IP ソース ガードの設定
この章では、Cisco NX-OS デバイスで IP ソース ガードを設定する手順について説明します。
この章は、次の項で構成されています。
機能情報の確認
ご使用のソフトウェア リリースで、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の警告および機能情報については、https://tools.cisco.com/bugsearch/ の Bug Search Tool およびご使用のソフトウェア リリースのリリース ノートを参照してください。このモジュールに記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「新機能および変更された機能に関する情報」の章または以下の「機能の履歴」表を参照してください。
IP ソース ガードの概要
IP ソース ガードは、インターフェイス単位のトラフィック フィルタです。各パケットの IP アドレスと MAC アドレスが、IP と MAC のアドレス バインディングのうち、次に示す 2 つの送信元のどちらかと一致する場合だけ、IP トラフィックを許可します。
信頼できる IP および MAC のアドレス バインディングのフィルタリングは、スプーフィング攻撃(有効なホストの IP アドレスを使用して不正なネットワーク アクセス権を取得する攻撃)の防止に役立ちます。IP ソース ガードを妨ぐためには、攻撃者は有効なホストの IP アドレスと MAC アドレスを両方スプーフィングする必要があります。
DHCP スヌーピングで信頼状態になっていないレイヤ 2 インターフェイスの IP ソース ガードをイネーブルにできます。IP ソース ガードは、アクセス モードとトランク モードで動作するように設定されているインターフェイスをサポートしています。IP ソース ガードを最初にイネーブルにすると、次のトラフィックを除いて、そのインターフェイス上のインバウンド IP トラフィックがすべてブロックされます。
デバイスが IP トラフィックを許可するのは、DHCP スヌーピングによって IP パケットの IP アドレスと MAC アドレスのバインディング テーブル エントリが追加された場合、またはユーザがスタティック IP ソース エントリを設定した場合です。
パケットの IP アドレスと MAC アドレスがバインディング テーブル エントリにも、スタティック IP ソース エントリにもない場合、その IP パケットはドロップされます。たとえば、show ip dhcp snooping binding コマンドによって、次のようなバインディング テーブル エントリが表示されるとします。
MacAddress IpAddress LeaseSec Type VLAN Interface
---------- ---------- --------- ------ ------- ---------
00:02:B3:3F:3B:99 10.5.5.2 6943 dhcp-snooping 10 Ethernet2/3
IP アドレスが 10.5.5.2 の IP パケットをデバイスが受信した場合、IP ソース ガードによってこのパケットが転送されるのは、このパケットの MAC アドレスが 00:02:B3:3F:3B:99 のときだけです。
IP ソース ガードのバーチャライゼーション サポート
仮想デバイス コンテキスト(VDC)で使用される IP ソース ガードには、次の事項が適用されます。
IP ソース ガードのライセンス要件
次の表に、IP ソース ガードのライセンス要件を示します。
製品
|
ライセンス要件
|
Cisco NX-OS
|
IP ソース ガードにはライセンスは必要ありません。ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。
|
IP ソース ガイドの注意事項と制約事項
IP ソース ガードに関する注意事項と制約事項は次のとおりです。
-
IP ソース ガードは、インターフェイス上の IP トラフィックを、IP-MAC アドレス バインディング テーブル エントリまたはスタティック IP ソース エントリに送信元が含まれているトラフィックだけに制限します。インターフェイス上の IP ソース ガードを初めてイネーブルにする際には、そのインターフェイス上のホストが DHCP サーバから新しい IP アドレスを受信するまで、IP トラフィックが中断されることがあります。
-
IP ソース ガードの機能は、DHCP スヌーピング(IP-MAC アドレス バインディング テーブルの構築および維持に関して)、またはスタティック IP ソース エントリの手動での維持に依存しています。
IP ソース ガードのデフォルト設定
次の表に、IP ソース ガードのパラメータのデフォルト設定を示します。
表 1 IP ソース ガードのパラメータのデフォルト値
パラメータ(Parameters)
|
デフォルト
|
IP ソース ガード
|
各インターフェイスでディセーブル
|
IP ソース エントリ
|
なし。デフォルトではスタティック IP ソース エントリはありません。デフォルトの IP ソース エントリもありません。
|
IP ソース ガードの設定
レイヤ 2 インターフェイスに対する IP ソース ガードのイネーブル化またはディセーブル化
レイヤ 2 インターフェイスに対して IP ソース ガードをイネーブルまたはディセーブルに設定できます。デフォルトでは、すべてのインターフェイスに対して IP ソース ガードはディセーブル。
はじめる前に
DHCP 機能がイネーブルになっていることを確認します。
手順の概要
1.
configure terminal
2.
interface ethernetslot/port
3.
