Cisco Nexus 9000 Series NX-OS セキュリティ構成ガイド、リリース 10.3(x)

IP ソースガードについて

IP ソースガードは、インターフェイス単位のトラフィックフィルタです。各パケットの IP アドレスと MAC アドレスが、IP と MAC のアドレスバインディングのうち、次に示す 2 つの送信元のどちらかと一致する場合だけ、IP トラフィックを許可します。

Dynamic Host Configuration Protocol（DHCP）スヌーピングバインディングテーブル内のエントリ
設定したスタティック IP ソースエントリ

信頼できる IP および MAC のアドレスバインディングのフィルタリングは、スプーフィング攻撃（有効なホストの IP アドレスを使用して不正なネットワークアクセス権を取得する攻撃）の防止に役立ちます。IP ソースガードを妨ぐためには、攻撃者は有効なホストの IP アドレスと MAC アドレスを両方スプーフィングする必要があります。

DHCP スヌーピングで信頼状態になっていないレイヤ 2 インターフェイスの IP ソースガードをイネーブルにできます。IP ソースガードは、アクセスモードとトランクモードで動作するように設定されているインターフェイスをサポートしています。IP ソースガードを最初にイネーブルにすると、次のトラフィックを除いて、そのインターフェイス上のインバウンド IP トラフィックがすべてブロックされます。

DHCP パケット。DHCP パケットは、DHCP スヌーピングによって検査が実行され、その結果に応じて転送またはドロップされます。
Cisco NX-OS デバイスに設定したスタティック IP ソースエントリからの IP トラフィック。

デバイスが IP トラフィックを許可するのは、DHCP スヌーピングによって IP パケットの IP アドレスと MAC アドレスのバインディングテーブルエントリが追加された場合、またはユーザがスタティック IP ソースエントリを設定した場合です。

パケットの IP アドレスと MAC アドレスがバインディングテーブルエントリにも、スタティック IP ソースエントリにもない場合、その IP パケットはドロップされます。たとえば、show ip dhcp snooping binding コマンドによって表示されたバインディングテーブルエントリが次のとおりであるとします。


MacAddress         IpAddress    LeaseSec   Type           VLAN    Interface    
-----------------  ----------   ---------  -------------  ----    ---------  
00:02:B3:3F:3B:99  10.5.5.2     6943       dhcp-snooping  10      Ethernet2/3

IP アドレスが 10.5.5.2 の IP パケットをデバイスが受信した場合、IP ソースガードによってこのパケットが転送されるのは、このパケットの MAC アドレスが 00:02:B3:3F:3B:99 のときだけです。

IP ソースガードの前提条件

IP ソースガードの前提条件は次のとおりです。

IP ソースガードを設定するには、その前に DHCP 機能および DHCP スヌーピングをイネーブルにする必要があります。DHCP の設定を参照してください。

hardware access-list tcam region ipsg コマンドを使用して、IP ソースガード用の ACL TCAM のリージョンサイズを設定する必要があります。ACL TCAM リージョンサイズの設定を参照してください。

Note

デフォルトでは、ipsg のリージョンサイズはゼロです。SMAC-IP バインディングの保存と適用をするには、このリージョンに十分なエントリを割り当てる必要があります。

