Cisco Nexus 1000V セキュリティ コンフィギュレーション ガイド リリース 4.2(1)SV1(5.1)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月2日
章のタイトル: IP ソース ガードの設定
IP ソース ガードの設定
IP ソース ガードの概要
IP ソース ガードとは、インターフェイス単位のトラフィック フィルタです。各パケットの IP アドレスと MAC アドレスが、Dynamic Host Configuration Protocol(DHCP)スヌーピング バインディング テーブル内のダイナミックまたはスタティック IP ソース エントリの IP-MAC アドレス バインディングと一致する場合にのみ、IP トラフィックを許可します。
DHCP スヌーピングで信頼状態になっていないレイヤ 2 インターフェイスの IP ソース ガードをイネーブルにできます。IP ソース ガードは、アクセス モードとトランク モードで動作するように設定されているインターフェイスをサポートしています。IP ソース ガードを最初にイネーブルにすると、次のトラフィックを除いて、そのインターフェイス上のインバウンド IP トラフィックがすべてブロックされます。
•
DHCP パケット。DHCP パケットは、DHCP スヌーピングによって検査が実行され、その結果に応じて転送またはドロップされます。
• Cisco Nexus 1000V 内で設定済みのスタティック IP ソース エントリからの IP トラフィック。
デバイスが IP トラフィックを許可するのは、DHCP スヌーピングによって IP パケットの IP アドレスと MAC アドレスのバインディング テーブル エントリが追加された場合、またはユーザがスタティック IP ソース エントリを設定した場合です。
パケットの IP アドレスと MAC アドレスがバインディング テーブル エントリにも、スタティック IP ソース エントリにもない場合、その IP パケットはドロップされます。たとえば、 show ip dhcp snooping binding コマンドによって表示されたバインディング テーブル エントリが次のとおりであるとします。
IP アドレスが 10.5.5.2 の IP パケットをデバイスが受信した場合、IP ソース ガードによってこのパケットが転送されるのは、このパケットの MAC アドレスが 00:02:B3:3F:3B:99 のときだけです。
IP ソース ガードの前提条件
• IP ソース ガードを設定するためには、DHCP スヌーピングについての知識が必要です。
• DHCP スヌーピングがイネーブルになっている必要があります(「DHCP スヌーピングの設定」を参照)。
注意事項および制約事項
IP ソース ガードに関する注意事項と制約事項は次のとおりです。
• IP ソース ガードは、インターフェイス上の IP トラフィックを、IP-MAC アドレス バインディング テーブル エントリまたはスタティック IP ソース エントリに送信元が含まれているトラフィックだけに制限します。インターフェイス上の IP ソース ガードを初めてイネーブルにする際には、そのインターフェイス上のホストが DHCP サーバから新しい IP アドレスを受信するまで、IP トラフィックが中断されることがあります。
• IP ソース ガードの機能は、DHCP スヌーピング(IP-MAC アドレス バインディング テーブルの構築および維持に関して)、またはスタティック IP ソース エントリの手動での維持に依存しています。DHCP スヌーピングの詳細については、「DHCP スヌーピングの設定」を参照してください。
• IP ソース ガードをシームレスにするために、仮想サービス ドメイン(VSD)サービス VM ポートは、デフォルトで信頼できるポートとなっています。これらのポートを「信頼できない」と設定しても、その設定は無視されます。
デフォルト設定
表 14-1 に、IP ソース ガードのデフォルトを示します。
|
|
|
|---|---|
なし。デフォルトではスタティック IP ソース エントリはありません。デフォルトの IP ソース エントリもありません。 |
IP ソース ガードの設定
• 「レイヤ 2 インターフェイスに対する IP ソース ガードのイネーブル化またはディセーブル化」
• 「スタティック IP ソース エントリの追加または削除」
レイヤ 2 インターフェイスに対する IP ソース ガードのイネーブル化またはディセーブル化
ここでは、レイヤ 2 インターフェイスに対して IP ソース ガードをイネーブルまたはディセーブルにする手順を説明します。
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• デフォルトでは、すべてのインターフェイスに対して IP ソース ガードはディセーブル。
• DHCP スヌーピングがイネーブルになっていることを確認してください。詳細については、「DHCP 機能のイネーブル化またはディセーブル化」を参照してください。
手順の概要
2. interface vethernet interface-number
手順の詳細
スタティック IP ソース エントリの追加または削除
はじめる前に
手順の概要
2. [ no ] ip source binding IP-address MAC-address vlan vlan-ID interface vethernet interface-number
3. show ip dhcp snooping binding [interface vethernet interface-number ]
手順の詳細
IP ソース ガードの設定の確認
IP ソース ガードの設定情報を表示するには、次のいずれかのコマンドを使用します。
|
|
|
|---|---|
コマンド出力の詳しい説明については、『 Cisco Nexus 1000V Command Reference, Release 4.2(1)SV1(5.1) 』を参照してください。
IP ソース ガード バインディングの表示
IP-MAC アドレス バインディングを表示するには、 show ip verify source コマンドを使用します。
IP ソース ガードの設定例
スタティック IP ソース エントリを作成してから、インターフェイスの IP ソース ガードをイネーブルにする例を示します。
その他の関連資料
IP ソース ガードの実装に関する詳細情報については、次を参照してください。
• 「関連資料」
• 「標準」
関連資料
|
|
|
|---|---|
『Cisco Nexus 1000V セキュリティ コンフィギュレーション ガイド リリース 4.2(1)SV1(5.1) 』 、「DHCP スヌーピングの設定」 |
|
『Cisco Nexus 1000V Command Reference, Release 4.2(1)SV1(5.1) 』 |
|
『Cisco Nexus 1000V Command Reference, Release 4.2(1)SV1(5.1) 』 |
標準
|
|
|
|---|---|
IP ソース ガードの機能の履歴
表 14-2 は、この機能のリリースの履歴です。
|
|
|
|
|---|---|---|
フィードバック