- はじめに
- 製品概要
- コマンドライン インターフェイス
- スイッチの初期設定
- スイッチの管理
- Cisco IOS インサービス ソフトウェア アップ グレード プロセスの設定
- インターフェイスの設定
- ポートのステータスと接続の確認
- RPR および SSO を使用したスーパーバイザ エンジンの冗長構成の設定
- Cisco NSF/SSO スーパーバイザ エンジンの 冗長構成の設定
- 環境モニタリングおよび電源管理
- Power over Ethernet の設定
- Cisco Network Assistant による Catalyst 4500 シリーズ スイッチの設定
- VLAN、VTP、および VMPS の設定
- IP アンナンバード インターフェイスの設定
- レイヤ 2 イーサネット インターフェイスの設定
- SmartPort マクロの設定
- STP および MST の設定
- 任意の STP 機能の設定
- EtherChannel の設定
- IGMP スヌーピングとフィルタリングの設定
- 802.1Q およびレイヤ 2 プロトコル トンネリ ングの設定
- CDP の設定
- UDLD の設定
- 単一方向イーサネットの設定
- レイヤ 3 インターフェイスの設定
- シスコ エクスプレス フォワーディングの設定
- IP マルチキャストの設定
- ポリシーベース ルーティングの設定
- VRF-Lite の設定
- Quality of Service の設定
- 音声インターフェイスの設定
- 802.1X ポートベース認証の設定
- ポート セキュリティの設定
- コントロール プレーン ポリシングの設定
- DHCP スヌーピング、IP ソース ガード、およ びスタティック ホストの IPSG の設定
- ダイナミック ARP インスペクションの設定
- ACL によるネットワーク セキュリティの設定
- プライベート VLAN の設定
- ポート ユニキャストおよびマルチキャスト フ ラッディング ブロック
- ストーム制御の設定
- SPAN と RSPAN の設定
- システム メッセージ ロギングの設定
- SNMP の設定
- NetFlow の設定
- RMON の設定
- 診断の実行
- WCCP バージョン 2 サービスの設定
- MIB サポートの設定
- ROM モニタ
- 略語および省略形
- 索引
Catalyst 4500 シリーズ スイッチ Cisco IOS ソフト ウェア コンフィギュレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月20日
章のタイトル: DHCP スヌーピング、IP ソース ガード、およ びスタティック ホストの IPSG の設定
DHCP スヌーピング、IP ソース ガード、およびスタティック ホストの IPSG の設定
この章では、Catalyst 4500 シリーズ スイッチ上で Dynamic Host Configuration Protocol(DHCP)スヌーピングと IP ソース ガード、およびスタティック ホストの IPSG を設定する手順について説明します。設定上の注意事項、設定手順、および設定例も示します。
(注) この章で使用するスイッチ コマンドの構文および使用方法の詳細については、『Catalyst 4500 Series Switch Cisco IOS Command Reference』および次の URL の関連マニュアルを参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios124/124cr/index.htm
DHCP スヌーピングの概要
DHCP スヌーピングは、信頼できない DHCP メッセージをフィルタリングし、DHCP スヌーピング バインディング テーブルを構築およびメンテナンスすることで安全性を持たせる DHCP セキュリティ機能です。信頼できないメッセージとは、ネットワークまたはファイアウォール外部からの受信メッセージのうち、ネットワーク内でトラフィック攻撃を引き起こす可能性のあるメッセージです。
DHCP スヌーピング バインディング テーブルには、MAC アドレス、IP アドレス、リース期間、バインディング タイプ、VLAN 番号、およびスイッチの信頼できないローカル インターフェイスに対応するインターフェイス情報が格納されます。信頼できるインターフェイスに相互接続するホストに関する情報は収められていません。信頼できないインターフェイスとは、ネットワークまたはファイアウォール外部からのメッセージを受信するように設定されたインターフェイスです。信頼できるインターフェイスとは、ネットワーク内からのメッセージだけを受信するように設定されたインターフェイスです。
