この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco NX-OS デバイスで IP ソース ガードを設定する手順について説明します。
この章は、次の項で構成されています。
IP ソース ガードは、インターフェイス単位のトラフィック フィルタです。各パケットの IP アドレスと MAC アドレスが、IP と MAC のアドレス バインディングのうち、次に示す 2 つの送信元のどちらかと一致する場合だけ、IP トラフィックを許可します。
信頼できる IP および MAC のアドレス バインディングのフィルタリングは、スプーフィング攻撃(有効なホストの IP アドレスを使用して不正なネットワーク アクセス権を取得する攻撃)の防止に役立ちます。IP ソース ガードを妨ぐためには、攻撃者は有効なホストの IP アドレスと MAC アドレスを両方スプーフィングする必要があります。
DHCP スヌーピングで信頼状態になっていないレイヤ 2 インターフェイスの IP ソース ガードをイネーブルにできます。IP ソース ガードは、アクセス モードとトランク モードで動作するように設定されているインターフェイスをサポートしています。IP ソース ガードを最初にイネーブルにすると、次のトラフィックを除いて、そのインターフェイス上のインバウンド IP トラフィックがすべてブロックされます。
DHCP パケット。DHCP パケットは、DHCP スヌーピングによって検査が実行され、その結果に応じて転送またはドロップされます。
Cisco NX-OS デバイスに設定したスタティック IP ソース エントリからの IP トラフィック。
デバイスが IP トラフィックを許可するのは、DHCP スヌーピングによって IP パケットの IP アドレスと MAC アドレスのバインディング テーブル エントリが追加された場合、またはユーザがスタティック IP ソース エントリを設定した場合です。
パケットの IP アドレスと MAC アドレスがバインディング テーブル エントリにも、スタティック IP ソース エントリにもない場合、その IP パケットはドロップされます。たとえば、show ip dhcp snooping binding コマンドによって表示されたバインディング テーブル エントリが次のとおりであるとします。
MacAddress IpAddress LeaseSec Type VLAN Interface ----------------- ---------- --------- ------------- ---- --------- 00:02:B3:3F:3B:99 10.5.5.2 6943 dhcp-snooping 10 Ethernet2/3
IP アドレスが 10.5.5.2 の IP パケットをデバイスが受信した場合、IP ソース ガードによってこのパケットが転送されるのは、このパケットの MAC アドレスが 00:02:B3:3F:3B:99 のときだけです。
製品 |
ライセンス要件 |
---|---|
Cisco NX-OS |
IP ソース ガードにはライセンスは必要ありません。ライセンス パッケージに含まれていない機能は nx-os イメージにバンドルされており、無料で提供されます。Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。 |
IP ソース ガードの前提条件は次のとおりです。
IP ソース ガードを設定するには、その前に DHCP 機能および DHCP スヌーピングをイネーブルにする必要があります。DHCP の設定 を参照してください。
hardware access-list tcam region ipsg コマンドを使用して、IP ソース ガード用の ACL TCAM のリージョン サイズを設定する必要があります。ACL TCAM リージョン サイズの設定を参照してください。
(注) | デフォルトでは、ipsg のリージョン サイズはゼロです。SMAC-IP バインディングの保存と適用をするには、このリージョンに十分なエントリを割り当てる必要があります。 |
IP ソース ガードに関する注意事項と制約事項は次のとおりです。
IP ソース ガードは、インターフェイス上の IP トラフィックを、IP-MAC アドレス バインディング テーブル エントリまたはスタティック IP ソース エントリに送信元が含まれているトラフィックだけに制限します。インターフェイス上の IP ソース ガードを初めてイネーブルにする際には、そのインターフェイス上のホストが DHCP サーバから新しい IP アドレスを受信するまで、IP トラフィックが中断されることがあります。
IP ソース ガードの機能は、DHCP スヌーピング(IP-MAC アドレス バインディング テーブルの構築および維持に関して)、またはスタティック IP ソース エントリの手動での維持に依存しています。
IP ソース ガードは、Fabric Extender(FEX)および汎用拡張モジュール(GEM)ポートではサポートされていません。
次の注意事項と制約事項は、Cisco Nexus 9200 シリーズ スイッチに適用されます。
次の表に、IP ソース ガードのパラメータのデフォルト設定を示します。
パラメータ |
デフォルト |
---|---|
IP ソース ガード |
各インターフェイスでディセーブル |
IP ソース エントリ |
なし。デフォルトではスタティック IP ソース エントリはありません。デフォルトの IP ソース エントリもありません。 |
レイヤ 2 インターフェイスに対して IP ソース ガードをイネーブルまたはディセーブルに設定できます。デフォルトでは、すべてのインターフェイスに対して IP ソース ガードはディセーブル。
DHCP 機能および DHCP スヌーピングがイネーブルにされていることを確認します。
IPSG(ipsg)の ACL TCAM リージョン サイズが設定されていることを確認します。
1.
configure terminal
2.
interface ethernetslot/port
3.
[no] ip verify source dhcp-snooping-vlan
4.
(任意) show running-config dhcp
5.
(任意) copy running-config startup-config
デバイス上のスタティック IP ソース エントリの追加または削除を実行できます。デフォルトでは、固定 IP ソース エントリは作成されません。
1.
configure terminal
2.
[no] ip source bindingip-addressmac-addressvlanvlan-idinterfaceinterface-typeslot/port
3.
(任意) show ip dhcp snooping binding [interfaceinterface-type slot/port]
4.
(任意) copy running-config startup-config
あるポートに IP ソース ガードが設定されている場合、それを TCAM 内で許可する DHCP スヌーピング エントリがない限り、そのポートに着信するトラフィックはドロップされます。ただし、IP ソース ガードがトランク ポートに設定されていて特定の VLAN で着信するトラフィックではこのチェックを行いたくない場合(それらで DHCP スヌーピングがイネーブルにされていない場合であっても)、除外したい VLAN のリストを指定できます。
DHCP 機能および DHCP スヌーピングがイネーブルにされていることを確認します。
1.
configure terminal
2.
[no] ip dhcp snooping ipsg-excluded vlanvlan-list
3.
(任意) show ip ver source [ethernetslot/port | port-channelchannel-number]
4.
(任意) copy running-config startup-config
IP-MAC アドレス バインディングを表示させるには、show ip ver source[ethernetslot/port | port-channelchannel-number] コマンドを使用します。
コマンド |
目的 |
---|---|
clear access-list ipsg stats [instancenumber | modulenumber] |
IP ソース ガードの統計情報をクリアします。 |
スタティック IP ソース エントリを作成し、インターフェイスの IP ソース ガードをイネーブルにする例を示します。
ip source binding 10.5.22.17 001f.28bd.0013 vlan 100 interface ethernet 2/3 interface ethernet 2/3 no shutdown ip verify source dhcp-snooping-vlan show ip ver source IP source guard excluded vlans: ------------------------------------------------------ None ----------------------------------- IP source guard is enabled on the following interfaces: ------------------------------------------------------ ethernet2/3
関連項目 | マニュアル タイトル |
---|---|
ACL TCAM リージョン |
|
『DHCP and DHCP snooping』 |