Cisco PIX/ASA: most used、RPF

Cisco ASA/PIX の小ネタです。ソフトウェアバージョン 7.X、6.X を想定しています。

"most used" とは?

Cisco ASA/PIX でコネクションテーブルを見るのは "show conn"、NAT テーブルは "show xlate" です。これらの出力結果には "most used" というカウンター値が表示されています。下の例で言えば "10" がそうです。

fw# show conn
2 in use, 10 most used
(… 略)

恥ずかしながら実はこれが何のことかすぐにはわからなかったです(汗)。言われてみればその通りなのですが、これまでの最大コネクション数 (最大 NAT エントリ数) ですね。それはさておき、これらのテーブルのチェックに加えて "show access-list" でヒットカウンターを見るのと、先日紹介した capture コマンドで大部分の問題判別はできると思います。

Reverse Path Forwarding

Reverse Path Forwarding (RPF) とはルーティングテーブルとパケットのソースアドレスを照合して不適切なインターフェイスより届いたパケットをドロップするものです。FireWall-1 ではトポロジを設定して Anti-Spoof させますがそれと似たようなものですね。以下のようにインターフェイスを指定して ip verify reverse-path コマンドを実行することで機能が有効になります。

ip verify reverse-path interface outside

outside 側にはデフォルトルートが設定されているケースが多いと思いますが、その場合でも outside インターフェイスに RPF をかければ、内部アドレスをソースにしたパケットを落とすことができます。もちろん外部側のアドレスで Spoofing されたパケットが outside インターフェイスに届いた場合はどうしようもないのですが、そこは手動で Ingress フィルターを追加する手間を省くための機能ということで理解しましょう。

inside インターフェイスにかければ内部ルートとしてルーティングテーブルに載っているアドレスからのパケットのみを通すようになります。

結構 Cisco PIX/ASA に関する blog エントリが増えたので、ここらで一覧にまとめておきます。

「これが趣味なの?」って感じでしょうが、備忘録としてのブログなのでそこはご容赦を。


2007. 2. 16 追記:

×「most in used」→○「most used」です。訂正しました。何だかボケてます。