サービスの改善にご協力お願いします。

お客様のご意見をお聞かせください。

アンケートの所要時間はおよそ 2 分です。

Announcement: Try the Ask AI chatbot for answers to your technical questions about Juniper products and solutions.

close
header-navigation

Solutions

Featured solutions AI Campus and branch Data center WAN Security Service provider Cloud operator Industries
Campus and Branch

Welcome to the NOW Way to Wi-Fi

Take your networking performance to new heights with a modern, cloud-native, AI-Native architecture. Only Juniper can help you unleash the full potential of Wi-Fi 7 with our AI-Native platform for innovation.
Prepare for liftoff
Business intelligence analyst dashboard on virtual screen. Big data Graphs Charts.

AI Data Center Networking

Juniper’s AI data center solution is a quick way to deploy high performing AI training and inference networks that are the most flexible to design and easiest to manage with limited IT resources.
Find out more
Enterprise AI-Native Networking

Enterprise AI‑Native Routing

Juniper's Ai-Native routing solution delivers robust 400GbE and 800GbE capabilities for unmatched performance, reliability, and sustainability at scale.
Explore enterprise routing
Zero trust security

Ops4AI Lab

Visit our lab in Sunnyvale, CA and see our AI data center solution for yourself. You can try out your own model’s functionality and performance, too.
Visit the lab
Enterprise AI-Native Networking

Enterprise AI‑Native Routing

Juniper's Ai-Native routing solution delivers robust 400GbE and 800GbE capabilities for unmatched performance, reliability, and sustainability at scale.
Explore enterprise routing
Higher Education

Shaping Student Experiences: The NOW Way to Build Higher Education Networks

Juniper Networks CIO Sharon Mandell and a virtual summit of C-level IT leaders from prestigious institutions discuss ongoing efforts to support digital transformation on campus.
Watch now
Hand on tablet with healthcare overlay of graphics

Security in healthcare

In this IDC Spotlight report, discover how AI networking can automate and strengthen a healthcare ecosystem to defeat criminals and prevent loss. 
Gain insights into ecosystem security
Retail

The Future of In-Store Technologies

Retail experts Kevin McCartan, Senior IT Service Delivery Engineer at Musgrave; Jack Stratten of Insider Trends; and Christian Gilby, Senior Director of Product Marketing at Juniper Networks, discuss customer experiences.
See the future

Products

Wireless access Wired access SD-WAN / SASE Routing and switching Security Mist AI™ Management software Network operating system Blueprint for AI-Native Acceleration Optics
  • Operations
ACX7020 router

Juniper ACX7020 Cloud Metro Access Router

Legacy networks simply cannot meet the demands of today’s rapidly evolving metro landscape. Unlock a new generation of highly scalable architectures and automated operations with the Juniper ACX7020. 
Learn more
EX4000 Ethernet Switch

Next-gen AI-Native EX4000 line of switches

Lack of AI innovation from your current networking vendor slowing you down? Embrace Juniper’s cloud-native, AI-Native access switches that support every level and layer, across nearly every deployment.
Discover how
The Q and AI text with an image of Bob Friday and Kedar Dhuru.

The Q&AI Podcast

Delivering practical solutions and enriching discussions, this podcast series is a vital resource for those seeking an in-depth exploration of AI's transformative potential.
Catch the latest episode

Services

Services
Services AI Care

Juniper AI Care Services Revolutionize Your Service Experience

Our industry-first AI-Native services couple AIOps with our deep expertise across the full network life cycle. You can move from reactive response to proactive insight and action.
Explore AI Care Services
Services AI Data Center

Juniper AI Data Center Deployment Services Optimize Your AI Model Runs

We use our expertise and validated designs to help design, deploy, validate and tune networks, including GPUs and storage, to get the most from your AI infrastructure operation.
Learn about AI Data Center Deployment Services

Partners

Partners

Support and Documentation

Support and Documentation

Learn

About Juniper Training Events The Feed Resources Technology learning topics Thought leadership and insights
Audience raising hands up while businessman is speaking in training at the office.

