- はじめに
- 新機能および変更された機能に関する情報
- 概要
- FIPS の設定
- AAA の設定
- RADIUS の設定
- 「Configuring TACACS+」
- LDAP の設定
- SSH および Telnet の設定
- PKI の設定
- ユーザ アカウントおよび RBAC の設定
- 802.1X の設定
- NAC の設定
- Cisco TrustSec の設定
- IP ACL の設定
- MAC ACL の設定
- VLAN ACL の設定
- ポート セキュリティの設定
- DHCP の設定
- ダイナミック ARP インスペクションの設定
- IP ソース ガードの設定
- パスワード暗号化の設定
- キーチェーン管理の設定
- トラフィック ストーム制御の設定
- ユニキャスト RPF の設定
- コントロール プレーン ポリシングの設定
- レート制限の設定
Cisco Nexus 7000 シリーズ NX-OS セキュリティ コンフィグレーション ガイド、リリース 6.x
- Updated:
- 2017年6月12日
章のタイトル: IP ソース ガードの設定
IP ソース ガードの設定
この章では、Cisco NX-OS デバイスで IP ソース ガードを設定する手順について説明します。
この章は、次の項で構成されています。
- 機能情報の確認
- IP ソース ガードの概要
- IP ソース ガードのライセンス要件
- IP ソース ガードの前提条件
- IP ソース ガイドの注意事項と制約事項
- IP ソース ガードのデフォルト設定
- IP ソース ガードの設定
- IP ソース ガード バインディングの表示
- IP ソース ガードの設定例
- IP ソース ガードに関する追加情報
- IP ソース ガードの機能の履歴
機能情報の確認
ご使用のソフトウェア リリースで、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の警告および機能情報については、https://tools.cisco.com/bugsearch/ の Bug Search Tool およびご使用のソフトウェア リリースのリリース ノートを参照してください。このモジュールに記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「新機能および変更された機能に関する情報」の章または以下の「機能の履歴」表を参照してください。
IP ソース ガードの概要
IP ソース ガードは、インターフェイス単位のトラフィック フィルタです。各パケットの IP アドレスと MAC アドレスが、IP と MAC のアドレス バインディングのうち、次に示す 2 つの送信元のどちらかと一致する場合だけ、IP トラフィックを許可します。
信頼できる IP および MAC のアドレス バインディングのフィルタリングは、スプーフィング攻撃(有効なホストの IP アドレスを使用して不正なネットワーク アクセス権を取得する攻撃)の防止に役立ちます。IP ソース ガードを妨ぐためには、攻撃者は有効なホストの IP アドレスと MAC アドレスを両方スプーフィングする必要があります。
DHCP スヌーピングで信頼状態になっていないレイヤ 2 インターフェイスの IP ソース ガードをイネーブルにできます。IP ソース ガードは、アクセス モードとトランク モードで動作するように設定されているインターフェイスをサポートしています。IP ソース ガードを最初にイネーブルにすると、次のトラフィックを除いて、そのインターフェイス上のインバウンド IP トラフィックがすべてブロックされます。
-
DHCP パケット。DHCP パケットは、DHCP スヌーピングによって検査が実行され、その結果に応じて転送またはドロップされます。
-
Cisco NX-OS デバイスに設定したスタティック IP ソース エントリからの IP トラフィック。
デバイスが IP トラフィックを許可するのは、DHCP スヌーピングによって IP パケットの IP アドレスと MAC アドレスのバインディング テーブル エントリが追加された場合、またはユーザがスタティック IP ソース エントリを設定した場合です。
パケットの IP アドレスと MAC アドレスがバインディング テーブル エントリにも、スタティック IP ソース エントリにもない場合、その IP パケットはドロップされます。たとえば、show ip dhcp snooping binding コマンドによって、次のようなバインディング テーブル エントリが表示されるとします。
MacAddress IpAddress LeaseSec Type VLAN Interface ---------- ---------- --------- ------ ------- --------- 00:02:B3:3F:3B:99 10.5.5.2 6943 dhcp-snooping 10 Ethernet2/3
IP アドレスが 10.5.5.2 の IP パケットをデバイスが受信した場合、IP ソース ガードによってこのパケットが転送されるのは、このパケットの MAC アドレスが 00:02:B3:3F:3B:99 のときだけです。
IP ソース ガードのバーチャライゼーション サポート