DHCP スヌーピングは、信頼できないホストと DHCP サーバ間でファイアウォールのように機能します。また、DHCP スヌーピングはエンドユーザに接続する信頼できないインターフェイスと、DHCP サーバまたは別のスイッチに接続する信頼できるインターフェイスとを区別する方法を提供します。
(注) VLAN 上で DHCP スヌーピングをイネーブルにするには、スイッチ上で DHCP スヌーピングをイネーブルにする必要があります。
DHCP スヌーピングはスイッチと VLAN に対して設定できます。スイッチ上で DHCP スヌーピングをイネーブルにする場合、インターフェイスはレイヤ 2 ブリッジとして動作し、レイヤ 2 VLAN に送信される DHCP メッセージを代行受信および保護します。VLAN 上で DHCP スヌーピングをイネーブルにする場合、スイッチは VLAN ドメイン内のレイヤ 2 ブリッジとして動作します。
信頼送信元と信頼できない送信元
DHCP スヌーピング機能は、トラフィックの送信元が信頼できるかまたは信頼できないかを判別します。信頼できない送信元は、トラフィック攻撃または他の敵対的アクションを起こすことがあります。これらの攻撃を回避するために、DHCP スヌーピング機能は、信頼できない送信元からのメッセージおよびレート制限トラフィックをフィルタします。
エンタープライズ ネットワークでは、管理制御下のデバイスは信頼できる送信元です。これらのデバイスには、使用ネットワークのスイッチ、ルータ、およびサーバが含まれます。ファイアウォール外またはネットワーク外のデバイスは、信頼できない送信元です。一般的に、ホスト ポートは信頼できない送信元として扱われます。
サービス プロバイダー環境では、サービス プロバイダー ネットワーク内にないデバイス(カスタマーのスイッチなど)は、信頼できない送信元です。ホスト ポートは、信頼できない送信元です。
Catalyst 4500 シリーズ スイッチでは、接続しているインターフェイスの信頼状態を設定して、送信元が信頼できることを示します。
すべてのインターフェイスのデフォルトは、信頼できない状態です。DHCP サーバ インターフェイスは、信頼できる送信元として設定する必要があります。また、ネットワーク内のデバイス(スイッチまたはルータなど)に接続している場合、他のインターフェイスも信頼できる送信元として設定できます。通常は、ホスト ポート インターフェイスは信頼できる送信元としては設定しません。
(注) DHCP スヌーピングが正常に機能するには、すべての DHCP サーバを信頼できるインターフェイスを介してスイッチに接続し、信頼できない DHCP メッセージが信頼できるインターフェイスにだけ転送されるようにする必要があります。
DHCP スヌーピング データベース エージェントの概要
スイッチのリロード時にバインディングが失われないようにするには、DHCP スヌーピング データベース エージェントを使用する必要があります。このエージェントがないと、DHCP スヌーピングによって確立されたバインディングがスイッチのリロード時に失われます。接続も同様に失われます。
データベース エージェントのメカニズムでは、設定されたロケーションのファイルにバインディングを格納します。リロード時に、スイッチはファイルを読み取り、バインディングのデータベースを作成します。スイッチは、データベースが変更されるとファイルを書き込み、ファイルを最新の状態に保ちます。
ファイルの各エントリは、ファイルが読み取られるたびにエントリの確認に使用されるチェックサムでタグ付けされています。最初の行の <initial-checksum> エントリは、以前の書き込みに関連付けられたエントリと最新の書き込みに関連付けられたエントリを区別するのに役立ちます。
各エントリには、IP アドレス、VLAN、MAC アドレス、リース期間(16 進法)、およびバインディングに関連付けられたインターフェイスが含まれます。各エントリの最後には、ファイルの開始からエントリに関連付けられたすべてのバイトの合計を計上するチェックサムがあります。各エントリは、72 バイトのデータで構成され、スペースおよびチェックサムがあとに続きます。
起動時に、算出されたチェックサムが格納されたチェックサムに合致すると、スイッチはファイルからエントリを読み取り、バインディングを DHCP スヌーピング データベースに追加します。算出されたチェックサムが格納されたチェックサムに合致しない場合、ファイルから読み取られたエントリが無視され、失敗したエントリに続くすべてのエントリも無視されます。また、スイッチは、リース時間が期限切れになったファイルのすべてのエントリを無視します (この状況が可能なのは、リース時間が期限切れになった時間を示す場合があるからです)。また、エントリ内で指定されたインターフェイスがシステムに存在しなくなっている場合、またはインターフェイスがルータ ポート、または DHCP スヌーピングで信頼されたインターフェイスである場合、ファイルのエントリが無視されます。