Juniper certification and training news

See the latest
Ringing of the bell

All global events

See the latest
AI-native-now

AI-Native NOW event series

Explore events
AINN AI Innovation Impact Virtual Event

AI-Native NOW: AI Innovation and Impact

Register NOW
Juniper's Christina Hendrix at the head of a conference table. With the text "The NOW Way to Network" overlayed, with "NOW" emphasizing the "O" in green color.

The NOW Way to Network

Watch the video series
AI Native Now

Executive insights

Dive deep with leading experts and thought leaders on all the topics that matter most to your business, from AI to network security to driving rapid, relevant transformation for your business.
Learn more
A keynote speaker giving a presentation at a conference. There are dozens of people sitting around them. The presentation is displayed via projector on all the walls in the room.

Leadership voices

Juniper Networks’ leaders operate on the front lines of creating the network of the future. Take a look around to see what’s on their minds.
Watch now
Bob Friday and Jessica Garrison speaking

Bob Friday Talks

Join Bob as he ventures into all the knowns -- and -- unknowns -- of AI.
Catch the latest episode
Documentation
Menu
License Guide
Quick Starts
Validated Designs
Explore Pathfinder Apps
CLI Explorer
Feature Explorer
Hardware Compatibility Tool
Port Checker
Browse All
Collapse

Pathfinder Apps

All

By Software

By Hardware

Learn More
Pathfinder HomeCLI ExplorerCompliance AdvisorFeature ExplorerHardware Compatibility ToolJunos XML API ExplorerJunos YANG Data Model ExplorerPort CheckerPower CalculatorSNMP MIB ExplorerSystem Log Explorer
CLI ExplorerFeature ExplorerJunos XML API ExplorerJunos YANG Data Model ExplorerSNMP MIB ExplorerSystem Log Explorer
Compliance AdvisorFeature ExplorerHardware Compatibility ToolPort CheckerPower Calculator
Home Documentation Junos OS セキュリティ サービス管理ガイド ユニキャスト転送 ユニキャスト リバース パス フォワーディング

セキュリティ サービス管理ガイド

keyboard_arrow_up
close
keyboard_arrow_left
セキュリティ サービス管理ガイド
Table of Contents Expand all
list Table of Contents
項目一覧
keyboard_arrow_right

この機械翻訳はお役に立ちましたでしょうか?

starstarstarstarstar
Go to English page
免責事項:

このページは、サードパーティー製機械翻訳ソフトウェアを使用して翻訳されます。質の高い翻訳を提供するために合理的な対応はされていますが、ジュニパーネットワークスがその正確性を保証することはできかねます。この翻訳に含まれる情報の正確性について疑問が生じた場合は、英語版を参照してください. ダウンロード可能なPDF (英語版のみ).

ユニキャスト RPF(ルータ)について

date_range 19-Jan-25
arrow_backward
arrow_forward

IPv4 または IPv6 トラフィックを伝送するインターフェイスでは、ユニキャスト リバース パス フォワーディング(RPF)を設定することで、DoS(サービス拒否)攻撃の影響を軽減できます。ユニキャスト RPF は、攻撃元を特定するのに役立ち、ユニキャスト RPF が有効になっているインターフェイス上の予期しない送信元アドレスからのパケットを拒否します。

手記:

  • ネットワークのエッジ(顧客向けインターフェイス上)でユニキャスト RPF チェック機能を適用することで、ネットワークを保護できます。ISP環境では、これはネットワークに影響を与える可能性があり、拡張されたセットアップを課す可能性があります。すでにネットワークのエッジを保護している場合、偽装されたIP送信元アドレスを持つパケットは、コアに面したインターフェイスにさえ表示されません。この場合、ユニキャスト RPF チェックは必要ありません。ユニキャストRPF機能を有効にすると、コントロールプレーンのパフォーマンスに影響を与える可能性があるため、必要に応じて使用します。そのため、ネットワークコア(内部)インターフェイスではこの機能を有効にしないことを強くお勧めします。

