VPNのユニキャストリバースパス転送チェック
ユニキャスト RPF(スイッチ)について
IP スプーフィング、および一部のタイプの DoS(サービス拒否)攻撃および DDoS(分散型サービス拒否)攻撃から保護するために、RPF(ユニキャスト リバース パスフォワーディング)では、パケットが正規のパスから受信していることを検証します。これは、信頼できないイングレスインターフェイスに到着する各パケットの送信元アドレスを確認し、その送信元アドレスの転送テーブルエントリーと比較することで実現します。パケットが有効なパス(送信者が宛先に到達するために使用するパス)からの場合、デバイスはパケットを宛先アドレスに転送します。有効なパスからではない場合、デバイスはパケットを破棄します。IPスプーフィングは、防御されていない限り、実際にパケットが宛先向けに意図されていない場合、侵入者がIPパケットを本物のトラフィックとして宛先に渡す効果的な方法になります。
ユニキャスト RPF は、IPv4 および IPv6 プロトコル ファミリー、および仮想プライベート ネットワーク(VPN)アドレス ファミリーでサポートされています。ユニキャスト RPF は、トンネル ソースとして設定されたインターフェイスではサポートされていません。これは、トンネルから出るトランジットパケットにのみ影響します。
ユニキャスト RPF、 ストリクト モード、ルーズ モードは 2 つの モードがあります。デフォルトはストリクト モードです。これは、受信インターフェイスがパケットのユニキャスト 送信元アドレスへの最適なリターン パスである場合にのみ、スイッチがパケットを転送することを意味します。ストリクト モードは、特に信頼できないインターフェイス(信頼できないユーザーやプロセスがネットワーク セグメントにパケットを配置できる場合)、対称的にルーティングされたインターフェイス( ユニキャスト RPF を有効にするタイミングを参照)で便利です。厳密なユニキャスト RPF の詳細については、 RFC 3704、 http://www.ietf.org/rfc/rfc3704.txt の マルチホーム ネットワークのイングレス フィルタリング を参照してください。
選択したカスタマーエッジ インターフェイスでストリクト モード ユニキャスト RPF を有効にするには:
[インターフェイスの編集]user@switch# set interface-name unit 0 family inet rpf-check
もう1つのモードはルーズモードです。これは、ルーティングテーブルに対応するプレフィックスを持つ送信元アドレスがパケットにあるかどうかをチェックしますが、受信インターフェイスがパケットのユニキャスト送信元アドレスへの最適なリターンパスであるかどうかは確認しません。
ユニキャスト RPF ルーズ モードを有効にするには、次のように入力します。
[インターフェイスの編集]user@switch# set interface-name unit 0 family inet rpf-check mode loose
- スイッチのユニキャスト RPF の概要
- ユニキャスト RPF の実装
- ユニキャスト RPF を有効にするタイミング
- ユニキャスト RPF を有効にしない場合
- EX3200、EX4200、EX4300 スイッチでのユニキャスト RPF 実装の制限事項
スイッチのユニキャスト RPF の概要
ユニキャスト RPF は、アドレスのスプーフィングを起こした可能性のある IP パケットの転送を軽減するイングレス フィルターとして機能します。デフォルトでは、ユニキャスト RPF はスイッチ インターフェイスでは無効になっています。スイッチは、ユニキャスト 送信元アドレスに戻る最適なリターン パスを決定するアクティブ なパス方法のみをサポートしています。アクティブなパスメソッドは、転送テーブルで最適なリバースパスエントリーを探します。最適なリターン パスを決定する際に、ルーティング プロトコル固有の方法を使用して指定された代替ルートは考慮されません。
転送テーブルに、パケットをユニキャスト ソースに戻すために使用するインターフェイスとして受信インターフェイスがリストされている場合、それは最適なリターン パス インターフェイスです。
ユニキャスト RPF の実装
ユニキャスト RPF パケット フィルタリング
スイッチでユニキャスト RPF を有効にすると、スイッチは次の方法でトラフィックを処理します。
スイッチがそのパケットのユニキャスト 送信元アドレスへの最適なリターン パスであるインターフェイス上のパケットを受信した場合、スイッチはパケットを転送します。
スイッチからパケットのユニキャスト 送信元アドレスへの最適なリターン パスが受信インターフェイスではない場合、スイッチはパケットを破棄します。
スイッチが、転送テーブルにルーティング エントリーを持たない送信元 IP アドレスを持つパケットを受信した場合、スイッチはパケットを破棄します。
ブートストラップ プロトコル(BOOTP)と DHCP リクエスト
ブートストラップ プロトコル(BOOTP)と DHCP リクエスト パケットはブロードキャスト MAC アドレスで送信されるため、スイッチはユニキャスト RPF チェックを実行しません。スイッチは、ユニキャスト RPF チェックを実行せずに、すべての BOOTP パケットと DHCP リクエスト パケットを転送します。
デフォルトルート処理
送信元への最適なリターンパスがデフォルトルート(0.0.0.0)で、デフォルトルートが を reject指す場合、スイッチはパケットを破棄します。デフォルトルートが有効なネットワークインターフェイスを指す場合、スイッチはパケットに対して通常のユニキャストRPFチェックを実行します。