スイッチが新しいバインディングを学習した場合、または一部のバインディングを失った場合、スイッチはスヌーピング データベースから修正した一連のエントリをファイルに書き込みます。書き込みでは、実際の書き込みが行われるまで、バッチに対して設定可能な遅延時間内で、可能なかぎり多くの変更を行うことができます。各転送に関連付けられるのは、完了しない場合に、その後転送が中断されるタイムアウトです。これらのタイマーは、書き込み遅延および中断タイムアウトと呼ばれます。
スイッチ上での DHCP スヌーピングの設定
スイッチ上で DHCP スヌーピングを設定する場合、信頼できるインターフェイスと信頼できないインターフェイスを区別できるようにスイッチを設定します。VLAN で DHCP スヌーピングを使用する前に、DHCP スヌーピングをグローバルにイネーブルにする必要があります。他の DHCP 機能から切り離して DHCP スヌーピングをイネーブルにできます。
DHCP スヌーピングをイネーブルにしたあと、すべての DHCP リレー情報オプション コンフィギュレーション コマンドはディセーブルになります。次のコマンドがあります。
•
ip dhcp relay information check
• ip dhcp relay information policy
• ip dhcp relay information trusted
• ip dhcp relay information trust-all
ここでは、DHCP スヌーピングを設定する手順について説明します。
• 「プライベート VLAN 上での DHCP スヌーピングのイネーブル化」
• 「DHCP スヌーピング データベース エージェントのイネーブル化」
(注) DHCP サーバの設定については、次の URL の『Cisco IOS IP and IP Routing Configuration Guide』の「Configuring DHCP」を参照してください。
http://www.cisco.com/en/US/docs/ios/12_1/iproute/configuration/guide/1cddhcp.html
DHCP スヌーピングのデフォルト設定
DHCP スヌーピングはデフォルトではディセーブルです。 表 35-1 に DHCP スヌーピングの各オプションのデフォルト設定値を示します。
|
|
|
|---|---|
デフォルト設定値を変更する場合は、「DHCP スヌーピングのイネーブル化」を参照してください。
DHCP スヌーピングのイネーブル化
(注) DHCP スヌーピングがグローバルにイネーブルに設定されている場合、ポートが設定されるまで DHCP 要求がドロップされます。そのため、作成時ではなく、メンテナンス ウィンドウの間に、この機能を設定する必要がある場合があります。
DHCP スヌーピングをイネーブルにするには、次の作業を行います。
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
インターフェイスの信頼性を trusted または untrusted に設定します。 信頼できないクライアントからのメッセージを受信するようにインターフェイスを設定する場合は、 no キーワードを使用します。 |
|
|
|
インターフェイスが受信できる 1 秒あたりの DHCP パケット数(pps)を設定します。1 |
|
|
|
||
|
|
DHCP スヌーピングは、単一の VLAN または複数の VLAN に設定できます。単一の VLAN を設定するには、VLAN 番号を 1 つ入力します。VLAN の範囲を設定するには、最初と最後の VLAN 番号、またはダッシュと VLAN 範囲を入力します。
次に、VLAN 10 ~ 100 の VLAN で DHCP スヌーピングをイネーブルにする例を示します。
次の設定では、ルーティングが別の Catalyst スイッチ(たとえば、Catalyst 6500 シリーズ スイッチ)で定義された場合の DHCP スヌーピング設定手順について説明しています。
(注) アップリンク ギガビット インターフェイスでトランキングがイネーブルであり、Catalyst 6500 シリーズ スイッチに上記ルーティング設定が定義されている場合は、Option 82 を追加する(Catalyst 4500 シリーズ スイッチ上の)ダウンストリーム DHCP スヌーピングとの「信頼」関係を設定する必要があります。Catalyst 6500 シリーズ スイッチでこの作業を実行するには、ip dhcp relay information trusted VLAN コンフィギュレーション コマンドを使用します。