手記:

現在 PTX プラットフォームでは、BGP フロー仕様(flowspec)を設定すると、VRF インスタンスを設定する暗示的フィルタが作成されます。PTXプラットフォームでは、フィルタールックアップは送信元/宛先IPルックアップに先行します。そのため、送信元と宛先のIPルックアップはVRFインスタンスのコンテキスト内で行われます。

ユニキャスト RPF とデフォルト ルート

ルーティングテーブルのルートからアクティブなルートを選択できない場合、ルーターはデフォルトルートを選択します。デフォルト ルートは、IP アドレス 0.0.0.0/0 に相当します。デフォルト ルートを設定し、そのデフォルト ルートが使用するインターフェイス上でユニキャスト RPF を設定すると、ユニキャスト RPF の動作は、そうでない場合とは異なります。

デフォルト ルートでインターフェイスが使用されているかどうかを確認するには、 show route コマンドを入力します。

content_copy zoom_out_map
user@host> show route address

address は、設定されたデフォルト ルートのネクストホップ アドレスです。デフォルトルートは、 show route コマンドの出力に示されたインターフェイスを使用します。

以下のセクションでは、デフォルト ルートがインターフェイスを使用する場合と、デフォルト ルートがインターフェイスを使用しない場合のユニキャスト RPF の動作について説明します。

デフォルト ルートでのユニキャスト RPF の動作

MPC と MX80 ルーターを持つルーターを除くすべてのルーターで、ユニキャスト RPF で構成されたインターフェイスを使用するデフォルト ルートを設定すると、ユニキャスト RPF は以下のように動作します。

  • ルーズ モード—すべてのパケットが自動的に受け入れられます。このため、デフォルト ルートが使用するインターフェイスでは、ユニキャスト RPF ルーズ モードを設定しないことをお勧めします。

  • ストリクトモード—パケットの送信元アドレスが、インターフェイスを介して到達可能なルート(デフォルトまたは学習済み)のいずれかと一致する場合、パケットは受け入れられます。ルートには複数の宛先を関連付けることができることに注意してください。したがって、宛先の 1 つがパケットの着信インターフェイスと一致する場合、パケットは受け入れられます。

MPC を搭載したすべてのルーターと MX80 ルーターでは、ユニキャスト RPF で構成されたインターフェイスを使用するデフォルト ルートを設定すると、ユニキャスト RPF は以下のように動作します。

  • ルーズモード—送信元がデフォルトルートから学習されたパケットを除くすべてのパケットが受け入れられます。送信元がデフォルト ルートから学習されたすべてのパケットは、パケット転送エンジンで破棄されます。デフォルトルートは、ルートが存在しないかのように扱われます。

  • ストリクトモード—パケットの送信元アドレスが、インターフェイスを介して到達可能なルート(デフォルトまたは学習済み)のいずれかと一致する場合、パケットは受け入れられます。ルートには複数の宛先を関連付けることができることに注意してください。したがって、宛先の 1 つがパケットの着信インターフェイスと一致する場合、パケットは受け入れられます。

すべてのルーターで、次のいずれかに該当する場合、パケットは受け入れられません。

  • パケットの送信元アドレスがルーティングテーブルのプレフィックスと一致しません。

  • インターフェイスは、この送信元アドレスプレフィックスを持つパケットを受信することを想定していません。

デフォルト ルートがない場合のユニキャスト RPF の動作

デフォルト ルートを設定しない場合、またはデフォルト ルートがユニキャスト RPF で設定されたインターフェイスを使用しない場合、ユニキャスト RPF は、ユニキャスト RPF ストリクト モードの設定 および ユニキャスト RPF ルーズ モードの設定で説明したように動作します。要約すると、デフォルト ルートのないユニキャスト RPF は、以下のように動作します。