EX4300 では、スイッチがユニキャスト RPF ストリクト モードで設定されている場合、デフォルト ルートは使用されません。
ユニキャスト RPF を有効にするタイミング
ネットワーク インターフェイスに到着するトラフィックが、インターフェイスが到達できるネットワーク上にあるソースから送信されるようにする場合は、ユニキャスト RPF を有効にします。信頼できないインターフェイスでユニキャスト RPF を有効にして、スプーフィングされたパケットをフィルタリングできます。たとえば、ユニキャスト RPF の一般的なアプリケーションは、インターネットから発生する DoS/DDoS 攻撃からエンタープライズ ネットワークを防御するのに役立ちます。
ユニキャスト RPF は対称的にルーティングされたインターフェイスでのみ有効にし、トラフィック ソースに可能な限り近い方では、なりすましトラフィックが増殖したり、ユニキャスト RPF が有効になっていないインターフェイスに到達したりする前にトラフィックを停止します。EX3200、EX4200、EX4300 スイッチではユニキャスト RPF がグローバルに有効になっているため、図 1 に示すように、これらのスイッチでユニキャスト RPF を有効にする前にすべてのインターフェイスが対称的にルーティングされていることを確認します。非対称にルーティングされたインターフェイスでユニキャスト RPF を有効にすると、正規のソースからのパケットがフィルタリングされます。対称的にルーティングされたインターフェイスは、送信元と宛先の間の両方向で同じルートを使用します。
ユニキャスト RPF は、EX3200、EX4200、EX4300 スイッチでグローバルに有効になっており、これらのデバイスでは、スイッチでユニキャスト RPF を有効にする前 にすべてのインターフェイスが 対称的にルーティングされていることを確認します。非対称にルーティングされたインターフェイスでユニキャスト RPF を有効にすると、正規のソースからのパケットがフィルタリングされます。
以下のスイッチ インターフェイスは対称的にルーティングされる可能性が高いため、ユニキャスト RPF を有効にする場合の候補となります。
お客様へのサービスプロバイダエッジ
サービス プロバイダへのカスタマー エッジ
ネットワーク外の単一のアクセス ポイント(通常はネットワーク境界)
リンクが 1 つだけのターミナル ネットワーク
EX3200、EX4200、EX4300スイッチでは、すべてのインターフェイスまたは1つのインターフェイスのみでユニキャストRPFを明示的に有効にすることをお勧めします。混乱を避けるために、一部のインターフェイスでのみ有効にしないでください。
ユニキャスト RPF を 1 つのインターフェイスのみで明示的に有効化すると、明示的に有効化したすべてのインターフェイスでユニキャスト RPF を明示的に無効にする必要があるため、将来無効にすることを選択した場合に容易になります。2 つのインターフェイスでユニキャスト RPF を明示的に有効にし、1 つのインターフェイスでのみ無効にすると、ユニキャスト RPF はスイッチ上で暗黙的に有効のままです。このアプローチの欠点は、ユニキャスト RPF が明示的に有効になっているインターフェイスでのみユニキャスト RPF が有効になっていることを示すフラグがスイッチに表示されるため、ユニキャスト RPF はすべてのインターフェイスで有効になっているにもかかわらず、このステータスは表示されません。
すべてのインターフェイスでユニキャスト RPF を明示的に有効にすると、すべてのインターフェイスに正しいステータスが表示されるため、スイッチでユニキャスト RPF が有効になっているかどうかを簡単に知ることができます。(ユニキャスト RPF を明示的に有効にしたインターフェイスのみが、ユニキャスト RPF が有効になっていることを示すフラグを表示します。このアプローチの欠点は、ユニキャスト RPF を無効にする場合、すべてのインターフェイスで RPF を明示的に無効にする必要があるということです。ユニキャスト RPF が任意のインターフェイスで有効になっている場合、すべてのインターフェイスで暗黙的に有効になります。
ユニキャスト RPF を有効にしない場合
通常、以下の場合、ユニキャスト RPF は有効にしません。
スイッチ インターフェイスはマルチホームです。
スイッチ インターフェイスは信頼できるインターフェイスです。
BGPはプレフィックスを伝送しており、これらのプレフィックスの一部は、そのポリシーの下でアドバタイズされていないか、ISPによって受け入れされていません。(この場合の効果は、不完全なアクセス リストを使用してインターフェイスをフィルタリングするのと同じです)。
スイッチ インターフェイスはネットワーク コアに面しています。コアに面したインターフェイスは、通常、非対称にルーティングされます。
非対称にルーティングされたインターフェイスは、 図2に示すように、異なるパスを使用して送信元と宛先の間でパケットを送受信します。これは、インターフェイスがパケットを受信した場合、そのインターフェイスがソースに戻る最良のリターンパスとして転送テーブルのエントリーと一致しないことを意味します。受信インターフェイスがパケットの送信元への最適なリターン パスでない場合、ユニキャスト RPF は、有効な送信元から来た場合でも、スイッチがパケットを破棄します。
スイッチ インターフェイスが非対称にルーティングされている場合、EX3200、EX4200、EX4300 スイッチではユニキャスト RPF を有効にしないでください。これらのスイッチのすべてのインターフェイスでユニキャスト RPF がグローバルに有効になっているためです。スイッチが転送したいトラフィックを破棄するリスクなしでユニキャスト RPF を有効にするには、すべてのスイッチ インターフェイスを対称的にルーティングする必要があります。
