
achive
log config ! running-configの変更を記録
logging enable ! ログ取得を有効にする
! 確認
SW1#show archive log config all
idx sess user@line Logged command
1 1 console@console | logging enable
2 1 console@console |!exec: enable
3 2 console@console |hostname SW1
New-Model
New-Modelは aaa new-modelによって、明示的に使用を宣言する必要がある。
〇RBAC (Role-Based Access Control)
アカウントへの権限ベースで権限を与えるのではなく、権限を役割ベースでユーザに付与する。
まず、事前にViewという役割と権限のセットを作成しておく。
例) Maintenance Viewはinterface設定は変更できないが、その他の変更は可能…など。
次に、EnableモードからViewにログインすることでViewを適用する。
〇複数回ログインによる認証突破(Brute Force Attack)の対策
60秒以内に3回失敗すると10秒間ログインをブロックする
login block-for 10 attempts 3 within 60
CoPP (Control Plane Policing)
ルーティングプロトコル(OSPF, EIGRP)等のHelloパケットを大量に送り付け、
CPUリソースを枯渇させるDoS攻撃が村債する。
この対策としては、コントロールプレーンで特定時間で受け付けるパケット数を制限し、
それ以外はドロップするといった方法がある。
Control-Planeと、Service-Policy Inputにて設定を行う。
Port ACL
Port-based Access Lists (PACL)
適用方向 : In
適用先: L2スイッチのポートが対象
フィルタ対象トラフィック: L3/L2 (L2 ACLは非IPトラフィックのみ)
注意点:
Routed ACL (RACL)
適用方向 : In / Out
適用先: RoutedポートかSVIが対象
フィルタ対象トラフィック: L3
ポイント:一般的なStandard/ExtendのACLはこれを指す
VLAN-based Access Lists (VACL)
適用方向 : In
適用先: VLANかSVIが対象
フィルタ対象トラフィック: L3/L2 (L2 ACLは非IPトラフィックのみ)
注意点:全てのポート(Access/trunk)に設定されたVLANが対象となる。
暗黙のDenyが動いてしまうと、意図しないARPやSTPを止める可能性が高い。
設定順序
VACL → PACL →RACLの順序で適用される。
設定
VACL/PACLに関して設定手順を記載。
RACLについては通常のACL設定と同等なので省略する。
VACL設定手順
VLANへの適用
## L2 ACLを作成
! MAC ACLの作成
mac access-list extended ACL-MAC
permit any host 5000.0007.0001
! MAC ACLでPermitされたものをDropさせ、それ以外の物は通過させる
vlan access-map VMAP 10
match mac address ACL-MAC
action drop
vlan access-map VMAP 20 ! これが無いとAll Denyになるため注意
action forward
!VLANに適用する。VLAN1つだけではなく、全てのVLANや範囲区切りも可能
vlan filter VMAP vlan-list 100
## L3 ACLを作成
! L3 ACLの作成
ip access-list extended TELNET
permit tcp any any eq telnet
! L3 ACLでPermitされたものをDropさせ、それ以外の物は通過させる
vlan access-map DROP-TELNET 10
match ip address TELNET
action drop
vlan access-map DROP-TELNET 20 ! これが無いとAll Denyになるため注意
action forward
vlan filter DROP-TELNET vlan-list 100
※注意点
VLANには1つのVLAN Access-mapを適用できる。
! VMAPとDROP-TELNETがそれぞれ別のVLANを使用
SW100(config)#do sh run | i vlan filter
vlan filter VMAP vlan-list 100
vlan filter DROP-TELNET vlan-list 200
! DROP-TELNETもvlan100を使用
SW100(config)#vlan filter DROP-TELNET vlan-list 100-200
!もともとvlan 100を使用していたVMAPが外れる
SW100(config)#do sh run | i vlan filter
vlan filter DROP-TELNET vlan-list 100-200
! VMAPが適用VLANをALLをしたことで、DROP-TELNETが適用から外れる
SW100(config)#vlan filter VMAP vlan-list all
SW100(config)#do sh run | i vlan filter
vlan filter VMAP vlan-list 1-4094
PACL設定手順
VLANへの適用
## L2 ACLを作成
! MAC ACLの作成
mac access-list extended MAC-ACL
