Cisco DCNM Security コンフィギュレーション ガイド Release 4.0
IP ソース ガードの設定
IP ソース ガードの設定
発行日;2012/01/09 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

IP ソース ガードの設定

IP ソース ガードの概要

バーチャライゼーション サポート

IP ソース ガードのライセンス要件

IP ソース ガードの前提条件

注意事項および制約事項

IP ソース ガードの設定

レイヤ 2 インターフェイスに対する IP ソース ガードのイネーブル化またはディセーブル化

スタティック IP ソース エントリの追加または削除

IP ソース ガード バインディングの表示

IP ソース ガードのフィールドに関する説明

Device:Static Binding タブ

Interface:Interface Configuration タブ

その他の参考資料

関連資料

規格

IP ソース ガードの概要

IP ソース ガードは、各パケットの IP アドレスと MAC アドレスが、IP と MAC のアドレス バインディングのうち、次に示す 2 つの送信元のどちらかと一致する場合にのみ IP トラフィックを許可するインターフェイス単位のトラフィック フィルタです。

DHCP スヌーピング バインディング テーブル内のエントリ

設定したスタティック IP ソース エントリ

信頼できる IP および MAC のアドレス バインディングのフィルタリングは、スプーフィング攻撃に依存した攻撃(有効なホストの IP アドレスを使用して不正なネットワーク アクセス権を取得する攻撃)の防止に役立ちます。IP ソース ガードを妨げるためには、攻撃者は有効なホストの IP アドレスと MAC アドレスを両方スプーフィングする必要があります。

DHCP スヌーピングで信頼状態になっていないレイヤ 2 インターフェイスの IP ソース ガードをイネーブルにできます。IP ソース ガードは、アクセス モードとトランク モードで動作するように設定されているインターフェイスをサポートしています。IP ソース ガードを最初にイネーブルにすると、次のトラフィックを除いて、そのインターフェイス上のインバウンド IP トラフィックがすべてブロックされます。

DHCP パケット。DHCP パケットは、DHCP スヌーピングによって検査が実行され、その結果に応じて転送またはドロップされます。

NX-OS デバイスに設定したスタティック IP ソース エントリからの IP トラフィック

デバイスが IP トラフィックを許可するのは、DHCP スヌーピングによって IP パケットの IP アドレスと MAC アドレスのバインディング テーブル エントリが追加された場合、またはユーザがスタティック IP ソース エントリを設定した場合です。

パケットの IP アドレスと MAC アドレスがバインディング テーブル エントリにも、スタティック IP ソース エントリにもない場合、その IP パケットはドロップされます。たとえば、バインディング テーブルに次のようなエントリが含まれるとします。

MacAddress IpAddress LeaseSec Type VLAN Interface
---------- ---------- --------- ------ ------- ---------
00:02:B3:3F:3B:99 10.5.5.2 6943 dhcp-snooping 10 Ethernet2/3
 

IP アドレスが 10.5.5.2 の IP パケットをデバイスが受信した場合、IP ソース ガードによってこのパケットが転送されるのは、このパケットの MAC アドレスが 00:02:B3:3F:3B:99 のときだけです。

バーチャライゼーション サポート

Virtual Device Context(VDC; バーチャル デバイス コンテキスト)で使用される IP ソース ガードには、次の事項が適用されます。

IP-MAC アドレス バインディングは各 VDC に固有です。ある VDC 内のバインディングが他の VDC の IP ソース ガードに影響を及ぼすことはありません。

NX-OS は、バインディング データベースのサイズを VDC 単位では制限しません。

IP ソース ガードのライセンス要件

この機能のライセンス要件は次の表のとおりです。

 

製品
ライセンス要件

DCNM

IP ソース ガードには LAN Enterprise のライセンスが必要です。DCNM のライセンス スキームおよびライセンスの取得方法と適用方法に関する詳細は、『 Cisco DCNM Licensing Guide 』を参照してください。

NX-OS

IP ソース ガードにはライセンスは必要ありません。ライセンス パッケージに含まれていない機能は、Cisco NX-OS システム イメージにバンドルされており、追加料金なしで利用できます。NX-OS のライセンス スキームに関する詳細は、『 Cisco NX-OS Licensing Guide 』を参照してください。

IP ソース ガードの前提条件

IP ソース ガードの前提条件は次のとおりです。

IP ソース ガードを設定するためには、DHCP スヌーピングについての知識が必要です。

DHCP スヌーピングがイネーブルになっている必要があります( DHCP スヌーピングの設定を参照)。

注意事項および制約事項

IP ソース ガードの設定に関する注意事項と制約事項は次のとおりです。

IP ソース ガードは、インターフェイス上の IP トラフィックを、IP-MAC アドレス バインディング テーブル エントリまたはスタティック IP ソース エントリに送信元が含まれているトラフィックだけに制限します。インターフェイス上の IP ソース ガードを初めてイネーブルにする際には、そのインターフェイス上のホストが DHCP サーバから新しい IP アドレスを受信するまで、IP トラフィックが中断されることがあります。

IP ソース ガードの機能は、DHCP スヌーピング(IP-MAC アドレス バインディング テーブルの構築および維持に関して)、またはスタティック IP ソース エントリの手動での維持に依存しています。