仮想デバイス コンテキスト(VDC)で使用される IP ソース ガードには、次の事項が適用されます。
IP ソース ガードのライセンス要件
|
製品 |
ライセンス要件 |
|---|---|
|
Cisco NX-OS |
IP ソース ガードにはライセンスは必要ありません。ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。 |
IP ソース ガードの前提条件
IP ソース ガードの前提条件は次のとおりです。
IP ソース ガイドの注意事項と制約事項
IP ソース ガードに関する注意事項と制約事項は次のとおりです。
-
IP ソース ガードは、インターフェイス上の IP トラフィックを、IP-MAC アドレス バインディング テーブル エントリまたはスタティック IP ソース エントリに送信元が含まれているトラフィックだけに制限します。インターフェイス上の IP ソース ガードを初めてイネーブルにする際には、そのインターフェイス上のホストが DHCP サーバから新しい IP アドレスを受信するまで、IP トラフィックが中断されることがあります。
-
IP ソース ガードの機能は、DHCP スヌーピング(IP-MAC アドレス バインディング テーブルの構築および維持に関して)、またはスタティック IP ソース エントリの手動での維持に依存しています。
IP ソース ガードのデフォルト設定
|
パラメータ(Parameters) |
デフォルト |
|---|---|
|
IP ソース ガード |
各インターフェイスでディセーブル |
|
IP ソース エントリ |
なし。デフォルトではスタティック IP ソース エントリはありません。デフォルトの IP ソース エントリもありません。 |
IP ソース ガードの設定
レイヤ 2 インターフェイスに対する IP ソース ガードのイネーブル化またはディセーブル化
レイヤ 2 インターフェイスに対して IP ソース ガードをイネーブルまたはディセーブルに設定できます。デフォルトでは、すべてのインターフェイスに対して IP ソース ガードはディセーブル。
DHCP 機能がイネーブルになっていることを確認します。
1.
configure terminal
2.
interface ethernetslot/port
3.
[no] ip verify source dhcp-snooping-vlan
4.
(任意) show running-config dhcp
5.
(任意) copy running-config startup-config
手順の詳細
スタティック IP ソース エントリの追加または削除
デバイス上のスタティック IP ソース エントリの追加または削除を実行できます。デフォルトでは、デバイスにはスタティック IP ソース エントリは設定されていません。
1.
configure terminal
2.
[no] ip source binding IP-address MAC-address vlan vlan-ID interface ethernet slot/port
3.
(任意) show ip dhcp snooping binding [interface ethernetslot/port]
4.
(任意) copy running-config startup-config
手順の詳細
IP ソース ガード バインディングの表示
IP-MAC アドレス バインディングを表示するには、show ip verify source コマンドを使用します。
IP ソース ガードの設定例
スタティック IP ソース エントリを作成し、インターフェイスの IP ソース ガードをイネーブルにする例を示します。
ip source binding 10.5.22.17 001f.28bd.0013 vlan 100 interface ethernet 2/3 interface ethernet 2/3 no shutdown ip verify source dhcp-snooping-vlan
IP ソース ガードに関する追加情報
関連資料
|
関連項目 |
マニュアル タイトル |
|---|---|
|
IP ソース ガード コマンド:完全なコマンド構文、コマンド モード、コマンド履歴、デフォルト値、使用上の注意、例 |
『Cisco Nexus 7000 Series NX-OS Security Command Reference』 |
標準
|
標準 |
Title |
|---|---|
|
この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。 |
— |
IP ソース ガードの機能の履歴
|
機能名 |
リリース |
機能情報 |
|---|---|---|
|
IP ソース ガード |
6.0(1) |
Release 5.2 以降、変更はありません。 |
|
IP ソース ガード |
5.2(1) |
Release 5.1 以降、変更はありません。 |
|
IP ソース ガード |
5.1(1) |
Release 5.0 以降、変更はありません。 |
|
IP ソース ガード |
5.0(2) |
Release 4.2 以降、変更はありません。 |
|
IP ソース ガード |
4.2(1) |
リリース 4.1 からの変更はありません。 |
フィードバック