IPソースガードとは
IPソースガードとは、特定のポートから発信されるトラフィックのIPアドレスを検証し、不正なIPアドレスやMACアドレスの使用を防ぐための仕組みです。これは、DHCPスヌーピングと連携して動作し、DHCPスヌーピングによって作成されたバインディングデータベースを使用して、各ポートから送信されるトラフィックが正しいIPアドレスとMACアドレスのペアリングに基づいているかを検証します。
IPソースガードの概要
- IPソースガードは、各ポートごとに発信されるトラフィックのIPアドレスとMACアドレスを監視します。
- 不正なIPアドレスやMACアドレスから送信されるトラフィックをフィルタリングして、不正なユーザーがネットワークに接続して他のデバイスのIPアドレスを盗む(IPスプーフィング)ことを防ぎます。
- 通常、DHCPスヌーピングと併用されますが、静的に割り当てられたIPアドレスに対しても保護を提供できます。
IPソースガードの設定
IPソースガードの有効化
インターフェイスでIPソースガードを有効にします。
Switch(config-if)#ip verify source [port-security]
コマンド 内容 ip verify source 送信元 IP アドレス フィルタリングによる IP ソース ガードを有効にします。 ip verify source port-security ソース IP および MAC アドレス フィルタリングによる IP ソース ガードを有効にします。
静的 IP ソース バインディングを追加します。
Switch(config)#ip source binding mac-address vlan vlan-id ip-address inteface interface-id
設定例
現在L2SWでDHCPスヌーピングを有効にしているためDHCPスヌーピングバインディングテーブルに情報が追加されています。
IPソースガードを有効にします。
L2SW(config)#int g0/2
L2SW(config-if)#ip verify source port-security
別のクライアントをL2SWに接続させます。バインディングテーブルに情報がないクライアントなため、クライアンツ2からの通信はL2SWでブロックされます。
デバイストラッキングの設定
IP デバイス トラッキング テーブルがポートで許可する静的 IP の最大数を設定します。範囲は 1 ~ 10 です。
Switch(config)#ip verify source tracking port-security
Switch(config)#ip device tracking maximum number