IPソースガードとは
IPソースガードとは、DHCPスヌーピングンバインディングテーブルか手動で設定したIPソースバインディングに基づいてトラフィックをフィルタリングするセキュリティ機能です。IPソースガードを使用すると攻撃者が不正なIPアドレスを使用したトラフィック攻撃を防ぐことが出来ます。
IPソースガードはDHCPスヌーピングが信頼されていないインターフェイスで有効になっているときに設定することが出来ます。インターフェイスでIPソースガードを有効にするとDHCPスヌーピングで許可されたDHCPパケットを除き、すべてのIPトラフィックをブロックします。
トポロジ
IPソースガードの設定
DHCPに関する設定
DHCPサーバの設定とDHCPリレーエージェント、DHCPスヌーピングの設定をします。
R1(config)#int g0/0
R1(config-if)#ip address 192.168.1.254 255.255.255.0
R1(config-if)#no shut
R1(config-if)#exit
R1(config)#router eigrp 10
R1(config-router)#netw 0.0.0.0
R1(config-router)#exit
R1(config)#ip dhcp excluded-address 100.10.10.1 100.10.10.10
R1(config)#ip dhcp pool test1
R1(dhcp-config)#100.10.10.0 255.255.255.0
R1(dhcp-config)#default-router 100.10.10.1
SW1(config)#interface GigabitEthernet 0/0
SW1(config-if)#switchport access vlan 200
SW1(config-if)#ip dhcp snooping trust
SW1(config-if)#no shutdown
SW1(config-if)#exit
SW1(config)#interface Vlan 200
SW1(config-if)#ip address 192.168.1.253 255.255.255.0
SW1(config-if)#no shutdown
SW1(config-if)#exit
SW1(config)#router eigrp 10
SW1(config-router)#netw 0.0.0.0
SW1(config-router)#exit
SW1(config)#vlan 100,200
SW1(config-vlan)#exit
SW1(config)#ip dhcp snooping
SW1(config)#ip dhcp snooping vlan 100
SW1(config)#ip dhcp snooping information option
SW1(config)#interface range GigabitEthernet 0/1-2
SW1(config-if-range)#switchport mode access
SW1(config-if-range)#switchport access vlan 100
SW1(config-if-range)#exit
SW1(config)#int vlan 100
SW1(config-if)#ip address 100.10.10.1 255.255.255.0
SW1(config-if)#ip helper-address 192.168.1.254
SW1(config-if)#no shut
SW1(config-if)#exit
IPソースガードの設定
インターフェイスでIPソースガードを有効にします。
| ip verify source | |
| ip verify source port-security |
SW1(config)#interface range GigabitEthernet 0/1-2
SW1(config-if-range)#ip verify source
設定確認
SW1#show ip verify source
Interface Filter-type Filter-mode IP-address Mac-address Vlan
——— ———– ———– ————— —————– —-
Gi0/1 ip-mac active 100.10.10.11 permit-all 100
Gi0/2 ip-mac active 100.10.10.12 permit-all 100
SW1#
IPソースガードの設定
SW1(config)#interface range GigabitEthernet 0/1-2
SW1(config-if-range)#ip verify source port-security
SW1(config-if-range)#exit
SW1(config)#ip source binding 1234.5678.90ab vlan 100 100.10.10.254 interface gigabitethernet0/1
動作確認
PC2を起動させます。
SW1#show ip verify source
Interface Filter-type Filter-mode IP-address Mac-address Vlan
——— ———– ———– ————— —————– —-
Gi0/1 ip-mac active 100.10.10.254 permit-all 100
Gi0/2 ip-mac active 100.10.10.12 permit-all 100
SW1#
PC1を起動させます。DHCPパケットは通過させるのでPC1の情報が追加されます。
SW1#show ip verify source
Interface Filter-type Filter-mode IP-address Mac-address Vlan
——— ———– ———– ————— —————– —-
Gi0/1 ip-mac active 100.10.10.254 permit-all 100
Gi0/1 ip-mac active 100.10.10.11 permit-all 100
Gi0/2 ip-mac active 100.10.10.12 permit-all 100
SW1#
デバイストラッキングの設定
SW1(config)#ip device tracking
SW1(config)#interface range GigabitEthernet 0/1-2
SW1(config-if-range)#ip verify source tracking port-security
SW1(config-if-range)#ip device tracking maximum 10
動作確認
SW1#sh ip verify source
Interface Filter-type Filter-mode IP-address Mac-address Vlan
Gi0/1 ip-mac trk active 100.10.10.11 permit-all 100
Gi0/2 ip-mac trk active 100.10.10.12 permit-all 100
SW1#
SW1#sh ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
IP Address MAC Address Vlan Interface Probe-Timeout State Source
100.10.10.12 5254.0002.85b4 100 GigabitEthernet0/2 30 ACTIVE DHCP
100.10.10.11 5254.001b.a748 100 GigabitEthernet0/1 30 ACTIVE DHCP
Total number interfaces enabled: 2
Enabled interfaces:
Gi0/1, Gi0/2