集約スイッチ上での DHCP スヌーピングの設定
集約スイッチ上で DHCP スヌーピングをイネーブルにするには、信頼できないスヌーピング ポートとしてダウンストリーム スイッチに接続するインターフェイスを設定します。ダウンストリーム スイッチ(または集約スイッチと DHCP クライアント間のパスにある DSLAM などのデバイス)が、DHCP パケットに DHCP Option 82 情報を追加すると、信頼できないスヌーピング ポート上に着信した DHCP パケットはドロップされます。ip dhcp snooping information option allow-untrusted グローバル コンフィギュレーション コマンドが設定された集約スイッチは、任意の信頼できないスヌーピング ポートからの Option 82 情報を持つ DHCP 要求を受け入れることができます。
プライベート VLAN 上での DHCP スヌーピングのイネーブル化
DHCP スヌーピングをプライベート VLAN でイネーブルにして、同一 VLAN 内のレイヤ 2 ポートを分離できます。DHCP スヌーピングがイネーブル(ディセーブル)の場合、設定はプライマリ VLAN および関連付けられたセカンダリ VLAN の両方に伝播します。この設定変更をセカンダリ VLAN に反映させずに、プライマリ VLAN の DHCP スヌーピングをイネーブル(ディセーブル)にすることはできません。
セカンダリ VLAN で DHCP スヌーピングを設定することは可能ですが、関連付けられたプライマリ VLAN で DHCP スヌーピングを設定しないと有効になりません。関連付けられたプライマリ VLAN が設定されている場合、対応するプライマリ VLAN によってセカンダリ VLAN の DHCP スヌーピング モードが有効になります。セカンダリ VLAN で DHCP スヌーピングを手動で設定すると、スイッチで次の警告メッセージが発行されます。
show ip dhcp snooping コマンドは、DHCP スヌーピングがイネーブルのすべての VLAN(プライマリおよびセカンダリの両方)を表示します。
DHCP スヌーピング データベース エージェントのイネーブル化
データベース エージェントを設定するには、次の作業を 1 つまたは複数行います。
(注) NVRAM およびブートフラッシュの保存容量は制限されているので、TFTP またはネットワークベースのファイルを使用してください。フラッシュにデータベース ファイルを保存する場合は、エージェントによって新しく更新されると新しいファイルが作成されます(フラッシュがすぐにいっぱいになります)。さらに、フラッシュで使用するファイルシステムの性質上、ファイル数が多いとアクセスが遅くなります。TFTP からアクセス可能なリモート ロケーションにファイルが格納されている場合、RPR/SSO スタンバイ スーパーバイザ エンジンはスイッチオーバーが発生したときにバインディング リストを引き継ぐことができます。
(注) ネットワークベースの URL(TFTP および FTP など)では、スイッチが最初に一連のバインディングを書き込む前に、設定された URL に空のファイルを作成することが必要です。
データベース エージェントの設定例
例 1:データベース エージェントのイネーブル化
次に、DHCP スヌーピング データベース エージェントを設定して、所定のロケーションにバインディングを格納し、設定および動作ステートを表示する例を示します。
出力の最初の 3 行は、設定された URL および関連付けられたタイマー設定値を表示します。次の 3 行は、動作ステートおよび書き込み遅延時間および中断タイマーの残りの時間を表示します。
出力に表示される統計情報のうち、Startup Failures は起動時のファイル読み込みまたは作成に失敗した試行回数を示します。
(注) ロケーションはネットワークに基づいているので、TFTP サーバに一時ファイルを作成する必要があります。TFTP サーバ デーモンが参照できるようにディレクトリ「directory」に 0 バイトのファイル「file」を作成して、標準的な UNIX ワークステーション上に一時ファイルを作成できます。UNIX ワークステーションのサーバ実装の一部では、ファイルへの書き込みに対して完全な(777)許可がファイルに必要です。
DHCP スヌーピング バインディングは、MAC アドレスおよび VLAN の組み合せに適合しています。したがって、スイッチがすでにバインディングを所有する、所定の MAC アドレスと VLAN の組み合せのエントリがリモート ファイルにある場合、ファイルが読み取られるときにリモート ファイルからのエントリは無視されます。この状態をバインディング コリジョンといいます。