EX3200、EX4200、EX4300 スイッチでのユニキャスト RPF 実装の制限事項
EX3200、EX4200、EX4300のスイッチでは、ユニキャストRPFをグローバルに実装します。インターフェイス単位でユニキャスト RPF を有効にすることはできません。ユニキャスト RPF は、デフォルトでグローバルに無効になっています。
任意のインターフェイスでユニキャスト RPF を有効にすると、リンク アグリゲーション グループ(LAG)、統合型ルーティングおよびブリッジング(IRB)インターフェイス、RVI(Routed VLAN Interface)など、すべてのスイッチ インターフェイスで自動的に有効になります。
ユニキャスト RPF を有効にしたインターフェイス(またはインターフェイス)でユニキャスト RPF を無効にすると、すべてのスイッチ インターフェイスで自動的に無効になります。
明示的に有効になっているすべてのインターフェイスでユニキャスト RPF を明示的に無効にするか、ユニキャスト RPF はすべてのスイッチ インターフェイスで有効なままにする必要があります。
QFXスイッチ、OCXスイッチ、EX3200、EX4200スイッチは、等価コストマルチパス(ECMP)トラフィックでユニキャストRPFフィルタリングを実行しません。ユニキャスト RPF チェックでは、パケット ソースへの最適なリターン パスは 1 つだけ検査されますが、ECMP トラフィックは複数のパスで構成されるアドレス ブロックを使用します。これらのスイッチでユニキャスト RPF を使用して ECMP トラフィックをフィルタリングすると、ユニキャスト RPF フィルターが ECMP アドレス ブロック全体を検査しないため、スイッチが転送したいパケットを破棄する可能性があります。
「」も参照
例:ユニキャスト RPF の設定(ルーター上)
この例では、カスタマーエッジインターフェイス上のユニキャストRPFを設定して、受信トラフィックをフィルタリングすることで、サービス拒否(DoS)攻撃や分散型サービス拒否(DDoS)攻撃からイングレスインターフェイスを防御する方法を示しています。
要件
デバイスの初期化以外の特別な設定は必要ありません。
概要
この例では、デバイスAはOSPFを使用してデバイスDに接続するリンクのプレフィックスをアドバタイズしています。デバイスBにはユニキャストRPFが設定されています。OSPF は、デバイス B とデバイス C 間のリンクとデバイス A とデバイス C 間のリンクで有効になっていますが、デバイス A とデバイス B 間のリンクでは有効ではありません。そのため、デバイス B はデバイス C を介してデバイス D へのルートを学習します。
DHCP または BOOTP が使用されている環境でイングレス フィルタリングを使用する場合、送信元アドレスが 0.0.0.0 で宛先アドレスが 255.255.255.255 のパケットが、必要に応じてルーターのリレー エージェントに到達できるようにする必要があります。
この例には、不合格フィルターも含まれています。パケットがユニキャスト RPF チェックに失敗した場合、失敗したフィルターが評価され、とにかくパケットを受け入れる必要があるかどうかを判断します。この例の不合格フィルターにより、デバイス B のインターフェイスは動的ホスト構成プロトコル(DHCP)パケットを受信できます。このフィルターは、送信元アドレスが 0.0.0.0 で宛先アドレスが 255.255.255.255 のすべてのパケットを受け入れます。
構成
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの CLI [edit] にコピー アンド ペーストします。
デバイスA
set interfaces fe-1/2/0 unit 1 family inet address 10.0.0.1/30 set interfaces fe-0/0/2 unit 5 family inet address 10.0.0.5/30 set interfaces fe-0/0/1 unit 17 family inet address 10.0.0.17/30 set interfaces fe-0/1/1 unit 25 family inet address 10.0.0.25/30 set interfaces fe-1/1/1 unit 29 family inet address 10.0.0.29/30 set protocols ospf export send-direct set protocols ospf area 0.0.0.0 interface fe-0/1/1.25 set protocols ospf area 0.0.0.0 interface fe-1/1/1.29 set policy-options policy-statement send-direct from protocol direct set policy-options policy-statement send-direct from route-filter 10.0.0.16/30 exact set policy-options policy-statement send-direct then accept
デバイスB