deny host 5000.0006.8064 any
permit any any
!Interfaceに適用する。
interface GigabitEthernet0/0
mac access-group MAC-ACL in
## L3 ACLを作成
! L3 ACLの作成
ip access-list extended DENY-TELNET
deny tcp any any eq telnet
permit ip any any
! L3 ACLでPermitされたものをDropさせ、それ以外の物は通過させる
interface GigabitEthernet0/0
ip access-group DENY-TELNET in
※注意点
VLANには1つのVLAN Access-mapを適用できる。
! VMAPとDROP-TELNETがそれぞれ別のVLANを使用
SW100(config)#do sh run | i vlan filter
vlan filter VMAP vlan-list 100
vlan filter DROP-TELNET vlan-list 200
! DROP-TELNETもvlan100を使用
SW100(config)#vlan filter DROP-TELNET vlan-list 100-200
!もともとvlan 100を使用していたVMAPが外れる
SW100(config)#do sh run | i vlan filter
vlan filter DROP-TELNET vlan-list 100-200
! VMAPが適用VLANをALLをしたことで、DROP-TELNETが適用から外れる
SW100(config)#vlan filter VMAP vlan-list all
SW100(config)#do sh run | i vlan filter
vlan filter VMAP vlan-list 1-4094
Port-Based Traffic Control
Port Security
特定のポートで使用するセキュアMACアドレスを指定する。
もしポートがセキュアMACアドレスと異なるMACアドレスを受信した場合、ポートシャットダウンなど規定の動作を行う。
Access/Trunkどちらにも設定可能だが、Dynaic Trunk(mode dynamic auto / dynamic desireble )は不可。
規定動作については3種類。
Shutdownはポートをエラーディセーブル状態にする。
Restrictは違反したトラフィックを受け付けず、SNMP/Syslogを生成する。
Protectは違反したトラフィックを受け付けない
〇セキュアMACアドレス
・セキュアMACアドレスは種別があり、Static/Sticky/forbiddenがある。
Staticは任意のMACアドレスを指定する。
Stickyは現在接続されているMACをセキュアMACアドレスとして指定する。
これは最大数に達するまで動的にMACアドレスを学習する。
maximum [n]にて最大数は変更できる。
forbiddenはセキュアMACアドレスにしたくないMACアドレスを指定する。
〇その他の注意点
・HSRPやVRRP,GLBPを使う場合、物理MACと仮想MACの二つが存在することになる。
standby use-biaコマンドでポートに焼き付いたMACアドレスを使用するか、
ポートセキュリティ側で仮想MACを許可するなどで対応が必要となる。
・Trunkポートでは制限数に達するとMACアドレスが句集が出来ず、結果接続できないポートが増えてしまう。
・IP PhoneもMACアドレスを2つ使用するため、最大数を変更する必要あり。
<設定>
Stickyを設定すると、コンフィグにセキュアMACが投入される。
以下の通り
MACアドレス学習前
interface GigabitEthernet0/0
switchport access vlan 100
switchport mode access
switchport port-security ! ポートセキュリティの有効化
switchport port-security mac-address sticky ! 現在の接続ポートのMACをセキュアMACにする
MACアドレス学習後
interface GigabitEthernet0/0
switchport access vlan 100
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky 4444.4444.4444 ! 対象MACが設定に反映される
<結果>
SW1#sh run int gi 0/0
interface GigabitEthernet0/0
switchport port-security mac-address sticky
switchport port-security mac-address sticky 4444.4444.4444
switchport port-security
end
! 対向SWでMACアドレスを5000.0007.8064に変更
SW2(config-if)#no mac-address 4444.4444.4444
! コンソールに以下のメッセージが表示
SW1#sh ip interface brief gi0/0
*Apr 11 14:06:35.498: %PM-4-ERR_DISABLE: psecure-violation error detected on Gi0/0, putting Gi0/0 in err-disable state
*Apr 11 14:06:35.500: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 5000.0007.8064 on port GigabitEthernet0/0.
