Cisco Nexus 1000V セキュリティ設定ガイド 4.2(1)SV2(1.1)
IP ソース ガードの設定
IP ソース ガードの設定
発行日;2013/01/16   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

IP ソース ガードの設定

この章の内容は、次のとおりです。

IP ソース ガードの概要

IP ソース ガードとは、インターフェイス単位のトラフィック フィルタです。各パケットの IP アドレスと MAC アドレスが、Dynamic Host Configuration Protocol(DHCP)スヌーピング バインディング テーブル内のダイナミックまたはスタティック IP ソース エントリの IP-MAC アドレス バインディングと一致する場合にのみ、IP トラフィックを許可します。

DHCP スヌーピングで信頼状態になっていないレイヤ 2 インターフェイスの IP ソース ガードをイネーブルにできます。 IP ソース ガードは、アクセス モードとトランク モードで動作するように設定されているインターフェイスをサポートしています。 IP ソース ガードを最初にイネーブルにすると、次のトラフィックを除いて、そのインターフェイス上のインバウンド IP トラフィックがすべてブロックされます。

  • DHCP パケット。DHCP パケットは、DHCP スヌーピングによって検査が実行され、その結果に応じて転送またはドロップされます。
  • Cisco Nexus 1000V で設定したスタティック IP ソース エントリからの IP トラフィック。

デバイスが IP トラフィックを許可するのは、DHCP スヌーピングによって IP パケットの IP アドレスと MAC アドレスのバインディング テーブル エントリが追加された場合、またはユーザがスタティック IP ソース エントリを設定した場合です。

パケットの IP アドレスと MAC アドレスがバインディング テーブル エントリにも、スタティック IP ソース エントリにもない場合、その IP パケットはドロップされます。 たとえば、show ip dhcp snooping binding コマンドによって表示されたバインディング テーブル エントリが次のとおりであるとします。
MacAddress         IpAddress    LeaseSec   Type        VLAN      Interface    
----------         ----------   ---------  ------      -------    ---------  
00:02:B3:3F:3B:99  10.5.5.2       6943    dhcp-snooping  10      vEthernet3

IP アドレスが 10.5.5.2 の IP パケットをデバイスが受信した場合、IP ソース ガードによってこのパケットが転送されるのは、このパケットの MAC アドレスが 00:02:B3:3F:3B:99 のときだけです。

Release 4.2(1)SV2(1.1) からは、IP アドレスと MAC アドレスのペアに基づくトラフィックのフィルタリングではなく、送信元 IP アドレスにのみ基づいて IP トラフィックをフィルタリングできます。 詳細については、送信元 IP によるフィルタリングのイネーブル化を参照してください。

IP ソース ガードの前提条件

  • IP ソース ガードを設定するためには、DHCP スヌーピングについての知識が必要です。
  • DHCP スヌーピングがイネーブルになっている。

IP ソース ガイドの注意事項と制約事項

  • IP ソース ガードは、インターフェイス上の IP トラフィックを、IP-MAC アドレス バインディング テーブル エントリまたはスタティック IP ソース エントリに送信元が含まれているトラフィックだけに制限します。 インターフェイス上の IP ソース ガードを初めてイネーブルにする際には、そのインターフェイス上のホストが DHCP サーバから新しい IP アドレスを受信するまで、IP トラフィックが中断されることがあります。
  • IP ソース ガード(IPSG)機能が Cisco Nexus 1000V スイッチでイネーブルになっている場合は、重複 IP アドレスがポートで検出されるたびに、errdisable になります。
  • IP ソース ガードの機能は、DHCP スヌーピング(IP-MAC アドレス バインディング テーブルの構築および維持に関して)、またはスタティック IP ソース エントリの手動での維持に依存しています。
  • IP ソース ガードをシームレスにするために、仮想サービス ドメイン(VSD)サービス VM ポートは、デフォルトで信頼できるポートとなっています。 これらのポートを「信頼できない」と設定しても、その設定は無視されます。

IP ソース ガードのデフォルト設定

パラメータ

デフォルト

IP ソース ガード

各インターフェイスでディセーブル

IP ソース エントリ

None. デフォルトではスタティック IP ソース エントリはありません。デフォルトの IP ソース エントリもありません。

IP ソース ガード機能の設定

レイヤ 2 インターフェイスに対する IP ソース ガードのイネーブル化またはディセーブル化

デフォルトでは、すべてのインターフェイスに対して IP ソース ガードはディセーブル。 インターフェイスまたはポート プロファイルに IP ソース ガードを設定できます。