エントリに指定されたリースが読み取られた時間によって期限切れになった可能性があるので、ファイルのエントリが無効になる可能性があります。Expired leases カウンタは、この状態によって無視されたバインディング数を示します。Invalid interfaces カウンタは読み取りの際に、エントリで指定されたインターフェイスがシステムに存在しない場合、またはインターフェイスが存在する場合は、それがルータ、または DHCP スヌーピングで信頼されたインターフェイスのいずれかであるために無視されたバインディング数を示します。Unsupported vlans は、指定された VLAN がシステムによってサポートされないために無視されたエントリ数を示します。Parse failures カウンタは、スイッチがファイルのエントリの意味を解釈できなかった場合に無視されたエントリ数を示します。
スイッチは、このような無視されたバインディングに対して 2 組のカウンタを維持します。1 つは、このような状態の少なくとも 1 つによって無視されたバインディングを、少なくとも 1 つ持つ読み取りのカウンタを提供します。このようなカウンタは「Last ignored bindings counters」として表示されます。Total ignored bindings counters は、スイッチの起動後、すべての読み取りによって無視されたバインディングの総数を提供します。この 2 組のカウンタは、clear コマンドによってクリアされます。したがって、総数カウンタは、最後にクリアが行われてから無視されたバインディング数を示す場合があります。
例 2:TFTP ファイルからのバインディング エントリの読み取り
手動で TFTP ファイルのエントリを読み取るには、次の作業を行います。
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
||
|
|
次に、手動で tftp://10.1.1.1/directory/file からエントリを読み取る例を示します。
例 3:DHCP スヌーピング データベースへの情報の追加
手動で DHCP スヌーピング データベースにバインディングを追加するには、次の作業を行います。
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
次に、手動で DHCP スヌーピング データベースにバインディングを追加する例を示します。
DHCP スヌーピング情報の表示
スイッチ上のすべてのインターフェイスについて、DHCP スヌーピング バインディング テーブルおよび設定情報を表示できます。
バインディング テーブルの表示
各スイッチの DHCP スヌーピング バインディング テーブルには、信頼できないポートに関連したバインティング エントリが格納されています。テーブルには、trusted ポートに相互接続するホストに関する情報は収められていません。相互接続した各スイッチは、独自の DHCP スヌーピング バインディング テーブルを持つためです。
次に、スイッチの DHCP スヌーピング バインディング情報を表示する例を示します。
表 35-2 で、 show ip dhcp snooping binding コマンド出力のフィールドを説明します。
|
|
|
|---|---|
バインディング タイプ(DHCP スヌーピングによって学習されたダイナミック バインディングまたは静的に設定されたバインディング) |
|
DHCP スヌーピング設定の表示
次に、スイッチの DHCP スヌーピング設定を表示する例を示します。
IP ソース ガードの概要
この機能は、DHCP スヌーピングと同様、DHCP スヌーピングの信頼できないレイヤ 2 ポート上でイネーブルに設定されています。最初に、ポートのすべての IP トラフィックが、DHCP スヌーピング処理によってキャプチャされた DHCP パケットを除いてブロックされます。クライアントが DHCP サーバから有効な IP アドレスを受信する場合、またはユーザがスタティック IP 送信元バインディングを設定した場合に、Per-Port and VLAN Access Control List(PVACL)がポート上にインストールされます。この処理は、クライアント IP トラフィックをバインディングに設定された送信元 IP アドレスに制限するので、IP 送信元バインディングにない送信元 IP アドレスを持つ IP トラフィックが排除されます。このフィルタリングは、ホストがネイバー ホストの IP アドレスを名乗ってネットワークを攻撃することを制限します。