*Apr 11 14:06:36.499: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to down
*Apr 11 14:06:37.499: %LINK-3-UPDOWN: Interface GigabitEthernet0/0, changed state to down
! エラーディセーブル確認
SW1#sh ip interface brief gi0/0
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0 unassigned YES unset down down
!
SW1#sh interfaces status err-disabled
Port Name Status Reason Err-disabled Vlans
Gi0/0 err-disabled psecure-violation
Protect Port
Protect Port設定が行われたポート同士の通信を禁止する。
通信の禁止範囲はL2であり、Protect Portは通常のアップリンク・ダウンリンクとは通信が可能。
使用例としては、ホテルの客室同士のポートをProtect Portにすることで分離する。
<設定>
interface gigabitEthernet 0/0
switchport mode access
switchport access vlan 100
! 同一VLANでSwitchport protecterdが入っているポート同士の通信を禁止する。
switchport protected
interface gigabitEthernet 0/1
switchport mode access
switchport access vlan 100
! 同一VLANでSwitchport protecterdが入っているポート同士の通信を禁止する。
switchport protected
Static CAM Entries
静的にMACアドレスを登録する
mac address-table static [MAC-ADDRESS] vlan [n] interface [IF] [IF-Number]
例) mac address-table static 1111.1111.1111 vlan 1 interface gigabitEthernet 0/0
Storm-Control
Broadcast-Storm等、大量のフレームが発生した場合に備え、一定のしきい値を設定する。
しきい値を超えた際には特定の動作を行う。
これは流入したフレームに対して設定可能。
使用例としては、下位ポートがループし、大量のブロードキャストが流入した際にトラフィックの流入を防ぐために利用される。
しきい値は上限と下限がある。
上限を超えるとActionで指定された動作を行う。
Actionではshutdownとtrapがあり、shutdownではポートをerr-disable状態にする。
trapの場合はログ通知を行い、転送は継続される。
<設定>
interface gigabitEthernet 0/0
storm-control {broadcast|multicast|unicast} level {level-high (level-low)|pps pps-high (pps-low)}
storm-control action {shutdown|trap}
<例>
storm-control broadcast level 10 5
storm-control action shutdown
※ブロードキャストフレームが帯域の10%を超えるとポートがErr-disable状態になる。
帯域の5%以上では帯域の5%未満になるまで一時的に転送を抑制(drop)する。
帯域の5%以下は通常通り転送する。
IPv4 First Hop Security
DHCP Snooping
〇概要
DHCPサーバ偽装やリソース枯渇攻撃を防ぐため、DHCPサーバからの応答を制御する。
〇動作
DHCPサーバと接続するポートを信頼できるポート(Trusted)として設定。
その他のポートを信頼できないポート(Untrusted)とし、DHCPクライアントからのトラフィックのみ受け付ける。
つまり、TrustedとUntrustedの差はDHCPサーバからの通信を防ぐか通すか…という違いとなる。
DHCP Snoopingを行うスイッチはのIPアドレスとMACアドレスの対応表(binding)を持っておく。
〇DHCP動作のおさらい
DHCPではDiscover(CL) → Offer(SV) → Request(CL) → Ack(SV)の順で行われる。
DHCPサーバはgiaddr(Gateway IP Address)フィールドを見ることで、
DHCP Discoverを送付した機器がどのセグメントに属しているかを確認する。
このセグメントに対応するアドレスプールを払い出すのがDHCPの動作となる。
〇DHCPリレーエージェントがある場合
DHCPリレーエージェントがある場合、Option 82フイールドにVLAN,ポート番号, Switch識別番号を挿入する。
これはデフォルトで有効になっているが、DHCPサーバが対応していないなどの理由から削除したい場合、以下のコマンドを実行する。
no ip dhcp snooping information-option
〇設定の流れ
(config)
! DHCP Snoopingの有効化
