Microsoft Hyper-V 向け Cisco Nexus 1000V セキュリティ コンフィギュレーション ガイド、リリース 5.x
IP ソース ガードの設定
IP ソース ガードの設定

IP ソース ガードの設定

この章は、次の項で構成されています。

IP ソース ガードの概要

IP ソース ガードは、インターフェイス単位のトラフィック フィルタです。各パケットの IP アドレスと MAC アドレスが、IP と MAC のアドレス バインディングのうち、次に示す 2 つの送信元のどちらかと一致する場合だけ、IP トラフィックを許可します。

  • Dynamic Host Configuration Protocol(DHCP)スヌーピング バインディング テーブル内のエントリ

  • 設定したスタティック IP ソース エントリ

DHCP スヌーピングで信頼状態になっていないレイヤ 2 インターフェイスの IP ソース ガードをイネーブルにできます。IP ソース ガードは、アクセス モードとトランク モードで動作するように設定されているインターフェイスをサポートしています。IP ソース ガードを最初にイネーブルにすると、次のトラフィックを除いて、そのインターフェイス上のインバウンド IP トラフィックがすべてブロックされます。

  • DHCP パケット。DHCP パケットは、DHCP スヌーピングによって検査が実行され、その結果に応じて転送またはドロップされます。

  • スタティック IP エントリが Cisco Nexus 1000V で設定されているソースからの IP トラフィック。

デバイスが IP トラフィックを許可するのは、DHCP スヌーピングによって IP パケットの IP アドレスと MAC アドレスのバインディング テーブル エントリが追加された場合、またはユーザが DHCP バインディング テーブルでスタティック IP ソース エントリを設定した場合です。

パケットの IP アドレスと MAC アドレスがバインディング テーブル エントリにも、スタティック IP ソース エントリにもない場合、その IP パケットはドロップされます。たとえば、show ip dhcp snooping binding コマンドによって次のバインディング テーブル エントリが表示されるとします。

MacAddress         IpAddress    LeaseSec   Type        VLAN      Interface    
----------         ----------   ---------  ------      -------    ---------  
00:02:B3:3F:3B:99  10.5.5.2       6943    dhcp-snooping  10      vEthernet3

IP アドレスが 10.5.5.2 の IP パケットをデバイスが受信した場合、IP ソース ガードによってこのパケットが転送されるのは、このパケットの MAC アドレスが 00:02:B3:3F:3B:99 のときだけです。

IP ソース ガードの前提条件

  • IP ソース ガードを設定するためには、DHCP スヌーピングについての知識が必要です。

  • DHCP スヌーピングがイネーブルになっている。

IP ソース ガイドの注意事項と制約事項

  • IP ソース ガードは、インターフェイス上の IP トラフィックを、IP-MAC アドレス バインディング テーブル エントリまたはスタティック IP ソース エントリに送信元が含まれているトラフィックだけに制限します。インターフェイス上の IP ソース ガードを初めてイネーブルにする際には、そのインターフェイス上のホストが DHCP サーバから新しい IP アドレスを受信するまで、IP トラフィックが中断されることがあります。

  • IP ソース ガード(IPSG)機能が Cisco Nexus 1000V スイッチでイネーブルになっている場合は、重複 IP アドレスがポートで検出されるたびに、errdisable になります。

  • IP ソース ガードの機能は、DHCP スヌーピング(IP-MAC アドレス バインディング テーブルの構築および維持に関して)、またはスタティック IP ソース エントリの手動での維持に依存しています。

  • IP ソース ガードをシームレスにするために、仮想サービス ドメイン(VSD)サービス VM ポートは、デフォルトで信頼できるポートとなっています。これらのポートを「信頼できない」と設定しても、その設定は無視されます。

IP ソース ガードのデフォルト設定

パラメータ

デフォルト

IP ソース ガード

各インターフェイスでディセーブル

IP ソース エントリ

なし。デフォルトではスタティック IP ソース エントリはありません。デフォルトの IP ソース エントリもありません。

IP ソース ガード機能の設定

レイヤ 2 インターフェイスに対する IP ソース ガードのイネーブル化またはディセーブル化

デフォルトでは、すべてのインターフェイスに対して IP ソース ガードはディセーブル。インターフェイスまたはポート プロファイルに IP ソース ガードを設定できます。

はじめる前に

DHCP スヌーピングがイネーブルになっていることを確認してください。

手順
     コマンドまたはアクション目的
    ステップ 1switch# configure terminal 

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 2switch(config)# interface vethernet interface-number 

    インターフェイス コンフィギュレーション モードを開始します。interface-number は、DHCP スヌーピングにおいて信頼できるものとして扱うかどうかを設定する vEthernet インターフェイスです。

     
    ステップ 3switch(config)# port-profileprofilename 

    指定したポート プロファイルのポート プロファイル コンフィギュレーション モードを開始します。

     
    ステップ 4switch(config-if)# [no] ip verify source dhcp-snooping-vlan 

    インターフェイスの IP ソース ガードをイネーブルにします。no オプションを使用すると、そのインターフェイスの IP ソース ガードがディセーブルになります。

     
    ステップ 5switch(config-if)# show ip verify source interface vethernet interface number  (任意)

    IP ソース ガード設定を表示します。

     
    ステップ 6switch(config-if)# copy running-config startup-config  (任意)

    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

     

    次に、レイヤ 2 インターフェイスの IP ソース ガードをイネーブルにする例を示します。

    switch# configure terminal
    switch(config)# interface vethernet 3
    switch(config-if)# ip verify source dhcp-snooping-vlan
    switch (config-if)# show ip verify source interface vethernet 3
    
    IP source guard is  enabled on this interface.
    
    Interface         Filter-mode             IP-address     Mac-address       Vlan
    ----------    -----------             ----------     -----------    ----
    Vethernet3        active                   1.182.56.137   00:50:56:82:56:3e  1053
    
    

    IP ソース ガード設定の確認

    次のいずれかのコマンドを使用して、設定を確認します。

    コマンド

    目的

    show running-config dhcp

    IP ソース ガード設定を含む、DHCP スヌーピング設定を表示します。

    show ip verify source

    IP-MAC アドレス バインディングを表示します。

    IP ソース ガード バインディングのモニタリング

    IP ソース ガード バインディングをモニタするには、次のコマンドを使用します。

    コマンド

    目的

    show ip verify source

    IP アドレスと MAC アドレスのバインディングを表示します。

    IP ソース ガードの設定例

    スタティック IP ソース エントリを作成し、インターフェイスの IP ソース ガードをイネーブルにする例を示します。

    switch# configure terminal
    switch(config)# ip source binding 10.5.22.17 001f.28bd.0013 vlan 100 interface vethernet 3
    switch(config)# interface Vethernet 3
    switch(config)# ip verify source dhcp-snooping-vlan
    switch(config-port-prof)# show ip verify source interface vethernet 3
    Filter Mode (for static bindings): IP-MAC
    IP source guard is  enabled on this interface.
    
    Interface         Filter-mode             IP-address     Mac-address       Vlan
    ------      -----------             ----------     --------------    ----
    Vethernet3        active              10.5.22.17     00:1f:28:bd:00:13  100

    IP ソース ガードの機能の履歴

    この表には、機能の追加によるリリースの更新内容のみが記載されています。

    機能名

    リリース

    機能情報

    IP ソース ガード

    5.2(1)SM1(5.1)

    この機能が導入されました。