  • ストリクト モード:次のいずれかに該当する場合、パケットは受け入れられません。

    • パケットの送信元アドレスがルーティングテーブルのプレフィックスと一致しません。

    • インターフェイスは、この送信元アドレスプレフィックスを持つパケットを受信することを想定していません。

  • ルーズモード—パケットの送信元アドレスがルーティングテーブルのプレフィックスと一致しない場合、パケットは受け入れられません。

ルーティング非対称性を備えたユニキャストRPF

一般に、内部インターフェイスでは ルーティングの非対称性が発生する可能性が高いため、ネットワーク内部のインターフェイスではユニキャスト RPF を有効にしないことを推奨します。ルーティングの非対称性とは、パケットの発信パスとリターン パスが異なることを意味します。ネットワークのコアにあるルーターは、顧客またはプロバイダーのエッジにあるルーターよりも、非対称のリバースパスを持つ可能性が高くなります。 図 1 は、ルーティングが非対称な環境でのユニキャスト RPF を示しています。

図 1:ルーティング非対称Unicast RPF with Routing Asymmetryを使用したユニキャストRPF

図 1 では、インターフェイス so-0/0/0 でユニキャスト RPF を有効にすると、ルーター A 宛てのトラフィックは拒否されません。インターフェイス so-1/0/1 でユニキャスト RPF を有効にすると、ルーター A からのトラフィックは拒否されます。

非対称ルーティング環境でユニキャスト RPF を有効にする必要がある場合、フェイル フィルターを使用して、特定のパスで到着することがわかっている着信パケットをルーターが受け入れることができます。特定の送信元アドレスと宛先アドレスを持つパケットを受け入れるフェール フィルターの例については、 ユニキャスト RPF の設定を参照してください。

ユニキャスト RPF 厳格モードの設定

厳密モードでは、ユニキャスト RPF は、受信パケットにルーティングテーブルのプレフィックスと一致する送信元アドレスがあるかどうか、およびインターフェイスがこの送信元アドレス プレフィックスを持つパケットの受信を期待しているかどうかをチェックします。

アクティブパスモードが設定されている場合、アクティブルートのみの発信インターフェイスリストが作成されます。これらのインターフェイスに着信するパケットは、有効と見なされ、処理されます。

受信パケットがユニキャスト RPF チェックに失敗した場合、そのパケットはインターフェイスで受け入れられません。パケットがインターフェイスで受け入れられない場合、ユニキャスト RPF はパケットをカウントし、オプションの失敗フィルターに送信します。失敗フィルターが設定されていない場合、デフォルトのアクションは、自動的にパケットを破棄することです。

オプションの失敗フィルターを使用すると、ユニキャスト RPF チェックに失敗したパケットにフィルターを適用できます。失敗フィルターを定義して、受け入れ、拒否、ログ記録、サンプリング、ポリシングなど、あらゆるフィルター操作を実行できます。

インターフェイスでユニキャスト RPF が有効になっている場合、ブートストラップ プロトコル(BOOTP)パケットと動的ホスト構成プロトコル(DHCP)パケットはインターフェイスで受け入れられません。インターフェイスが BOOTP パケットと DHCP パケットを受け取れるようにするには、送信元アドレスが 0.0.0.0 で宛先アドレスが 255.255.255.255. のすべてのパケットを受け入れるフェイル フィルターを適用する必要があります 設定例については、 ユニキャスト RPF の設定を参照してください。

失敗フィルターの定義の詳細については 、ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイドを参照してください。

ユニキャストRPFを設定するには、 rpf-check ステートメントを含めます。

content_copy zoom_out_map
rpf-check <fail-filter filter-name>;

以下の階層レベルでこのステートメントを使用することができます。

  • [edit interfaces interface-name unit logical-unit-number family (inet | inet6)]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family (inet | inet6)]