(注) DHCP スヌーピングがイネーブルにされた大量の VLAN のトランク ポート上で IP ソース ガードがイネーブルにされている場合、ACL ハードウェア リソースが不足し、代わりにパケットの一部がソフトウェアでスイッチングされる可能性があります。
(注) IP ソース ガードがイネーブルの場合、ACL ハードウェア プログラミングの代替方式を指定する場合があります。詳細については、「ACL によるネットワーク セキュリティの設定」の「TCAM プログラミングおよび ACL」を参照してください。
IP ソース ガードは、アクセスおよびトランクの両方を含むレイヤ 2 ポートだけをサポートしています。それぞれの信頼できないレイヤ 2 ポートには、2 つのレベルの IP トラフィック セキュリティ フィルタリングがあります。
IP トラフィックは、送信元 IP アドレスに基づいてフィルタリングされます。IP 送信元バインディング エントリに一致する送信元 IP アドレスを持つ IP トラフィックだけが許可されます。
新しい IP 送信元エントリ バインディングがポートで作成または削除されると、IP 送信元アドレス フィルタが変更されます。IP 送信元バインディングの変更を反映するために、ポート PVACL がハードウェアで再計算および再適用されます。デフォルトでは、ポートに IP 送信元バインディングがない状態で IP フィルタがイネーブルにされている場合、すべての IP トラフィックを拒否するデフォルトの PVACL がポートにインストールされます。同様に、IP フィルタがディセーブルにされている場合、すべての IP 送信元フィルタ PVACL がインターフェイスから削除されます。
IP トラフィックは送信元 IP アドレスと MAC アドレスに基づいてフィルタリングされます。IP 送信元バインディング エントリに一致する送信元 IP アドレスと MAC アドレスを持つ IP トラフィックだけが許可されます。
(注) IP ソース ガードが IP と MAC フィルタリング モードでイネーブルに設定されている場合、DHCP プロトコルが正常に稼動するように、DHCP スヌーピング Option 82 がイネーブルに設定されている必要があります。Option 82 データがないと、スイッチは DHCP サーバ応答を転送するようにクライアント ホスト ポートを設置できません。代わりに、DHCP サーバ応答がドロップされ、クライアントは IP アドレスを取得できなくなります。
スイッチ上での IP ソース ガードの設定
IP ソース ガードをイネーブルにするには、次の作業を行います。
インターフェイス上のスタティック ホストを使用して IP ソース ガードを停止する場合、インターフェイス コンフィギュレーション サブモードで次のコマンドを使用します。
インターフェイス コンフィギュレーション サブモードで「no ip device tracking」が使用されている場合、このコマンドは変換され、実際にグローバル コンフィギュレーション モードで実行されて、IP デバイス トラッキングがグローバルにディセーブルになります。「ip verify source tracking [port-security]」というコマンドを使用するすべてのインターフェイスでは、IP デバイス トラッキングがグローバルにディセーブルになると、スタティック ホストを使用する IP ソース ガードが、これらのインターフェイスからのすべての IP トラフィックを拒否するようになります。
(注) スタティック IP 送信元バインディングが設定できるのは、スイッチ ポート上だけです。レイヤ 3 ポートで ip source binding vlan interface コマンドを実行すると、「Static IP source binding can only be configured on switch port」というエラー メッセージが表示されます。
次に、VLAN 10 ~ 20 上でレイヤ 2 ポートごとの IP ソース ガードをイネーブルにする例を示します。
この出力は、VLAN 10 に有効な DHCP バインディングが 1 つあることを示します。
プライベート VLAN 上での IP ソース ガードの設定
プライベート VLAN ポートでは、IP ソース ガードを有効にするためにプライマリ VLAN 上で DHCP スヌーピングをイネーブルにする必要があります。プライマリ VLAN 上の IP ソース ガードは、自動的にセカンダリ VLAN に伝播されます。セカンダリ VLAN 上にスタティック IP 送信元バインディングを設定することはできますが、有効ではありません。手動でセカンダリ VLAN 上にスタティック IP 送信元バインディングを設定すると、次の意味の警告が表示されます。
