|
 IPソースガードとは
IPソースガードとは、DHCPスヌーピングにより作成されるバインディングテーブルを利用して
送信元アドレスを確認して、DHCPで割り当てたものとは違うIPアドレスのパケットである場合
そのパケットを破棄する機能です。これによりIPアドレスのなりますしを防ぐことができます。
このIPソースガードはDHCPスヌーピングが
untrust のインターフェースでイネーブルの場合に
有効にすることができます。I/FでIPソースガードがイネーブルになった後、DHCPスヌーピング
で許可されたDHCPパケットを除く、すべてのIPトラフィックがブロックされることになりますが
バインティングテーブルのエントリ[ IPアドレス、その関連MACアドレス、その関連VLAN番号
]
に合致した送信元IPアドレスのIPトラフィックだけは許可され、そのトラフィックを転送できます。
スイッチ内部ではバインディングテーブルから自動的にPACLを生成してI/Fに適用しています。
なお、IPソースガードが利用するバインディングテーブルは、DHCPスヌーピングにより自動作成されるバインディング
テーブルだけでなく、 [ ip source binding ] コマンドにより手動で作成したバインディングテーブルもその対象となります。
Cisco(config)# ip source binding mac-address vlan vlan-id ip-address interface interface-id
|
送信元IPアドレスフィルタリング
IPソースガードがこのオプションでイネーブルの場合、IPトラフィックは送信元IPアドレスに
基づいてフィルタリングされます。送信元
IP アドレスが、DHCPスヌーピングバインディング
データベースのエントリ、または、手動で設定したバインディングテーブル内のエントリに
合致した場合、スイッチは IP トラフィックを転送します。バインディングテーブルに変更が
あった場合、スイッチは自動的かつ内部的に
PortACL を修正して、ポートに再適用します。
Cisco(config-if)# ip verify source
|
送信元IP及びMACアドレスフィルタリング
IPソースガードがこのオプションでイネーブルの場合、IP
トラフィックは送信元 IP アドレスと
MACアドレスに基づいてフィルタリングされます。送信元IPアドレスとMACアドレスの両方が
DHCPスヌーピングバインディングデータベースのエントリ、または手動によるバインディング
テーブル内のエントリに合致した場合、スイッチは
IP トラフィックを転送します。バインディング
テーブルに変更があった場合、スイッチは自動的かつ内部的にPACLを修正し再適用します。
※ なお、DHCPサーバでOption82をサポートしていないとクライアントにはIPアドレスが割り当てられないので注意。
Cisco(config-if)# ip verify source port-security
|
※ ステータス確認は、show ip verify source
interface, show ip source binding などにより確認することができます。
Resource : CatalystLANスイッチ教科書 BCMSNテキスト第2版 DHCP by Universd Cat3560 12.2(25)SEE atmarkit CCO DHCP
|