ip dhcp snooping
! DHCP snoopingを行うVLANの指定
ip dhcp snooping vlan 100
! option82の無効化 (オプション)
no ip dhcp snooping information option
(config-if)
! 特定のポートをTrustedとして設定。デフォルトはUntrust
ip dhcp snooping trust
Dynamic ARP Inspection (DAI)
〇目的
ARPリクエストとARPレスポンスを検査する。
IP-MACアドレスの対照表を元に検査をしており、もし対照表と異なる組み合わせである場合はトラフィックをドロップする。
これにより、ARPポイズニング(偽のARPを送信してARPキャッシュを書き換える)を防止する。
〇動作
IPアドレスとMACアドレスの関連付けを検証し、不正なものを破棄する。
非DHCP環境/DHCP環境で動作が異なる。
非DHCP環境では静的に設定されたIP-MACアドレスの関連付けを元に検証する。
DHCP環境ではDHCP Snooping Bindig Tableを正として検証を行う。
DAIでは信頼できるインターフェース・信頼できないインターフェースが存在する。
デフォルトは信頼できないIFであり、ARP検査を実施する。
〇設定
〇DHCP環境
(config)#
ip arp inspection vlan [vlan-number] ! 特定VLANをDAIの対象に指定
(config-if)#
ip arp inspection trust
〇非DHCP環境
(config)#
! ARP-ACLで
arp access-list [ACL-NAME]
permit ip host [ip-address] mac host [mac-address] ! IPとMACを1対1で紐付ける場合
! denyで特定のIPとMACの対照をDenyすることも可能
!ACLを任意のVLANに適用
ip arp inspection filter ARP-ACL vlan 100
IP Source Guard
〇概要
IP source Guardは
IPアドレススプーフィングを防止するために使用する。
〇動作
DHCP環境と非DHCP環境で動作が異なる。
DHCPスヌーピングのバインディングテーブルをデータベースをフィルターのために使用する。
IPとMACの対照が登録されていないものを弾く。
〇設定
! IPアドレスのみを有効化
(config-if) ip verify source
! 静的に対照を追加するには以下を実行
ip source binding [MAC-Address] vlan [num] [IP-address] interface [IF-no]
IPv6 First Hop Security
〇概要
エンドホストとデフォルトGWの通信を安全に行う。
この区間は中間者攻撃等の攻撃を受けやすいため、特に対応が必要。
上記例も含めると、First Hop Securityとして、
IPv4はARP, DHCPについて説明した。
IPv6はARPの代わりにICMPv6 Neighbor Discovery(IPv6 ND)、 Duplicate Address Detection(DAD)
DHCPに類似するものとしてSLAACとDHCPv6を使用する。
ICMPv6 ND
〇概要
ARPの代替となるもの。
ARPはRequestとReplyの2つを使用していたが、
IPv6 NDではNS, NA, RS, RAを使用する。
NS:Neighbor Solicitation(近隣要請)
NA:Neighbor Advertisement(近隣広告)
RS:Router Solicitation(ルータ要請)
RA:Router Advertisement(ルータ広告)
NDではリンクローカルアドレスを使用。
NS/NAとDADについて
〇概要
NS/NAは隣接機器のIPのみが分かる場合、MACアドレスを解決する。
この際にDAD(重複IPアドレス検知)を使用し、ユニークであることを確認する。
〇動作
マルチキャストを送信する。
宛先マルチキャストアドレスは(ff02::1:ff/104 +調べるIPv6アドレスの下位24bit)となる。
マルチキャストを受信したものは、下位24bitが自分のIPv6アドレスと同じであれば受け取り、重複問い合わせアドレスと自身のアドレスが一致していればNAを送信することで重複を知らせる。
重複していない場合はこのアドレスを使用可能。
ReplyであるNAはff02::1のマルチキャストパケットを全てのルータに送信する。
RS/RAについて
〇概要
RS/RAによって、ゲートウェイとなるルータを探索/情報取得する。
RSの宛先アドレスはff02::2となる。
このreplyとしてRAが送られ、マルチキャストアドレスff02::1で全てのルータに送信される。
RAでルータをからネットワーク情報を受け取る場合、SLAACとDHCPv6がある。
SLAACを使用する場合、RAによって、以下の情報を得られる
・ゲートウェイとなるルータのリンクローカルアドレス
・リンク内で使用可能なプレフィックス・プレフィックス長
(RAのプレフィックス + EUI-64)
・DHCPv6アドレス
・DNSアドレス情報
また、SLAACを使用する場合、
リンクローカルとグローバルで1回ずつDADを実施。
ユニークであればグローバルアドレスを使用する。
IPv6 RA Guard
〇概要