set interfaces fe-1/2/0 unit 2 family inet rpf-check fail-filter rpf-special-case-dhcp set interfaces fe-1/2/0 unit 2 family inet address 10.0.0.2/30 set interfaces fe-1/1/1 unit 6 family inet rpf-check fail-filter rpf-special-case-dhcp set interfaces fe-1/1/1 unit 6 family inet address 10.0.0.6/30 set interfaces fe-0/1/1 unit 9 family inet rpf-check fail-filter rpf-special-case-dhcp set interfaces fe-0/1/1 unit 9 family inet address 10.0.0.9/30 set interfaces fe-0/1/0 unit 13 family inet rpf-check fail-filter rpf-special-case-dhcp set interfaces fe-0/1/0 unit 13 family inet address 10.0.0.13/30 set protocols ospf area 0.0.0.0 interface fe-0/1/1.9 set protocols ospf area 0.0.0.0 interface fe-0/1/0.13 set routing-options forwarding-table unicast-reverse-path active-paths set firewall filter rpf-special-case-dhcp term allow-dhcp from source-address 0.0.0.0/32 set firewall filter rpf-special-case-dhcp term allow-dhcp from destination-address 255.255.255.255/32 set firewall filter rpf-special-case-dhcp term allow-dhcp then count rpf-dhcp-traffic set firewall filter rpf-special-case-dhcp term allow-dhcp then accept set firewall filter rpf-special-case-dhcp term default then log set firewall filter rpf-special-case-dhcp term default then reject
デバイスC
set interfaces fe-1/2/0 unit 10 family inet address 10.0.0.10/30 set interfaces fe-0/0/2 unit 14 family inet address 10.0.0.14/30 set interfaces fe-1/0/2 unit 21 family inet address 10.0.0.21/30 set interfaces fe-1/2/2 unit 26 family inet address 10.0.0.26/30 set interfaces fe-1/2/1 unit 30 family inet address 10.0.0.30/30 set protocols ospf area 0.0.0.0 interface fe-1/2/0.10 set protocols ospf area 0.0.0.0 interface fe-0/0/2.14 set protocols ospf area 0.0.0.0 interface fe-1/2/2.26 set protocols ospf area 0.0.0.0 interface fe-1/2/1.30
デバイスD
set interfaces fe-1/2/0 unit 18 family inet address 10.0.0.18/30
デバイスE
set interfaces fe-1/2/0 unit 22 family inet address 10.0.0.22/30
デバイスAの設定
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。
デバイスAを設定するには:
インターフェイスを設定します。
[edit interfaces] user@A# set fe-1/2/0 unit 1 family inet address 10.0.0.1/30 user@A# set fe-0/0/2 unit 5 family inet address 10.0.0.5/30 user@A# set fe-0/0/1 unit 17 family inet address 10.0.0.17/30 user@A# set fe-0/1/1 unit 25 family inet address 10.0.0.25/30 user@A# set fe-1/1/1 unit 29 family inet address 10.0.0.29/30
OSPFを設定します。
[edit protocols ospf] user@A# set export send-direct user@A# set area 0.0.0.0 interface fe-0/1/1.25 user@A# set area 0.0.0.0 interface fe-1/1/1.29
ルーティングポリシーを設定します。