IP ソース ガードを設定するために DCNM を使用する各デバイスに対して、DHCP スヌーピングのログ レベルが 6(Informational)以上に設定されていることを確認します。この必要最小限のログ レベルをデバイスに設定するには、デバイスの CLI(コマンドライン インターフェイス)にログインし、次のコマンドを使用します。

logging level dhcp 6

IP ソース ガードの設定

図13-1 は、IP Source Guard のコンテンツ ペインを示しています。

図13-1 IP Source Guard のコンテンツ ペイン

 

ここでは、次の作業について説明します。

「レイヤ 2 インターフェイスに対する IP ソース ガードのイネーブル化またはディセーブル化」

「スタティック IP ソース エントリの追加または削除」

レイヤ 2 インターフェイスに対する IP ソース ガードのイネーブル化またはディセーブル化

レイヤ 2 インターフェイスに対して IP ソース ガードをイネーブルまたはディセーブルに設定できます。

作業を開始する前に

デフォルトでは、IP ソース ガードはすべてのインターフェイスでディセーブルです。

DHCP スヌーピングがイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。

IP ソース ガードをイネーブル化する場合、NX-OS デバイスの DHCP スヌーピングのログ レベルが 6(Informational)以上に設定されていることを確認します。この必要最小限のログ レベルをデバイスに設定するには、デバイスの CLI にログインし、次のコマンドを使用します。

logging level dhcp 6

詳細な手順

レイヤ 2 インターフェイスの IP ソース ガードをイネーブル化またはディセーブル化するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > IP Source Guard を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインから、IP ソース ガードの設定が必要なインターフェイスを持つデバイスをダブルクリックします。

選択したデバイス上のスロットが Summary ペインに表示されます。

ステップ 3 IP ソース ガードの設定が必要なインターフェイスを持つスロットをダブルクリックします。

選択したスロットのレイヤ 2 インターフェイスが Summary ペインに表示されます。

ステップ 4 IP ソース ガードを設定するインターフェイスをクリックします。

Interface Configuration タブが Details ペインに表示されます。

ステップ 5 Interface Configuration タブから、次のいずれかを実行します。

インターフェイスの IP ソース ガードをイネーブル化するには、 IP Source Guard のチェック ボックスをオンにします。

インターフェイスの IP ソース ガードをディセーブル化するには、 IP Source Guard のチェック ボックスをオフにします。

ステップ 6 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

スタティック IP ソース エントリの追加または削除

デバイス上のスタティック IP ソース エントリの追加または削除を実行できます。

作業を開始する前に

デフォルトでは、デバイスにはスタティック IP ソース エントリは設定されていません。

詳細な手順

スタティック IP ソース エントリを追加または削除するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > IP Source Guard を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインで、スタティック ソース エントリを設定するデバイスをクリックします。

Summary ペインに Static Binding タブが表示され、デバイス上にスタティック IP ソース エントリが存在する場合には、このタブのテーブルにリストされます。

ステップ 3 Static Binding タブをクリックします。

ステップ 4 スタティック IP ソース エントリを追加するには、次の作業を行います。

a. メニューバーから、 IP Source Guard > Adding Source Binding を選択します。

b. 新しい行が表示されます。

c. ドロップダウン リストから、バインディングが関連付けられている VLAN を選択します。

d. MAC Address フィールドをダブルクリックし、MAC アドレスを入力します。有効なエントリは、ドット付き 16 進形式です。

e. IP Address フィールドをダブルクリックし、IPv4 アドレスを入力します。有効なエントリは、ドット付き 10 進形式です。

ステップ 5 スタティック IP ソース エントリを削除するには、次の作業を行います。

a. 削除するエントリをクリックします。

b. メニューバーから、 IP Source Guard > Delete Source Binding を選択します。

確認のダイアログボックスが表示されます。

c. Yes をクリックします。

ステップ 6 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

IP ソース ガード バインディングの表示

デバイスのスタティック IP-MAC アドレス バインディングを表示するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > IP Source Guard を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインで、表示するスタティック IP-MAC アドレス バインディングを持つデバイスをクリックします。

Summary ペインに Static Binding タブが表示され、VLAN 単位で IP-MAC アドレス バインディングがリストされます。


 

IP ソース ガードのフィールドに関する説明

「Device:Static Binding タブ」

「Interface:Interface Configuration タブ」

Device:Static Binding タブ

 

表13-1 Device:Static Binding タブ

フィールド
説明

VLAN

表示のみ 。スタティック DHCP バインディングに関連付けられた VLAN ID。

MAC Address

表示のみ 。スタティック DHCP バインディングの MAC アドレス。

IP Address

表示のみ 。スタティック DHCP バインディングの IP アドレス。

Lease Expiry Time

表示のみ 。DHCP IP アドレスのリース期限が満了となる日時。

Interface:Interface Configuration タブ

 

表13-2 Device:Interface Configuration タブ

フィールド
説明

Interface

表示のみ 。レイヤ 2 インターフェイスの名前。

Number of Static Bindings

表示のみ 。そのインターフェイスのスタティック DHCP バインディングの数。デフォルトでは、スタティック DHCP バインディングはありません。

IP ソース ガード

IP ソース ガードの機能がそのインターフェイスに対してイネーブルであるかどうかの指定。デフォルトでは、このチェック ボックスはオフです。

その他の参考資料

IP ソース ガードの実装に関する詳細情報については、次を参照してください。

「関連資料」

「規格」

関連資料

関連事項
タイトル

「DHCP スヌーピングの概要」

Cisco DCNM Security Configuration Guide

規格

規格
タイトル

この機能のサポート対象の規格には、新規規格も変更された規格もありません。また、この機能は既存の規格に対するサポートに影響を及ぼしません。

--