はじめる前に

DHCP スヌーピングがイネーブルになっていることを確認してください。

手順
     コマンドまたはアクション目的
    ステップ 1switch# configure terminal  

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 2switch(config)# interface vethernet interface-number
    • switch(config)# port-profile profilename

      指定したポート プロファイルのポート プロファイル コンフィギュレーション モードを開始します。

     

    インターフェイス コンフィギュレーション モードを開始します。interface-number は、DHCP スヌーピングにおいて信頼できるものとして扱うかどうかを設定する vEthernet インターフェイスです。

     
    ステップ 3switch(config-if)# [no] ip verify source dhcp-snooping-vlan 

    インターフェイスの IP ソース ガードをイネーブルにします。 no オプションを使用すると、そのインターフェイスの IP ソース ガードがディセーブルになります。

     
    ステップ 4switch(config-if)# show running-config dhcp  (任意)

    IP ソース ガードの設定も含めて、DHCP スヌーピングの実行コンフィギュレーションを表示します。

     
    ステップ 5switch(config-if)# copy running-config startup-config  (任意)

    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

     
    switch# configure terminal
    switch(config)# interface vethernet 3
    switch(config-if)# ip verify source dhcp-snooping vlan
    switch(config-if)# show running-config dhcp
    switch(config-if)# copy running-config startup-config
    
    switch(config)# port-profile vm-data
    switch(config-port-profile)#  ip verify source dhcp-snooping vlan 
    switch(config-port-profile)#  show running-config dhcp 
    switch(config-port-profile)#  copy running-config startup-config

    スタティック IP ソース エントリの追加または削除

    デフォルトでは、デバイスにはスタティック IP ソース エントリは設定されていません。

    手順
       コマンドまたはアクション目的
      ステップ 1switch# configure terminal  

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 2 switch(config)# feature dhcp  

      IPSG 機能をイネーブルにします。 IPSG はライセンスを必要とする高度な機能として使用できます。

       
      ステップ 3switch(config)# [no] ip source binding IP-address MAC-address vlan vlan-ID interface vethernet interface-number 

      現在のインターフェイスのスタティック IP ソース エントリを作成します。スタティック IP ソース エントリを削除する場合は、no オプションを使用します。

       
      ステップ 4switch(config)# show ip dhcp snooping binding [interface vethernet interface-number]  (任意)

      スタティック IP ソース エントリを含めて、指定したインターフェイスの IP-MAC アドレス バインディングを表示します。 スタティック エントリは、Type カラムに「static」と表示されます。

       
      ステップ 5switch(config-if)# copy running-config startup-config  (任意)

      実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

       
      switch# configure terminal
      switch(config)# ip source binding 10.5.22.17 001f.28bd.0013 vlan 100 interface ethernet 3
      switch(config)# show ip dhcp snooping binding interface ethernet 3
      switch(config)# copy running-config startup-config

      IP ソース ガードの設定の確認

      次のいずれかのコマンドを使用して、設定を確認します。

      コマンド

      目的

      show running-config dhcp

      IP ソース ガード設定を含む、DHCP スヌーピング設定を表示します。

      show ip verify source

      IP-MAC アドレス バインディングを表示します。

      IP ソース ガード バインディングのモニタリング

      IP ソース ガード バインディングをモニタするには、次のコマンドを使用します。

      コマンド

      目的

      show ip verify source

      IP アドレスと MAC アドレスのバインディングを表示します。

      IP ソース ガードの設定例

      スタティック IP ソース エントリを作成し、インターフェイスの IP ソース ガードをイネーブルにする例を示します。

      switch# configure terminal
      switch(config)# ip source binding 10.5.22.17 001f.28bd.0013 vlan 100 interface vethernet 3
      switch(config)# interface ethernet 2/3
      switch(config)# no shutdown
      switch(config)# ip verify source dhcp-snooping-vlan

      IP ソース ガードの機能の履歴

      この表には、機能の追加によるリリースの更新内容のみが記載されています。

      機能名

      リリース

      機能情報

      ライセンスの変更

      4.2(1)SV2(1.1)

      IP ソース ガードを高度な機能として使用できるようになりました。 機能をイネーブルにするには、feature dhcp コマンドを使用します。

      送信元 IP によるフィルタリングのイネーブル化

      4.2(1)SV2(1.1)

      Cisco Nexus 1000V スイッチで、送信元 IP に基づくフィルタリングをイネーブルにできるようになりました。

      IP ソース ガード

      4.0(4)SV1(2)

      この機能が導入されました。