ユニキャスト RPF を使用すると、トラフィック フィルターとともに実装すると、いくつかの結果が生じる可能性があります。

  • RPF フェール フィルターは、入力フィルターの後、出力フィルターの前に評価されます。

  • 入力フィルターによってドロップされたパケットのフィルター カウンターを設定し、ドロップされたパケットの総数を知りたい場合は、RPF チェックによってドロップされたパケットのフィルター カウンターも設定する必要があります。

  • RPF チェックに失敗し、RPF 失敗フィルターで受け入れられたパケットをカウントするには、フィルター カウンターを設定する必要があります。

  • 入力フィルターが inet.0 または inet.6.0 ルーティング テーブル以外の場所にパケットを転送する場合、ユニキャスト RPF チェックは実行されません。

  • 入力フィルターが、入力インターフェイスが設定されているルーティング インスタンス以外の場所にパケットを転送した場合、ユニキャスト RPF チェックは実行されません。

手記:

前述の箇条書きリストでは、最初、最後から 2 番目、最後のポイントは MX プラットフォームには適用されません。これは、MX プラットフォームではファイアウォール フィルターの実行前に uRPF が処理されるためです。uRPFチェックは、静的および動的インターフェイスに対してFBF(フィルターベースフォワーディング)アクションを有効にする前に、送信元アドレスチェックのために処理されます。これは、IPv4 と IPv6 の両方のファミリに適用されます。

手記:

ACXおよびMXシリーズルーターの場合:

  • uRPFフェイルフィルターは、ACX1000、ACX2000、ACX4000、ACX500、ACX5048、ACX5096でサポートされています。このフィルターは、ACX5448、ACX710、ACX7100-32C、ACX7100-48、ACX7509、およびACX7000シリーズのすべてのルーターではサポートされていません。

  • uRPF 失敗フィルターは、イングレス ポート チェック(厳密モード)で失敗したパケットを照合できません。
  • uRPF失敗フィルターは、送信元IPルックアップに失敗したパケットには一致しますが、入力インターフェイスチェック(厳密モード)に失敗したパケットには一致しません。
  • uRPF 失敗フィルターは、ファイアウォール フィルターのインターフェイス固有のインスタンスにのみ適用されます。
  • uRPF 失敗フィルターは、拒否およびルーティング インスタンス アクションをサポートしていません。

ユニキャストRPFストリクトモードを設定し、インターフェイスがBOOTPパケットとDHCPパケットを受け入れることを可能にするフェイルフィルターを適用します。このフィルターは、送信元アドレスが 0.0.0.0 で宛先アドレスが 255.255.255.255 であるすべてのパケットを受け入れます。

ユニキャスト RPF を厳格モードで設定するには:

  1. 失敗フィルターを設定します。
    content_copy zoom_out_map
    [edit firewall]
filter rpf-special-case-dhcp-bootp {
    term allow-dhcp-bootp {
        from {
            source-address {
                0.0.0.0/32;
            }
            address {
                255.255.255.255/32;
            }
        }
        then {
            count rpf-dhcp-bootp-traffic;
            accept;
        }
    }
    term default {
        then {
            log;
            reject;
        }
    }
}
  2. インターフェイスでユニキャストRPFを設定します。
    content_copy zoom_out_map
    [edit] 
interfaces {
    so-0/0/0 {
        unit 0 {
            family inet {
                rpf-check fail-filter rpf-special-case-dhcp-bootp;
            }
        }
    }
}
  3. 設定をコミットします。
    content_copy zoom_out_map
    [edit]
commit;

