Sx500シリーズスタッカブルスイッチでのIP Source Guard Binding Databaseの設定

ダウンロード オプション

  • PDF     (476.8 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (394.5 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (288.8 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2018 年 12 月 11 日
Document ID:SMB3097

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

Sx500シリーズスタッカブルスイッチでのIP Source Guard Binding Databaseの設定

目的

IPソースガードは、ホストがネイバーホストのIPアドレスを使用しようとしたときに発生するトラフィック攻撃を防止するために使用できるセキュリティ機能です。IP Source Guardが有効な場合、スイッチはクライアントIPトラフィックをDHCPスヌーピングバインディングデータベースに含まれるIPアドレスにのみ送信します。ホストが送信するパケットがデータベース内のエントリと一致すると、スイッチはそのパケットを転送します。パケットがデータベース内のエントリと一致しない場合は、ドロップされます。

リアルタイムシナリオでは、IPソースガードを使用する1つの方法は、信頼できないサードパーティが本物のユーザになりすまそうとする中間者攻撃を防止することです。

注:IPソースガードが機能するには、DHCPスヌーピングを有効にする必要があります。DHCPスヌーピングを有効にする方法の詳細については、『Sx500シリーズスタッカブルスイッチでのDHCPスヌーピングバインディングデータベースの設定』を参照してください。また、許可するIPアドレスを指定するようにバインディングデータベースを設定する必要もあります。 

この記事では、Sx500シリーズスタッカブルスイッチでIPソースガードのバインディングデータベースを設定する方法について説明します。

該当するデバイス

・ Sx500シリーズスタッカブルスイッチ

[Software Version]

・ v1.2.7.76

IPソースガードバインディングデータベースの設定

バインディングデータベース

ステップ1:Web構成ユーティリティにログインし、[Security] > [IP Source Guard] > [Binding Database]を選択します。「バインド・データベース」ページが開きます。

ステップ2:[Insert Inactive(非アクティブの挿入)]フィールドの次のオプションから該当するエントリをクリックして、スイッチが非アクティブなエントリをアクティブにする頻度を選択します。DHCPスヌーピングバインディングデータベースは、Ternary Content Addressable Memory(TCAM)を使用してデータベースを維持します。

・ Retry Frequency:TCAMリソースがチェックされる頻度を指定します。デフォルト値は 60 です。

・ Never – 非アクティブなアドレスをアクティブにしません。

ステップ3:[Apply]をクリックして、実行コンフィギュレーションファイルを更新します。

バインドデータベースエントリの追加

ステップ1:Web設定ユーティリティにログインし、[IP Configuration] > [DHCP] > [DHCP Snooping Binding Database]の順に選択して、[DHCP Snooping Binding Database]ページを開きます。

ステップ2:[Add]をクリック、[Add DHCP Snooping Entry]ページにエントリを入力します。

ステップ3:[VLAN ID]フィールドで、パケットが想定されるドロップダウンリストからVLAN IDを選択します。

ステップ4:一致するMACアドレスを[MAC Address]フィールドに入力します。

ステップ5:[IP Address]フィールドに、一致するIPアドレスを入力します。

ステップ6:[Interface]ドロップダウンリストからインターフェイスを選択し、パケットが予想されるポートまたはLAGを表示するかどうかを示します。

ステップ7:タイプをクリックして、[Type]フィールドにエントリが[Dynamic]か[Static]かを表示します。

・動的:エントリのリース時間は制限されています。

・静的:エントリは静的に構成されています。

ステップ8:[Lease time]フィールドにリース時間を入力します。エントリが動的な場合は、エントリがアクティブのままになる時間を入力します。リース時間がない場合は、[無限]をクリックします

インターフェイスがアクティブでない理由が[Reason]フィールドに表示されます。理由は次のとおりです。

・問題なし:インターフェイスがアクティブです。

・ No Snoop VLAN — DHCPスヌーピングがVLANで有効になっていません。

・信頼できるポート:ポートは信頼できる。

・リソースの問題:TCAMリソースが消費されます。

ステップ9:エントリのサブセットを表示するには、バインディングデータベーステーブルに適切な検索条件を入力し、「Go」をクリックします。フィルタチェックボックスは、DHCPバインディングデータベーステーブルから特定のエントリを除外するために使用されます。 

ステップ10:(オプション)入力した値を削除し、新しい値を入力するには、「動的の消去」をクリックします

ステップ11:[Apply]をクリックし、実行構成ファイルを更新します。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