uRPFの動作モード

uRPFのチェック方法として、strictモード(厳密なモード)とlooseモード(緩やかなモード)を提供します。

uRPFのチェック方法には、strictモード(厳密なモード)やlooseモード(緩やかなモード)など複数のモードがあります。 厳密なstrictモードでは、パケットの送信元IPアドレスへの経路と、パケットが流入したインタフェースが、完全に一致するか確認します。 緩やかなlooseモードでは、送信元IPアドレス向けの経路が存在しているか確認を行います。

複数の接続回線で冗長化を図る場合など、ネットワーク構成により、上り下りの通信経路が非対称になることがあります。こうしたケースでは、送信元 IP アドレスへの経路とパケットの流入するインタフェースが一致しないため、strictモードを用いると正しい送信元アドレスのパケットまでブロックしてしまいます。 このような場合、looseモードを使います。

looseモードでは、送信元IPアドレスが経路情報に存在するパケットのみパスし、それ以外のパケットはブロックします。例えば、一般に不正な送信元アドレスとされるプライベートアドレスや未使用アドレス、マルチキャストアドレスなど特殊なアドレスを送信元とするパケットは、判別・ブロックできます。また、明らかに不正な送信元アドレスのパケットのみをブロックするため、通常の通信に対する影響がありません。

ただし、looseモードは、送信元アドレスが経路情報に存在する場合には、詐称されたアドレスであってもパスするという欠点もあります。