ユニキャスト RPF ルーズ モードの設定

デフォルトでは、ユニキャスト RPF は厳密モードを使用します。ユニキャスト RPF ルーズ モードは、ユニキャスト RPF ストリクト モードと似ており、設定制限も同じです。ルーズモードでの唯一のチェックは、パケットがルーティングテーブルに対応するプレフィックスを持つ送信元アドレスを持っているかどうかです。ルーズモードでは、インターフェイスが特定の送信元アドレスプレフィックスを持つパケットの受信を想定しているかどうかは確認されません。対応するプレフィックスが見つからない場合、ユニキャスト RPF ルーズ モードはパケットを受け入れません。厳密モードと同様に、ルーズモードでは障害パケットがカウントされ、必要に応じて障害フィルターに転送されます。このフィルターは、パケットの受け入れ、拒否、ログ、サンプリング、またはポリシングを行います。

フィージブルパスモードが設定されている場合、アクティブおよび非アクティブなルートの発信インターフェイスリストが作成されます。これらのインターフェイスに着信するパケットは、有効と見なされ、処理されます。

ユニキャスト RPF ルーズ モードを設定するには、 modeを含めます。


  1. content_copy zoom_out_map
    mode loose;

    以下の階層レベルでこのステートメントを使用することができます。

    • [edit interfaces interface-name unit logical-unit-number family (inet | inet6) rpf-check <fail-filter filter-name>]

    • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family (inet | inet6) rpf-check <fail-filter filter-name>]

  2. 例えば:

    この例では、デバイスの初期化以上の特別な設定は必要ありません。

    ユニキャストRPFルーズモードを設定し、インターフェイスがBOOTPパケットとDHCPパケットを受け入れることを可能にするフェイルフィルターを適用します。フィルターは、送信元アドレスが 0.0.0.0 で宛先アドレスが 255.255.255.255 のすべてのパケットを受け入れます。

    ユニキャスト RPF をルーズ モードで設定するには:

    1. 失敗フィルターを設定します。
      content_copy zoom_out_map
      [edit firewall]
filter rpf-special-case-dhcp-bootp {
    term allow-dhcp-bootp {
        from {
            source-address {
                0.0.0.0/32;
            }
            address {
                255.255.255.255/32;
            }
        }
        then {
            count rpf-dhcp-bootp-traffic;
            accept;
        }
    }
    term default {
        then {
            log;
            reject;
        }
    }
}
    2. インターフェイスでユニキャストRPFを設定します。
      content_copy zoom_out_map
      [edit] 
interfaces {
    so-0/0/0 {
        unit 0 {
            family inet {
                rpf-check fail-filter rpf-special-case-dhcp-bootp;
                mode loose;
            }
        }
    }
}
    3. 設定をコミットします。
      content_copy zoom_out_map
      [edit]
commit;

パケットを破棄する機能を備えたユニキャスト RPF ルーズ モードの設定

ユニキャスト RPF ルーズ モードには、送信元アドレスが破棄インターフェイスを指しているパケットを破棄する機能があります。ユニキャスト RPF ルーズ モードを、リモート トリガー ヌル ルート フィルタリングとともに使用すると、既知の攻撃元からのパケットを効率的に破棄できます。エッジルーターのBGPポリシーは、信頼できない送信元アドレスを持つパケットのネクストホップが破棄ルートに設定されることを保証します。信頼できない送信元アドレスを持つパケットがルーターに到着すると、ユニキャスト RPF は送信元アドレスのルート ルックアップを実行します。送信元アドレスのルートが破棄ネクストホップを指しているため、パケットは破棄され、カウンターがインクリメントされます。この機能は、IPv4(inet)と IPv6(inet6)の両方のアドレスファミリーでサポートされています。

パケットを破棄する機能を持つユニキャストRPFルーズモードを設定するには、[edit forwarding-options]階層レベルでrpf-loose-mode-discard family (inet | inet6)ステートメントを含めます。

content_copy zoom_out_map
rpf-loose-mode-discard {
    family {
        inet;
    }
}