警告 IP 送信元フィルタは、IP 送信元バインディングが設定されたセカンダリ VLAN では有効にならない可能性があります。プライベート VLAN 機能がイネーブルにされている場合、プライマリ VLAN 上の IP 送信元フィルタがすべてのセカンダリ VLAN に自動的に伝播されます。
IP ソース ガード情報の表示
スイッチ上のすべてのインターフェイスの IP ソース ガード PVACL 情報を表示するには、
show ip verify source コマンドを使用します。
• 次に、VLAN 10 ~ 20 で DHCP スヌーピングがイネーブルにされていて、IP フィルタリングに対してインターフェイス fa6/1 が設定されていて、VLAN 10 に既存の IP アドレス バインディング 10.0.01 が存在する場合に表示される PVACL の例を示します。
(注) 2 番めのエントリは、デフォルト PVACL(すべての IP トラフィックを拒否)が、有効な IP 送信元バインディングを持たず、スヌーピングがイネーブルにされた VLAN のポート上にインストールされていることを示します。
• 次に、trusted ポートに対して表示される PVACL の例を示します。
• 次に、DHCP スヌーピングが設定されていない VLAN のポートに対して表示される PVACL の例を示します。
• 次に、複数のバインディングが IP/MAC フィルタリングに設定されているポートに対して表示される PVACL の例を示します。
• 次に、ポート セキュリティが設定されておらず、IP/MAC フィルタリングが設定されているポートに対して表示される PVACL の例を示します。
(注) MAC フィルタで permit-all が表示されるのは、ポート セキュリティがイネーブルにされていないためです。MAC フィルタはポート/VLAN に適用できず、事実上ディセーブルの状態です。常にポート セキュリティを最初にイネーブルにしてください。
• 次に、IP 送信元フィルタ モードが設定されていないポートに show ip verify source コマンドを入力した場合に表示されるエラー メッセージの例を示します。
また、show ip verify source コマンドを使用して、IP ソース ガードがイネーブルにされたスイッチ上のすべてのインターフェイスを表示できます。
IP 送信元バインディング情報の表示
スイッチ上のすべてのインターフェイス上に設定された IP 送信元バインディングを表示するには、
show ip source binding コマンド を使用します。
表 35-3 で show ip source binding コマンド出力のフィールドについて説明します。
|
|
|
|---|---|
バインディング タイプ(CLI から設定されたスタティック バインディング、および DHCP スヌーピングによって学習されたダイナミック バインディング) |
|
スタティック ホストの IP ソース ガードの設定
(注) スタティック ホストの IPSG は、アップリンク ポートでは使用しないでください。
スタティック ホストの IP Source Guard(IPSG; IP ソース ガード)は、IPSG 機能を非 DHCP およびスタティック環境に拡張します。既存の IP Source Guard(IPSG; IP ソース ガード)機能は、DHCP スヌーピング機能により作成されたエントリを使用して、スイッチに接続されたホストを検証します。有効な DHCP バインディング エントリを持たないホストから受信されたトラフィックは、ドロップされます。基本的に、DHCP 環境は IPSG が機能するための前提条件になります。スタティック ホストの IPSG 機能は、DHCP に対する IPSG の依存性を削除します。スイッチは、ARP 要求または他の IP パケットに基づいてスタティック エントリを作成し、このエントリを使用して指定ポートの有効なホストのリストを保持します。さらに、ユーザは、指定ポートにトラフィックを送信できるホスト数を指定できます。これは、レイヤ 3 でのポート セキュリティに相当します。
(注) 複数ネットワーク インターフェイスを持つ一部の IP ホストは、一部の無効パケットをネットワーク インターフェイスに投入することがあります。これらの無効パケットには、送信元アドレスとしてのホストの別のネットワーク インターフェイスの IP/MAC アドレスを含みます。これにより、ホストに接続しているスイッチにあるスタティック ホストの IPSG が、無効な IP/MAC アドレス バインディングを学習し、有効なバインディングを拒否します。無効パケットの投入を回避するには、対応する OS またはそのホストのネットワーク デバイスのベンダーに相談する必要があります。
