|
◆ IPソースガードの設定
IPソースガードを有効化する前提として、DHCPスヌーピングをグローバルで有効化する必要があります。
◆ DHCPスヌーピングの有効化
(config)# ip dhcp snooping
次に、DHCPスヌーピングを有効にするVLANを指定します。ドロップされたパケットの内容をNetFlowの
収集装置に送信した場合は「smartlog」オプションを指定します。
◆ DHCPスヌーピングを有効にするVLANの指定
(config)# ip dhcp snooping vlan vlan-id [ smartlog ]
次に、DHCPサーバに転送されるリクエストのDHCPリレー情報の挿入と削除を有効化します。
◆ DHCP option 82フィールドの挿入・削除の有効化
(config)# ip dhcp snooping information option
次に、IPソースガードを有効化します。以下の@またはAの設定を行います。@の設定ではIPトラフィックは
送信元IPアドレスに基づいてフィルタリングされます。送信元IPアドレスがDHCPスヌーピングバインディング
テーブルのエントリ、または、手動設定のバインディングテーブルのエントリに合致した場合に転送されます。
一方、Aの設定では、送信元IPアドレスだけでなく送信元MACアドレスの両方が合致した場合に転送されます。
※ Aの設定を使用する場合には、DHCPサーバは「DHCPオプション82」をサポートしている必要があります。
◆ @ IPソースガードの有効化( 送信元IPアドレスによるフィルタリング )
(config-if)# ip verify source
◆ A IPソースガードの有効化( 送信元IPアドレスと送信元MACアドレスによるフィルタリング )
(config-if)# ip verify source port-security
任意:スタティックに「IPソースバインディング」を追加する場合には以下のコマンドで定義します。
◆ DHCPスヌーピングを有効にするVLANの指定
(config)# ip source binding mac-address vlan vlan-id ip-address inteface interface-id
◆ IPソースガードの設定例
・ DHCPスヌーピングバインディングテーブルを使用
・ 送信元IPアドレスによるフィルタリング
・ IPソースガードをクライアントが接続するFa0/1 〜 Fa0/24でIPソースガードを有効化
SW1(config) # ip dhcp snooping
SW1(config) # ip dhcp snooping vlan 100, 200, 300
SW1(config) # ip dhcp snooping information option
SW1(config) # interface range fastethernet 0/1 - 24
SW1(config-if) # switchport mode access
SW1(config-if) # switchport access vlan 100
SW1(config-if) # spanning-tree portfast
SW1(config-if) # ip verify source
SW1(config) # interface gigabitethernet 0/1
SW1(config-if) # switchport mode trunk
SW1(config-if) # switchport trunk allowd vlan 100, 200, 300
SW1(config-if) # ip dhcp snooping trust
|
IPソースガードの設定は以下のコマンドでそのステータスを確認します。
・ show ip verify source:IPソースガードの設定状態、有効なバインディングテーブルの情報の確認
・ show ip source binding:特定のVLAN、特定のインターフェース上のIPソースバインディングの確認
|