この例では、デバイスの初期化以上の特別な設定は必要ありません。

ユニキャストRPFルーズモードを設定し、インターフェイスがBOOTPパケットとDHCPパケットを受け入れることを可能にするフェイルフィルターを適用します。フィルターは、送信元アドレスが 0.0.0.0 で宛先アドレスが 255.255.255.255 のすべてのパケットを受け入れます。

パケットを破棄する機能を持つユニキャスト RPF ルーズ モードを設定するには:

  1. 失敗フィルターを設定します。
    content_copy zoom_out_map
    [edit firewall]
filter rpf-special-case-dhcp-bootp {
    term allow-dhcp-bootp {
        from {
            source-address {
                0.0.0.0/32;
            }
            address {
                255.255.255.255/32;
            }
        }
        then {
            count rpf-dhcp-bootp-traffic;
            accept;
        }
    }
    term default {
        then {
            log;
            reject;
        }
    }
}
  2. インターフェイスでユニキャストRPFを設定します。
    content_copy zoom_out_map
    [edit] 
interfaces {
    so-0/0/0 {
        unit 0 {
            family inet {
                rpf-check fail-filter rpf-special-case-dhcp-bootp;
                mode loose;
            }
        }
    }
}
  3. パケットを破棄する機能を設定します。
    content_copy zoom_out_map
    [edit]
forwarding-options{
    rpf-loose-mode-discard {
        family {
            inet;
            }
        }
    }
  4. 設定をコミットします。
    content_copy zoom_out_map
    [edit]
commit;

VPN でのユニキャスト RPF の設定

VPN インターフェイスでユニキャスト RPF を設定するには、インターフェイスでユニキャスト RPF を有効にし、[edit routing-instances routing-instance-name] 階層レベルで interface ステートメントを含めます。

ユニキャスト RPF は、ルーティング インスタンスで指定したインターフェイスでのみ設定できます。これは、次のことを意味します。

  • レイヤー 3 VPN では、ユニキャスト RPF は CE ルーター インターフェイスでサポートされます。

  • ユニキャスト RPF は、コアに面したインターフェイスではサポートされていません。

  • 仮想ルーター ルーティング インスタンスでは、ルーティング インスタンスで指定したすべてのインターフェイスでユニキャスト RPF がサポートされます。

  • 入力フィルターが、入力インターフェイスが設定されているルーティング インスタンス以外の場所にパケットを転送した場合、ユニキャスト RPF チェックは実行されません。

レイヤー 3 VPN インターフェイスでユニキャスト RPF を設定します。

content_copy zoom_out_map
[edit interfaces] 
so-0/0/0 {
    unit 0 {
        family inet {
            rpf-check;
        }
    }
}
[edit routing-instance]
VPN-A {
    interface so-0/0/0.0;
}

ユニキャスト RPF の設定

ユニキャストRPFストリクトモードを設定し、インターフェイスがBOOTPパケットとDHCPパケットを受け入れることを可能にするフェイルフィルターを適用します。このフィルターは、送信元アドレスが 0.0.0.0 で宛先アドレスが 255.255.255.255 であるすべてのパケットを受け入れます。

content_copy zoom_out_map
[edit firewall]
filter rpf-special-case-dhcp-bootp {
    term allow-dhcp-bootp {
        from {
            source-address {
                0.0.0.0/32;
            }
            address {
                255.255.255.255/32;
            }
        }
        then {
            count rpf-dhcp-bootp-traffic;
            accept;
        }
    }
    term default {
        then {
            log;
            reject;
        }
    }
}
[edit] 
interfaces {
    so-0/0/0 {
        unit 0 {
            family inet {
                rpf-check fail-filter rpf-special-case-dhcp-bootp;
            }
        }
    }
}

参照

arrow_backward PREVIOUS ユニキャスト RPF(スイッチ)について
NEXT arrow_forward 例:ユニキャスト RPF の設定(スイッチ上)
footer-navigation

© 1999 - 2025 Juniper Networks, Inc. All rights reserved.

Scroll to top