IP ソースガイドの注意事項と制約事項

IP ソースガードに関する注意事項と制約事項は次のとおりです。

IP ソースガードは、インターフェイス上の IP トラフィックを、IP-MAC アドレスバインディングテーブルエントリまたはスタティック IP ソースエントリに送信元が含まれているトラフィックだけに制限します。インターフェイス上の IP ソースガードを初めてイネーブルにする際には、そのインターフェイス上のホストが DHCP サーバから新しい IP アドレスを受信するまで、IP トラフィックが中断されることがあります。
IP ソースガードの機能は、DHCP スヌーピング（IP-MAC アドレスバインディングテーブルの構築および維持に関して）、またはスタティック IP ソースエントリの手動での維持に依存しています。
IPソースガードは、ファブリックエクステンダ（FEX）ポートまたは汎用拡張モジュール（GEM）ポートではサポートされていません。
次の注意事項と制約事項は Cisco Nexus 9200 シリーズスイッチに適用されます。
- 着信インターフェイスでIPSGがイネーブルになっている場合、IPv6隣接関係は形成されません。
- IPSGはHSRPスタンバイでARPパケットをドロップします。
- DHCPスヌーピングおよびIPSGをイネーブルにすると、ホストのバインディングエントリが存在する場合、トラフィックはARPがなくてもホストに転送されます。
Cisco NX-OS リリース 9.3(5) 以降、IP Source Guard は Cisco Nexus 9364C-GX、Cisco Nexus 9316D-GX、および Cisco Nexus 93600CD-GX スイッチでサポートされています。
IP ソースガードは、Cisco Nexus 9300-X クラウドスケールスイッチで TCAM カービングを必要としません。

IP ソースガードのデフォルト設定

次の表に、IP ソースガードのパラメータのデフォルト設定を示します。

Table 1. IP ソースガードのパラメータのデフォルト値
パラメータ	デフォルト
IP ソースガード	各インターフェイスでディセーブル
IP ソースエントリ	なし。デフォルトではスタティック IP ソースエントリはありません。デフォルトの IP ソースエントリもありません。

IP ソースガードの設定

レイヤ 2 インターフェイスに対する IP ソースガードの有効化または無効化

レイヤ 2 インターフェイスに対して IP ソースガードをイネーブルまたは無効に設定できます。デフォルトでは、すべてのインターフェイスに対して IP ソースガードは無効です。

Before you begin

DHCP 機能と DHCP スヌーピングが有効になっていることを確認します。

IPSG（ipsg）のACL TCAMリージョンサイズが設定されていることを確認します。

Procedure

	Command or Action	Purpose
Step 1	configure terminal Example: `switch# configure terminal switch(config)#`	グローバル設定モードを開始します。
Step 2	interface ethernet `slot`/`port` Example: `switch(config)# interface ethernet 2/3 switch(config-if)#`	指定したインターフェイスに対してインターフェイスコンフィギュレーションモードを開始します。
Step 3	[no] ip verify source dhcp-snooping-vlan Example: `switch(config-if)# ip verify source dhcp-snooping vlan`	インターフェイスの IP ソースガードを有効にします。このコマンドの no 形式を使用すると、そのインターフェイスの IP ソースガードが無効になります。
Step 4	(Optional) show running-config dhcp Example: `switch(config-if)# show running-config dhcp`	(Optional) IP ソースガードの設定も含めて、DHCP スヌーピングの実行コンフィギュレーションを表示します。
Step 5	(Optional) copy running-config startup-config Example: `switch(config-if)# copy running-config startup-config`	(Optional) 実行コンフィギュレーションを、スタートアップコンフィギュレーションにコピーします。

スタティック IP ソースエントリの追加または削除

デバイス上のスタティック IP ソースエントリの追加または削除を実行できます。デフォルトでは、固定 IP ソースエントリは作成されません。

Procedure

	Command or Action	Purpose
Step 1	configure terminal Example: `switch# configure terminal switch(config)#`	グローバルコンフィギュレーションモードを開始します
Step 2	[no] ip source binding `ip-address` `mac-address` vlan `vlan-id` interface `interface-type` `slot`/`port` Example: `switch(config)# ip source binding 10.5.22.17 001f.28bd.0013 vlan 100 interface ethernet 2/3`	現在のインターフェイスのスタティック IP ソースエントリを作成します。スタティック IP ソースエントリを削除するには、このコマンドの no 形式を使用します。
Step 3	(Optional) show ip dhcp snooping binding [interface `interface-type slot`/`port`] Example: `switch(config)# show ip dhcp snooping binding interface ethernet 2/3`	(Optional) スタティック IP ソースエントリを含めて、指定したインターフェイスの IP-MAC アドレスバインディングを表示します。スタティックエントリは、Type カラムの表示で示されます。
Step 4	(Optional) copy running-config startup-config Example: `switch(config)# copy running-config startup-config`	(Optional) 実行コンフィギュレーションを、スタートアップコンフィギュレーションにコピーします。