ルータとしてGratuitous RAを送り付けることで、本来と異なるルータを誤認させる。
この方法で中間者攻撃やDoS攻撃として使用されるルータ偽装(Router Spoof)がある。
ホストはRAメッセージでデフォルトゲートウェイを動的に取得する。
セグメント上のルータ偽装や、プレフィックス偽装を防ぐ。
このポリシーはVLANかインターフェースに対して適用する。
〇動作
ルータが受信したRAメッセージと、ルータリダイレクトメッセージを比較する。
その後、承認されいない機器からのRAだった場合はドロップ。
承認された機器からのRAであればユニキャスト・マルチキャストの宛先に転送する。
〇設定
(config)#
ipv6 nd raguard policy [Policy-Name]
! デバイスの役割を指定。デフォルトはhostであり、host modeは全て不許可。
device-role router
! MフラグがONであることを確認する
managed-config-flag on
! OフラグがONであることを確認する。
other-config-flag on
! この設定がされたポートを信頼されたポートとして、チェック対象外とする。
trusted-port
(config-if)#
ipv6 nd raguard policy attach-policy [Policy-Name]
DHCPv6 Guard
〇概要
DHCPv6サーバを偽装し、DHCP Discoverを送信するクライアントに対してDHCP Offerを送信する。
これによって、偽のDHCPサーバと接続してしまうDHCP Spoofingがある。
RA Spoofingと組み合わせて中間者攻撃やDoS攻撃に使用する。
DHCPv6 GuardはDHCP snoopingに似た動作を行うことでDHCPv6サーバを偽装から守る。
設定はVLAN・ポートに対して行う。
〇設定
(config)#
ipv6 dhcp guard policy [Policy-Name]
! デバイスの役割を指定。デフォルトはclientであり、client modeはDHCPのサーバメッセージをドロップ。
! server modeの場合は適用デバイスがDHCPv6サーバであることを示す。
device-role server
!(オプション) ACLがある場合、deny/permitのチェックが可能。
! Client→Serverのフレームをチェックする。
match server access-list [ipv6-ACL-NAME]
!(オプション) Server→Clientのフレームをチェックする。
match reply access-list [ipv6-ACL-NAME]
!(オプション) ポリシーが設定された場合、信頼できるポートに設定する
trusted-port
(config-if)#
ipv6 dhcp guard attach-policy [Policy-Name]
IPv6 Source-Guard
〇概要
IPv4 Source-Guardと似た動作を行う。
Neighbor Binding Tableに基づいて送信元IPをフィルタリングするため、IPv6 PACLを動的に作成する。
そのため、IPv6 Binding Tableが動作している必要がある。
〇設定
! バインディングテーブルの作成
ipv6 neighbor biding vlan [No] interface [IF-No] [MAC-Address]
! ポリシーの作成
(config)#
ipv6 source-guard policy [source-guard-policy-name]
!(オプション) リンクローカルの許可
permit link-local
!(オプション) 自動設定によるグローバルアドレスの拒否
deny global-autoconf
! ポリシー適用先のハードウェアブリッジングを許可
trusted
! IFへの適用
interface gigabitEthernet 0/0
ipv6 source-guard attach-policy [source-guard-policy-name]
Private-VLAN
〇概要
VLANはBroadcastを分割すことが出来る。
しかし、Private-VLANは更にBroad-castを分割する。
これによって、ホテルの客室に引かれたLANが同一VLANであった場合でも通信ができないように設定できる。
前述のProtected Portに近いが、それよりも柔軟に設定が可能。
〇動作
private-VLANではVLAN種別が3種類あるが、大きく2種類に大別される。
プライマリVLANはpromiscuous(混合)VLANとも呼ばれ、プライマリ・セカンダリVLANと通信が可能
セカンダリVLANは2種類に分かれる。
一つはisolate(隔離)VLANであり、プライマリVLANのみと通信が可能。
もう一つはCommunity VLANであり、同じVLANを持つコミュニティVLAN同士またはプライマリVLANと通信が可能。
例として、プライマリVLANがvlan10を使用し、
isolate VLANは200、Community VLANが300とする。
この場合、プライマリVLANはVLAN10。
Isolate VLANはVLAN10 200、Community VLANは10 300となる。
〇VTPとの併用
VTPと併用する場合、VTP version3を使用する事。
