IP source guard - Cisco Config



 ◆ IPソースガードの設定

 IPソースガードを有効化する前提として、DHCPスヌーピングをグローバルで有効化する必要があります。

 
◆ DHCPスヌーピングの有効化
 (config)# ip dhcp snooping


 次に、DHCPスヌーピングを有効にするVLANを指定します。ドロップされたパケットの内容をNetFlowの
 収集装置に送信した場合は「smartlog」オプションを指定します。

 
◆ DHCPスヌーピングを有効にするVLANの指定
 (config)#
ip dhcp snooping vlan vlan-id [ smartlog ]

 次に、DHCPサーバに転送されるリクエストのDHCPリレー情報の挿入と削除を有効化します。

 
◆ DHCP option 82フィールドの挿入・削除の有効化
 (config)#
ip dhcp snooping information option


 次に、IPソースガードを有効化します。以下の@またはAの設定を行います。@の設定ではIPトラフィックは
 送信元IPアドレスに基づいてフィルタリングされます。送信元IPアドレスがDHCPスヌーピングバインディング
 テーブルのエントリ、または、手動設定のバインディングテーブルのエントリに合致した場合に転送されます。
 一方、Aの設定では、送信元IPアドレスだけでなく送信元MACアドレスの両方が合致した場合に転送されます。
 ※ Aの設定を使用する場合には、DHCPサーバは「DHCPオプション82」をサポートしている必要があります。

 ◆ @ IPソースガードの有効化( 送信元IPアドレスによるフィルタリング )
 (config-if)#
ip verify source

 
◆ A IPソースガードの有効化( 送信元IPアドレスと送信元MACアドレスによるフィルタリング )
 (config-if)#
ip verify source port-security


 
任意:スタティックに「IPソースバインディング」を追加する場合には以下のコマンドで定義します。

 ◆ DHCPスヌーピングを有効にするVLANの指定
 (config)#
ip source binding mac-address vlan vlan-id ip-address inteface interface-id




 ◆ IPソースガードの設定例

 ・ DHCPスヌーピングバインディングテーブルを使用
 ・ 送信元IPアドレスによるフィルタリング
 ・ IPソースガードをクライアントが接続するFa0/1 〜 Fa0/24でIPソースガードを有効化


 SW1(config) # ip dhcp snooping
 SW1(config) #
ip dhcp snooping vlan 100, 200, 300

 SW1(config) # ip dhcp snooping information option

 SW1(config) #
interface range fastethernet 0/1 - 24
 SW1(config-if) # switchport mode access
 SW1(config-if) # switchport access vlan 100
 SW1(config-if) # spanning-tree portfast
 SW1(config-if) # ip verify source

 SW1(config) # interface gigabitethernet 0/1
 SW1(config-if) # switchport mode trunk
 SW1(config-if) # switchport mode trunk allowd vlan 100, 200, 300
 SW1(config-if) # ip dhcp snooping trust



 IPソースガードの設定は以下のコマンドでそのステータスを確認します。
 
・ show ip verify source:IPソースガードの設定状態、有効なバインディングテーブルの情報の確認
 ・ show ip source binding:特定のVLAN、特定のインターフェース上のIPソースバインディングの確認



IPソースガードとは

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.