[no] ip verify source dhcp-snooping-vlan
4.
(任意) show running-config dhcp
5.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configure terminal
例:
switch# configure terminal
switch(config)#
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 2 | interface ethernetslot/port
例:
switch(config)# interface ethernet 2/3
switch(config-if)#
|
指定したインターフェイスに対してインターフェイス コンフィギュレーション モードを開始します。
|
ステップ 3 | [no] ip verify source dhcp-snooping-vlan
例:
switch(config-if)# ip verify source dhcp-snooping vlan
|
インターフェイスの IP ソース ガードをイネーブルにします。no オプションを使用すると、そのインターフェイスの IP ソース ガードがディセーブルになります。
|
ステップ 4 | show running-config dhcp
例:
switch(config-if)# show running-config dhcp
| (任意)
IP ソース ガードの設定も含めて、DHCP スヌーピングの実行コンフィギュレーションを表示します。
|
ステップ 5 | copy running-config startup-config
例:
switch(config-if)# copy running-config startup-config
| (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
|
スタティック IP ソース エントリの追加または削除
デバイス上のスタティック IP ソース エントリの追加または削除を実行できます。デフォルトでは、デバイスにはスタティック IP ソース エントリは設定されていません。
手順の概要
1.
configure terminal
2.
[no] ip source binding IP-address MAC-address vlan vlan-ID interface ethernet slot/port
3.
(任意) show ip dhcp snooping binding [interface ethernetslot/port]
4.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configure terminal
例:
switch# configure terminal
switch(config)#
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 2 | [no] ip source binding IP-address MAC-address vlan vlan-ID interface ethernet slot/port
例:
switch(config)# ip source binding 10.5.22.17 001f.28bd.0013 vlan 100 interface ethernet 2/3
|
現在のインターフェイスのスタティック IP ソース エントリを作成します。スタティック IP ソース エントリを削除する場合は、no オプションを使用します。
|
ステップ 3 | show ip dhcp snooping binding [interface ethernetslot/port]
例:
switch(config)# show ip dhcp snooping binding interface ethernet 2/3
| (任意)
スタティック IP ソース エントリを含めて、指定したインターフェイスの IP-MAC アドレス バインディングを表示します。スタティック エントリは、Type カラムの表示で示されます。
|
ステップ 4 | copy running-config startup-config
例:
switch(config)# copy running-config startup-config
| (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
|
IP ソース ガード バインディングの表示
IP-MAC アドレス バインディングを表示するには、show ip verify source コマンドを使用します。
IP ソース ガードの設定例
スタティック IP ソース エントリを作成し、インターフェイスの IP ソース ガードをイネーブルにする例を示します。
ip source binding 10.5.22.17 001f.28bd.0013 vlan 100 interface ethernet 2/3
interface ethernet 2/3
no shutdown
ip verify source dhcp-snooping-vlan
IP ソース ガードに関する追加情報
関連資料
関連項目
|
マニュアル タイトル
|
IP ソース ガード コマンド:完全なコマンド構文、コマンド モード、コマンド履歴、デフォルト値、使用上の注意、例
|
『Cisco Nexus 7000 Series NX-OS Security Command Reference』
|
標準
標準
|
Title
|
この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。
|
—
|
IP ソース ガードの機能の履歴
次の表に、この機能のリリースの履歴を示します。
表 2 IP ソース ガードの機能の履歴
機能名
|
リリース
|
機能情報
|
IP ソース ガード
|
6.0(1)
|
Release 5.2 以降、変更はありません。
|
IP ソース ガード
|
5.2(1)
|
Release 5.1 以降、変更はありません。
|
IP ソース ガード
|
5.1(1)
|
Release 5.0 以降、変更はありません。
|
IP ソース ガード
|
5.0(2)
|
Release 4.2 以降、変更はありません。
|
IP ソース ガード
|
4.2(1)
|
リリース 4.1 からの変更はありません。
|