[edit policy-options policy-statement send-direct] user@A# set from protocol direct user@A# set from route-filter 10.0.0.16/30 exact user@A# set then accept
デバイスAの設定が完了したら、設定をコミットします。
[edit] user@A# commit
デバイスBの設定
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。
デバイスBを設定するには:
インターフェイスを設定します。
[edit interfaces] user@B# set fe-1/2/0 unit 2 family inet address 10.0.0.2/30 user@B# set fe-1/1/1 unit 6 family inet address 10.0.0.6/30 user@B# set fe-0/1/1 unit 9 family inet address 10.0.0.9/30 user@B# set fe-0/1/0 unit 13 family inet address 10.0.0.13/30
OSPFを設定します。
[edit protocols ospf area 0.0.0.0] user@B# set interface fe-0/1/1.9 user@B# set interface fe-0/1/0.13
ユニキャスト RPF を設定し、オプションのフェイル フィルターを適用します。
[edit interfaces] user@B# set fe-1/2/0 unit 2 family inet rpf-check fail-filter rpf-special-case-dhcp user@B# set fe-1/1/1 unit 6 family inet rpf-check fail-filter rpf-special-case-dhcp user@B# set fe-0/1/1 unit 9 family inet rpf-check fail-filter rpf-special-case-dhcp user@B# set fe-0/1/0 unit 13 family inet rpf-check fail-filter rpf-special-case-dhcp
(オプション)パケットが RPF チェックに失敗した場合に評価される失敗フィルターを設定します。
[edit firewall filter rpf-special-case-dhcp] user@B# set term allow-dhcp from source-address 0.0.0.0/32 user@B# set term allow-dhcp from destination-address 255.255.255.255/32 user@B# set term allow-dhcp then count rpf-dhcp-traffic user@B# set term allow-dhcp then accept user@B# set term default then log user@B# set term default then reject
(オプション)RPF チェックで考慮されるアクティブなパスのみを設定します。
これはデフォルトの動作です。
[edit routing-options forwarding-table] user@B# set unicast-reverse-path active-paths
デバイスBの設定が完了したら、設定をコミットします。
[edit] user@B# commit
結果
、 show routing-optionsshow interfacesshow protocols、および のコマンドをshow firewall発行して、設定をshow policy-options確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
デバイスA
user@A# show interfaces
fe-1/2/0 {
unit 1 {
family inet {
address 10.0.0.1/30;
}
}
}
fe-0/0/2 {
unit 5 {
family inet {
address 10.0.0.5/30;
}
}
}
fe-0/0/1 {
unit 17 {
family inet {
address 10.0.0.17/30;
}
}
}
fe-0/1/1 {
unit 25 {
family inet {
address 10.0.0.25/30;
}
}
}
fe-1/1/1 {
unit 29 {
family inet {
address 10.0.0.29/30;
}
}
}
user@A# show protocols
ospf {
export send-direct;
area 0.0.0.0 {
interface fe-0/1/1.25;
interface fe-1/1/1.29;
}
}
user@A# show policy-options
policy-statement send-direct {
from {
protocol direct;
route-filter 10.0.0.16/30 exact;
}
then accept;
}
デバイスB
user@B# show firewall
filter rpf-special-case-dhcp {
term allow-dhcp {
from {
source-address {
0.0.0.0/32;
}
destination-address {
255.255.255.255/32;
}
}
then {
count rpf-dhcp-traffic;