スタティック ホストの IPSG は、最初に ACL ベースのスヌーピング メカニズムを介して動的に IP MAC バインディングを学習します。IP/MAC バインディングは、ARP および IP パケットを経由してスタティック ホストから学習され、デバイス トラッキング データベースを使用して保存されます。指定ポートで動的に学習された、または静的に設定された IP アドレスの数が最大限度に達すると、新しい IP アドレスを持つパケットはハードウェアでドロップされます。何らかの理由で移動されたまたは消去されたホストを扱うために、スタティック ホストの IPSG 機能は IP デバイス トラッキング機能を強化し、動的に学習した IP アドレス バインディングをエージング アウトします。この機能は、DHCP スヌーピングと同時に使用できます。複数バインディングが、DHCP とスタティック ホストの両方に接続されているポート上で確立されます(つまり、バインディングは、デバイス トラッキング データベースだけでなく、DHCP スヌーピング バインディング データベースにも保存されます)。
• 「レイヤ 2 アクセス ポート上のスタティック ホストの IPSG」
• 「PVLAN ホスト ポート上のスタティック ホストの IPSG」
レイヤ 2 アクセス ポート上のスタティック ホストの IPSG
レイヤ 2 アクセス ポート上でスタティック ホストの IPSG を設定できます。
レイヤ 2 アクセス ポート上で IP フィルタを使用してスタティック ホストの IPSG をイネーブルにするには、次の作業を行います。
インターフェイス上でスタティック ホストの IPSG を停止するには、インターフェイス コンフィギュレーション サブモードで次のコマンドを使用します。
ポート上でスタティック ホストの IPSG をイネーブルにするには、次のコマンドを実行します。
(注) 上記の問題は、PVLAN ホスト ポート上のスタティック ホストの IPSG にも適用されます。
次に、レイヤ 2 アクセス ポートでの IP フィルタを使用したスタティック ホストの IPSG をイネーブルにし、インターフェイス Fa4/3 上で 3 つの有効 IP バインディングを確認する例を示します。
次に、レイヤ 2 アクセス ポートで IP/MAC フィルタを使用してスタティック ホストの IPSG をイネーブルにし、インターフェイス Fa4/3 上の 5 つの有効 IP/MAC バインディングを確認して、このインターフェイス上のバインディング数が最大限度に達したかどうかを確認する例を示します。
次に、すべてのインターフェイスのすべての IP/MAC バインディングを表示する例を示します。CLI で非アクティブ エントリと一緒にすべてのアクティブ エントリが表示されていることを確認します。インターフェイス上でホストが学習されるとき、新しいエントリにアクティブのマークが付けられます。同じホストが現在のインターフェイスから切断され、別のインターフェイスの接続されると、ホストが検出され次第、新しい IP/MAC バインディング エントリがアクティブとして表示されます。ここで、前のインターフェイス上のこのホストの古いエントリは、非アクティブとしてマークが付けられます。
次に、すべてのインターフェイスのすべてのアクティブ IP/MAC バインディングを表示する例を示します。
次に、すべてのインターフェイスのすべての非アクティブ IP/MAC バインディングを表示する例を示します。ホストは、最初に GigabitEthernet 3/1 で学習されてから、GigabitEthernet 4/1 に移動されました。したがって、GigabitEthernet 3/1 で学習された IP/MAC バインディング エントリが非アクティブとしてマーク付けされます。
次に、すべてのインターフェイスのすべての IP デバイス トラッキング ホスト エントリのカウントを表示する例を示します。
PVLAN ホスト ポート上のスタティック ホストの IPSG
PVLAN ホスト ポート上でスタティック ホストの IPSG を設定できます。
PVLAN ホスト ポート上で IP フィルタを使用してスタティック ホストの IPSG をイネーブルにするには、次の作業を行います。
次に、PVLAN ホスト ポート上で IP フィルタを使用し、スタティック ホストの IPSG をイネーブルにする例を示します。
出力では、インターフェイス Fa4/3 で学習された 5 つの有効な IP/MAC バインディングを示しています。PVLAN の場合、バインディングはプライマリ VLAN ID と関連付けられます。したがって、この例では、プライマリ VLAN ID の 200 がテーブル内に表示されます。
出力では、5 つの有効 IP/MAC バインディングが、プライマリとセカンダリ両方の VLAN 上にあることを示しています。
フィードバック