Cisco DCNM for LAN セキュリティ コンフィギュレーション ガイド リリース 5.x
IP ソース ガードの設定
IP ソース ガードの設定
発行日;2012/09/13   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

IP ソース ガードの設定

この章では、Cisco NX-OS デバイスで IP ソース ガードを設定する手順について説明します。


(注)  


管理対象デバイスで稼働している Cisco NX-OS リリースでは、こので説明するすべての機能または設定がサポートされない場合があります。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースのマニュアルとリリース ノートを参照してください。


この章は、次の内容で構成されています。

IP ソース ガードの概要

IP ソース ガードは、インターフェイス単位のトラフィック フィルタです。各パケットの IP アドレスと MAC アドレスが、IP と MAC のアドレス バインディングのうち、次に示す 2 つの送信元のどちらかと一致する場合だけ、IP トラフィックを許可します。

  • Dynamic Host Configuration Protocol(DHCP)スヌーピング バインディング テーブル内のエントリ
  • 設定したスタティック IP ソース エントリ

信頼できる IP および MAC のアドレス バインディングのフィルタリングは、スプーフィング攻撃(有効なホストの IP アドレスを使用して不正なネットワーク アクセス権を取得する攻撃)の防止に役立ちます。 IP ソース ガードを妨ぐためには、攻撃者は有効なホストの IP アドレスと MAC アドレスを両方スプーフィングする必要があります。

DHCP スヌーピングで信頼状態になっていないレイヤ 2 インターフェイスの IP ソース ガードをイネーブルにできます。 IP ソース ガードは、アクセス モードとトランク モードで動作するように設定されているインターフェイスをサポートしています。 IP ソース ガードを最初にイネーブルにすると、次のトラフィックを除いて、そのインターフェイス上のインバウンド IP トラフィックがすべてブロックされます。

  • DHCP パケット。DHCP パケットは、DHCP スヌーピングによって検査が実行され、その結果に応じて転送またはドロップされます。
  • Cisco NX-OS デバイスに設定したスタティック IP ソース エントリからの IP トラフィック。

デバイスが IP トラフィックを許可するのは、DHCP スヌーピングによって IP パケットの IP アドレスと MAC アドレスのバインディング テーブル エントリが追加された場合、またはユーザがスタティック IP ソース エントリを設定した場合です。

パケットの IP アドレスと MAC アドレスがバインディング テーブル エントリにも、スタティック IP ソース エントリにもない場合、その IP パケットはドロップされます。 たとえば、バインディング テーブルに次のようなエントリが含まれるとします

MacAddress         IpAddress    LeaseSec   Type        VLAN      Interface    
----------         ----------   ---------  ------      -------    ---------  
00:02:B3:3F:3B:99  10.5.5.2       6943    dhcp-snooping  10      Ethernet2/3

IP アドレスが 10.5.5.2 の IP パケットをデバイスが受信した場合、IP ソース ガードによってこのパケットが転送されるのは、このパケットの MAC アドレスが 00:02:B3:3F:3B:99 のときだけです。

IP ソース ガードのライセンス要件

次の表に、IP ソース ガードのライセンス要件を示します。

製品

ライセンス要件

Cisco DCNM

IP ソース ガードには、LAN Enterprise ライセンスが必要です。 Cisco DCNM ライセンス方式について、およびライセンスの取得方法と適用方法についての詳細は、『Cisco DCNM Installation and Licensing Guide, Release 5.x』を参照してください。

Cisco NX-OS

IP ソース ガードにはライセンスは必要ありません。 ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。 各プラットフォームの Cisco NX-OS ライセンス方式の詳細については、プラットフォームのライセンス ガイドを参照してください。

IP ソース ガードの前提条件

Cisco DCNM の機能を使用するための前提条件は、次のとおりです。 機能固有の前提条件については、プラットフォームのマニュアルを参照してください。

  • IP ソース ガードのシステム メッセージ ログ レベルが、Cisco DCNM 要件を満たすか上回ること。 デバイス検出時に、ログ レベルが不適切であることが検出された場合は、最低限必要なレベルまで Cisco DCNM によって引き上げられます。 ただし、Cisco Nexus 7000 シリーズ スイッチで Cisco NX-OS Release 4.0 を実行する場合は例外です。 Cisco NX-OS Release 4.0 の場合は、デバイスの検出を行う前に、コマンドライン インターフェイスを使用して Cisco DCNM の要件を満たすか、上回るようにログ レベルを設定してください。 詳細については、を参照してください。

IP ソース ガードをサポートしているプラットフォーム

この機能は、次のプラットフォームでサポートされています。 注意事項や制約事項、システムのデフォルト値、コンフィギュレーションの制限などに関するプラットフォーム固有の情報については、対応するマニュアルを参照してください。

プラットフォーム マニュアル
Cisco Nexus 3000 シリーズ スイッチ Cisco Nexus 3000 シリーズ スイッチのマニュアル
Cisco Nexus 7000 シリーズ スイッチ Cisco Nexus 7000 シリーズ スイッチのマニュアル

IP ソース ガードの設定

レイヤ 2 インターフェイスに対する IP ソース ガードのイネーブル化またはディセーブル化

レイヤ 2 インターフェイスに対して IP ソース ガードをイネーブルまたはディセーブルに設定できます。 デフォルトでは、すべてのインターフェイスに対して IP ソース ガードはディセーブル。