トランクポート用 IP ソースガードの設定

IPソースガードがポートに設定されている場合、そのポートに着信するトラフィックは、TCAMで許可するDHCPスヌーピングエントリがない限りドロップされます。ただし、トランクポートでIPソースガードが設定されており、特定のVLANで着信するトラフィックにこのチェックを行わせない場合（DHCPスヌーピングが有効になっていない場合でも）、除外するVLANのリストを指定できます。

始める前に

DHCP 機能と DHCP スヌーピングが有効になっていることを確認します。

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `switch# configure terminal switch(config)#`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	[no] ip dhcp snooping ipsg-excluded vlan `vlan-list` 例: `switch(config)# ip dhcp snooping ipsg-excluded vlan 1001-1256,3097`	トランクポート上のIPソースガードのDHCPスヌーピングチェックから除外するVLANのリストを指定します。
ステップ 3	（任意） show ip ver source [ethernet `slot/port` \| port-channel `channel-number`] 例: `switch(config)# show ip ver source`	（任意）除外されるVLANを表示します。
ステップ 4	（任意） copy running-config startup-config 例: `switch(config)# copy running-config startup-config`	（任意）実行コンフィギュレーションを、スタートアップコンフィギュレーションにコピーします。

IP ソースガードバインディングの表示

show ip ver source [ethernet slot/port | port-channel channel-number] を使用しますコマンドを使用して、IP-MAC アドレスのバインディングを表示します。

IP ソースガードの統計情報のクリア

IP ソースガード統計情報をクリアするには、次の表に示すコマンドを使用します。


コマンド	目的
clear access-list ipsg stats [instance `number` \| module `number`]	IPソースガード統計情報をクリアします。

IP ソースガードの設定例

スタティック IP ソースエントリを作成し、インターフェイスの IP ソースガードをイネーブルにする例を示します。

ip source binding 10.5.22.17 001f.28bd.0013 vlan 100 interface ethernet 2/3 
interface ethernet 2/3
  no shutdown
  ip verify source dhcp-snooping-vlan
  show ip ver source

  IP source guard excluded vlans:
  ------------------------------------------------------ 
  None

  -----------------------------------
  IP source guard is enabled on the following interfaces:
  ------------------------------------------------------ 
        ethernet2/3

関連項目	マニュアルタイトル
ACL TCAM リージョン	IP ACL の設定
『DHCP and DHCP snooping』	DHCP の設定

偏向のない言語

翻訳について

検索結果

章のタイトル： IP ソース ガードの設定

IP ソース ガードの設定

IP ソース ガードについて

IP ソース ガードの前提条件

IP ソース ガイドの注意事項と制約事項

IP ソース ガードのデフォルト設定

IP ソース ガードの設定

レイヤ 2 インターフェイスに対する IP ソース ガードの有効化または無効化

Before you begin

Procedure

Example:

Example:

Example:

Example:

Example:

スタティック IP ソース エントリの追加または削除

Procedure

Example:

Example:

Example:

Example:

トランク ポート用 IP ソース ガードの設定

始める前に

手順

例:

例:

例:

例:

IP ソース ガード バインディングの表示

IP ソース ガードの統計情報のクリア

IP ソース ガードの設定例

その他の参考資料

関連資料

このドキュメントは役に立ちましたか?

シスコに問い合わせ

章のタイトル： IP ソースガードの設定

IP ソースガードの設定

IP ソースガードについて

IP ソースガードの前提条件

IP ソースガイドの注意事項と制約事項

IP ソースガードのデフォルト設定

IP ソースガードの設定

レイヤ 2 インターフェイスに対する IP ソースガードの有効化または無効化

スタティック IP ソースエントリの追加または削除

トランクポート用 IP ソースガードの設定

IP ソースガードバインディングの表示

IP ソースガードの統計情報のクリア

IP ソースガードの設定例