accept;
}
}
term default {
then {
log;
reject;
}
}
}
user@B# show interfaces
fe-1/2/0 {
unit 2 {
family inet {
rpf-check fail-filter rpf-special-case-dhcp;
address 10.0.0.2/30;
}
}
}
fe-1/1/1 {
unit 6 {
family inet {
rpf-check fail-filter rpf-special-case-dhcp;
address 10.0.0.6/30;
}
}
}
fe-0/1/1 {
unit 9 {
family inet {
rpf-check fail-filter rpf-special-case-dhcp;
address 10.0.0.9/30;
}
}
}
fe-0/1/0 {
unit 13 {
family inet {
rpf-check fail-filter rpf-special-case-dhcp;
address 10.0.0.13/30;
}
}
}
user@B# show protocols
ospf {
area 0.0.0.0 {
interface fe-0/1/1.9;
interface fe-0/1/0.13;
}
}
user@B# show routing-options
forwarding-table {
unicast-reverse-path active-paths;
}
CLIクイック設定に示すように、デバイスC、デバイスD、およびデバイスEの設定を入力します。
検証
設定が正しく機能していることを確認します。
ユニキャスト RPF が有効になっていることを確認します。
目的
デバイス B のインターフェイスで、ユニキャスト RPF が有効になっていることを確認します。
アクション
user@B> show interfaces fe-0/1/0.13 extensive
Logical interface fe-0/1/0.13 (Index 73) (SNMP ifIndex 553) (Generation 208)
Flags: SNMP-Traps 0x4000 Encapsulation: ENET2
Traffic statistics:
Input bytes : 999390
Output bytes : 1230122
Input packets: 12563
Output packets: 12613
Local statistics:
Input bytes : 998994
Output bytes : 1230122
Input packets: 12563
Output packets: 12613
Transit statistics:
Input bytes : 396 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Protocol inet, MTU: 1500, Generation: 289, Route table: 22
Flags: Sendbcast-pkt-to-re, uRPF
RPF Failures: Packets: 0, Bytes: 0
Addresses, Flags: Is-Preferred Is-Primary
Destination: 10.0.0.12/30, Local: 10.0.0.13, Broadcast: 10.0.0.15, Generation: 241
意味
uRPF フラグは、ユニキャスト RPF がこのインターフェースで有効になっていることを確認します。
送信元アドレスがブロックされていることを確認する
目的
デバイス B が予期しない送信元アドレスからのトラフィックをブロックしていることを確認するには、 コマンドを ping 使用します。
アクション
デバイス A から、送信元アドレスに 10.0.0.17 を使用して、デバイス B のインターフェイスを ping します。
user@A> ping 10.0.0.6 source 10.0.0.17 PING 10.0.0.6 (10.0.0.6): 56 data bytes ^C --- 10.0.0.6 ping statistics --- 3 packets transmitted, 0 packets received, 100% packet loss
意味
予想通り、ping 操作は失敗します。
送信元アドレスのブロックが解除されていることを確認する
目的
RPF チェックが ping 非アクティブ化されている場合、デバイス B がトラフィックをブロックしないようにするには、 コマンドを使用します。
アクション
インターフェイスの 1 つで RPF チェックを無効にします。
ping 操作を再実行してください。
user@B> deactivate interfaces fe-1/1/1.6 family inet rpf-check user@A> ping 10.0.0.6 source 10.0.0.17 PING 10.0.0.2 (10.0.0.2): 56 data bytes 64 bytes from 10.0.0.2: icmp_seq=0 ttl=63 time=1.316 ms 64 bytes from 10.0.0.2: icmp_seq=1 ttl=63 time=1.263 ms ^C --- 10.0.0.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.263/1.289/1.316/0.027 ms
意味
予想通り、ping 操作は成功します。