手順
    ステップ 1   [Feature Selector] ペインで、[Switching] > [Layer 2 Security] > [IP Source Guard] を選択します。

    [Summary] ペインに使用可能なデバイスが表示されます。

    ステップ 2   [Summary] ペインで、IP ソース ガードを設定するインターフェイスが属するデバイスをダブルクリックします。

    選択したデバイスのスロットが [Summary] ペインに表示されます。

    ステップ 3   IP ソース ガードを設定するインターフェイスが属するスロットをダブルクリックします。

    選択したスロットのレイヤ 2 インターフェイスが [Summary] ペインに表示されます。

    ステップ 4   IP ソース ガードを設定するインターフェイスをクリックします。

    [Details] ペインに [Interface Configuration] タブが表示されます。

    ステップ 5   [Interface Configuration] タブから、次のいずれかを実行します。
    • インターフェイスで IP ソース ガードをイネーブルにするには、[IP Source Guard] をオンにします。

    • インターフェイスで IP ソース ガードをディセーブルにするには、[IP Source Guard] をオフにします。

    ステップ 6   (任意) メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

    スタティック IP ソース エントリの追加または削除

    デバイス上のスタティック IP ソース エントリの追加または削除を実行できます。 デフォルトでは、デバイスにはスタティック IP ソース エントリは設定されていません。

    手順
      ステップ 1   [Feature Selector] ペインで、[Switching] > [Layer 2 Security] > [IP Source Guard] を選択します。

      [Summary] ペインに使用可能なデバイスが表示されます。

      ステップ 2   [Summary] ペインで、スタティック ソース エントリを設定するデバイスをクリックします。

      [Summary] ペインに [Static Binding] タブが表示されます。デバイスにスタティック IP ソース エントリが存在する場合、このタブにはそのエントリのテーブルが表示されます。

      ステップ 3   [Static Binding] タブをクリックします。
      ステップ 4   新しいスタティック IP ソース エントリを追加するには、次の手順を実行します。
      1. メニュー バーの [Actions] > [Add Source Binding] を選択します。

        新しい行が表示されます。

      2. ドロップダウン リストから、バインディングが関連付けられている VLAN を選択します。
      3. [MAC Address] フィールドをダブルクリックして、MAC アドレスを入力します。 有効なエントリはドット付き 16 進表記です。
      4. [IP Address] フィールドをダブルクリックして、IPv4 アドレスを入力します。 有効なエントリはドット付き 10 進表記です。
      ステップ 5   スタティック IP ソース エントリを削除するには、次の手順を実行します。
      1. 削除するエントリをクリックします。
      2. メニュー バーの [Actions] > [Delete Source Binding] を選択します。

        確認ダイアログボックスが表示されます。

      3. [Yes] をクリックします。
      ステップ 6   (任意) メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

      IP ソース ガード バインディングの表示

      管理対象デバイスのスタティック IP-MAC アドレス バインディングを表示できます。

      手順
        ステップ 1   [Feature Selector] ペインで、[Switching] > [Layer 2 Security] > [IP Source Guard] を選択します。
        ステップ 2   [Summary] ペインに使用可能なデバイスが表示されます。
        ステップ 3   [Summary] ペインで、表示するスタティック IP-MAC アドレス バインディングが属するデバイスをクリックします。

        IP ソース ガードのフィールドの説明

        [Device]:[Static Binding] タブ

        表 1 [Device]:[Static Binding] タブ

        説明

        VLAN

        表示のみ。 スタティック DHCP バインディングに関連付けられた VLAN ID。

        MAC Address

        表示のみ。 スタティック DHCP バインディングの MAC アドレス。

        IP Address

        表示のみ。 スタティック DHCP バインディングの IP アドレス。

        Lease Expiry Time

        表示のみ。 DHCP IP アドレスのリース期限が切れる日時。

        [Interface]:[Interface Configuration] タブ

        表 2 [Device]:[Interface Configuration] タブ

        説明

        Interface

        表示のみ。 レイヤ 2 インターフェイスの名前。

        Number of Static Bindings

        表示のみ。 インターフェイスのスタティック DHCP バインディングの数。 デフォルトでは、スタティック DHCP バインディングは設定されていません。

        IP Source Guard

        インターフェイスの IP ソース ガード機能がイネーブルであるかどうか。 デフォルトでは、このチェックボックスはオフになっています。

        IP ソース ガードに関する追加情報

        標準

        標準

        タイトル

        この機能では、新規の標準がサポートされることも、一部変更された標準がサポートされることもありません。また、既存の標準に対するサポートが変更されることもありません。

        IP ソース ガードの機能の履歴

        次の表に、この機能のリリースの履歴を示します。

        表 3 IP ソース ガードの機能の履歴

        機能名

        リリース

        機能情報

        IP ソース ガード

        5.2(1)

        Cisco Nexus 3000 シリーズ スイッチのサポートが追加されました。

        IP ソース ガード

        5.1(1)

        Release 5.0 以降、変更はありません。

        IP ソース ガード

        5.0(2)

        Release 4.2 以降、変更はありません。

        IP ソース ガード

        4.2(1)

        Release 4.1 以降、変更はありません。