VTP version 3から拡張VLANに対応しているが、version1-2は未対応のため。
〇設定
1.Promiscuous-VLAN, isolate-vlan, community-vlanに割り当てるVLANを作成する
! Promiscuous-VLANを100, Isolate-VLANを2000, Community-VLANを2001とする
vlan 100,2000,3000
exit
2. Promiscuous-vlanとポートの設定
vlan 100
private-vlan primary
private-vlan association 2000-2001 ! セカンダリVLANでを指定
vlan 2000
private-vlan isolated ! isolatedを指定
vlan 3000
private-vlan community ! Communityを指定
interface gigabitEthernet 0/0 ! promiscuous-vlanを割り当てるポート
switchport mode private-vlan promiscuous
! プライマリ・セカンダリVLANを指定。
! PromiscuousポートとなるVLANは"mapping"設定
switchport private-vlan mapping 100 2000-2001
interface gigabitEthernet 0/1 ! isolate-vlanを割り当てる
switchport mode private-vlan host
! Promiscuous-vlan Isolate-vlanを指定。
! PromiscuousポートとなるVLANは"host-association"設定
switchport private-vlan host-association 100 2000
interface gigabitEthernet 0/1 ! isolate-vlanを割り当てる
switchport mode private-vlan host
! Promiscuous-vlan Isolate-vlanを指定。
! PromiscuousポートとなるVLANは"host-association"設定
switchport private-vlan host-association 100 2000
ACL
IPv4 ACLとIPv6 ACLの違い
ip access-list…で設定するACLはIPv4
そのため、anyで設定を行ってもIPv6のフィルタリングはできない。
IPv6では、データプレーンへのACL適用がIPV4の場合と異なる。
interface GigabitEthernet0/0
ip access-group 1 in
ipv6 traffic-filter IPv6-ACL in
しかし、Lineインターフェースへの適用の際はIPv4とほぼ同じ構文となる。
line con 0
access-class 1 in
ipv6 access-class IPv6-ACL in
※ line vtyでも同様の設定
Time-based ACL
〇概要
現在の時刻を元にACLでフィルタリングが可能。
定期的な設定を示すperiodicと、一度の期間を示すabsoluteが存在する。
absoliteとperiodicはどちらも設定可能。
Time-Rangeのみを作成しただけでは効果がない。
ACL等と組み合わせ、特定の期間のみフィルタリングを行う。
〇設定
! Time-Rangeを指定
! Startのみ・Endのみも設定可能。
time-range [Time-Range-NAME]
absolute start [hh:mm] [day] [yyyy] end [hh:mm] [day] [yyyy]
! Time-Rangeを指定
! 曜日・平日・週末と時間を指定。
time-range [ACL-NAME]
periodic [days] [hh:mm] to [hh:mm]
! ACLと組み合わせ、特定の期間のみICMPをDENYする。
ip access-list extended [ACL-NAME]
deny icmp any any time-range [Time-Range-NAME]
permit ip any any
! インターフェースに適用
interface GigabitEthernet0/0
ip access-group [ACL-NAME] in
uRPF (Unicast Reverse Path Forwrding )
〇概要
流入トラフィックの送信元IPアドレスをCEFを元にチェックする。
送信元アドレスがCEFに一致するものは転送するが、一致しないものはドロップする。
ルーティングテーブルではなく、実際に転送可能なCEFを元にしてチェックする。
uRPFにはStrictモードとlooseモードがある。
Strictモードはトラフィックが流入したIFから送信元IPに到達できることをチェックする。
Looseモードはトラフィックが流入したIFに関係なく送信元IPに到達出来ることをチェックする。
〇設定
! loose-modeでの設定
(config-if)#
ip verify unicast source reachable-via any
! strict-modeでの設定
(config-if)#
ip verify unicast source reachable-via rx
allow-defaultによって、デフォルトルートでの照合も行う。