この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章の内容は、次のとおりです。
IP ソース ガードとは、インターフェイス単位のトラフィック フィルタです。各パケットの IP アドレスと MAC アドレスが、Dynamic Host Configuration Protocol(DHCP)スヌーピング バインディング テーブル内のダイナミックまたはスタティック IP ソース エントリの IP-MAC アドレス バインディングと一致する場合にのみ、IP トラフィックを許可します。
DHCP スヌーピングで信頼状態になっていないレイヤ 2 インターフェイスの IP ソース ガードをイネーブルにできます。 IP ソース ガードは、アクセス モードとトランク モードで動作するように設定されているインターフェイスをサポートしています。 IP ソース ガードを最初にイネーブルにすると、次のトラフィックを除いて、そのインターフェイス上のインバウンド IP トラフィックがすべてブロックされます。
デバイスが IP トラフィックを許可するのは、DHCP スヌーピングによって IP パケットの IP アドレスと MAC アドレスのバインディング テーブル エントリが追加された場合、またはユーザがスタティック IP ソース エントリを設定した場合です。
MacAddress IpAddress LeaseSec Type VLAN Interface ---------- ---------- --------- ------ ------- --------- 00:02:B3:3F:3B:99 10.5.5.2 6943 dhcp-snooping 10 vEthernet3
IP アドレスが 10.5.5.2 の IP パケットをデバイスが受信した場合、IP ソース ガードによってこのパケットが転送されるのは、このパケットの MAC アドレスが 00:02:B3:3F:3B:99 のときだけです。
Release 4.2(1)SV2(1.1) からは、IP アドレスと MAC アドレスのペアに基づくトラフィックのフィルタリングではなく、送信元 IP アドレスにのみ基づいて IP トラフィックをフィルタリングできます。 詳細については、送信元 IP によるフィルタリングのイネーブル化を参照してください。
パラメータ |
デフォルト |
---|---|
IP ソース ガード |
各インターフェイスでディセーブル |
IP ソース エントリ |
None. デフォルトではスタティック IP ソース エントリはありません。デフォルトの IP ソース エントリもありません。 |
デフォルトでは、すべてのインターフェイスに対して IP ソース ガードはディセーブル。 インターフェイスまたはポート プロファイルに IP ソース ガードを設定できます。
DHCP スヌーピングがイネーブルになっていることを確認してください。
switch# configure terminal switch(config)# interface vethernet 3 switch(config-if)# ip verify source dhcp-snooping vlan switch(config-if)# show running-config dhcp switch(config-if)# copy running-config startup-config switch(config)# port-profile vm-data switch(config-port-profile)# ip verify source dhcp-snooping vlan switch(config-port-profile)# show running-config dhcp switch(config-port-profile)# copy running-config startup-config
デフォルトでは、デバイスにはスタティック IP ソース エントリは設定されていません。
switch# configure terminal switch(config)# ip source binding 10.5.22.17 001f.28bd.0013 vlan 100 interface ethernet 3 switch(config)# show ip dhcp snooping binding interface ethernet 3 switch(config)# copy running-config startup-config
次のいずれかのコマンドを使用して、設定を確認します。
コマンド |
目的 |
---|---|
show running-config dhcp |
IP ソース ガード設定を含む、DHCP スヌーピング設定を表示します。 |
show ip verify source |
IP-MAC アドレス バインディングを表示します。 |
IP ソース ガード バインディングをモニタするには、次のコマンドを使用します。
コマンド |
目的 |
---|---|
show ip verify source |
IP アドレスと MAC アドレスのバインディングを表示します。 |
スタティック IP ソース エントリを作成し、インターフェイスの IP ソース ガードをイネーブルにする例を示します。
switch# configure terminal switch(config)# ip source binding 10.5.22.17 001f.28bd.0013 vlan 100 interface vethernet 3 switch(config)# interface ethernet 2/3 switch(config)# no shutdown switch(config)# ip verify source dhcp-snooping-vlan
この表には、機能の追加によるリリースの更新内容のみが記載されています。
機能名 |
リリース |
機能情報 |
---|---|---|
ライセンスの変更 |
4.2(1)SV2(1.1) |
IP ソース ガードを高度な機能として使用できるようになりました。 機能をイネーブルにするには、feature dhcp コマンドを使用します。 |
送信元 IP によるフィルタリングのイネーブル化 |
4.2(1)SV2(1.1) |
Cisco Nexus 1000V スイッチで、送信元 IP に基づくフィルタリングをイネーブルにできるようになりました。 |
IP ソース ガード |
4.0(4)SV1(2) |
この機能が導入されました。 |