Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

スイッチ上のポート セキュリティの IP ソース ガードについて

イーサネット LAN スイッチは、ソース IP アドレスまたは送信元 MAC アドレスのスプーフィング(鍛造)を含む攻撃に対して脆弱です。IP ソース ガード アクセス ポート セキュリティ機能を使用して、これらの攻撃の影響を緩和できます。

IP アドレス スプーフィング

アクセス インターフェイス上のホストは、無効なアドレスを含むパケットをスイッチにフラッディングすることで、送信元 IP アドレスと送信元 MAC アドレスをスプーフィングできます。このような攻撃を TCP SYN フラッド攻撃などの他の手法と組み合わせると、サービス拒否(DoS)攻撃が発生する可能性があります。送信元IPアドレスまたは送信元MACアドレススプーフィングでは、システム管理者は攻撃の送信元を特定できません。攻撃者は、同じサブネットまたは別のサブネット上のアドレスをスプーフィングする可能性があります。

IP ソース ガードの仕組み

IP ソース ガードは、スイッチ上の信頼できないアクセス インターフェイスに接続されたホストから送信された各パケットを検査します。ホストに関連付けられた IP アドレス、MAC アドレス、VLAN、インターフェイスは、DHCP スヌーピング データベースに格納されているエントリーに対してチェックされます。パケット ヘッダーが DHCP スヌーピング データベースの有効なエントリーと一致しない場合、スイッチはパケットを転送しません。つまり、パケットは破棄されます。

メモ:
  • スイッチで EX シリーズに Junos OS を使用し、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートしている場合、VLAN で IP ソース ガードを有効にすると、DHCP スヌーピングが自動的に有効になります。 「ELS(IP Source Guard)の設定」を参照してください。

  • スイッチが EX シリーズに Junos OS を使用していて、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートしていない場合、VLAN で IP ソース ガードを有効にする場合は、その VLAN で DHCP スヌーピングも明示的に有効にする必要があります。それ以外の場合、DHCP スヌーピングのデフォルト値は VLAN に適用されません。 IP ソース ガードの設定(非 ELS)を参照してください。

IP ソース ガードは、これらの VLAN 上の信頼できないアクセス インターフェイスから送信されたパケットを検査します。デフォルトでは、アクセス インターフェイスは信頼できないものであり、トランク インターフェイスは信頼されます。IP ソース ガードは、信頼できるインターフェイスに接続されたデバイスによってスイッチに送信されたパケットを検査しないため、DHCP サーバーをそのインターフェイスに接続して動的 IP アドレスを提供できます。

メモ:

EX9200 スイッチでは、IP ソース ガードをサポートするようにトランク インターフェイス untrusted を設定できます。

IPv6 ソース ガード

IPv6 ソース ガードは、DHCPv6 スヌーピングをサポートするスイッチで使用できます。スイッチが DHCPv6 スヌーピングをサポートしているかどうかを確認するには、 機能エクスプローラを参照してください。

DHCP スヌーピング テーブル

IP ソース ガードは、DHCP スヌーピング テーブル(DHCP バインディング テーブルとも呼ばれます)から、IP アドレスから MAC アドレス バインディング(IP-MAC バインディング)に関する情報を取得します。DHCP スヌーピング テーブルは、動的 DHCP スヌーピングまたは特定の静的 IP アドレスから MAC アドレス バインディングへの設定のいずれかによって設定されます。DHCP スヌーピング テーブルの詳細については、「 DHCP スヌーピング(ELS)について」を参照してください。

DHCP スヌーピング テーブルを表示するには、スイッチ CLI に表示される動作モード コマンドを発行します。

DHCP スヌーピングの場合:

DHCPv6 スヌーピングの場合:

IP ソース ガードによるその他の Junos OS 機能の一般的な用途

IP ソース ガードは、次を含むその他のさまざまなポート セキュリティ機能を使用して設定できます。

  • VLAN タギング(音声 VLAN に使用)

  • GRES(グレースフル ルーティング エンジン スイッチオーバー)

  • バーチャル シャーシ 構成

  • リンク アグリゲーション グループ(LAG)

  • 単一サプリカント、シングルセキュアサプリカント、または複数サプリカントモードでの802.1Xユーザー認証。

    メモ:

    シングルセキュア サプリカントモードまたは複数のサプリカント モードで 801.X ユーザー認証を実装する場合は、次の設定ガイドラインを使用します。

    • 802.1XインターフェイスがタグなしMACベースVLANの一部であり、そのVLANでIPソースガードとDHCPスヌーピングを有効にする場合、インターフェイスにタグなしメンバーシップを持つすべての動的VLANでIPソースガードとDHCPスヌーピングを有効にする必要があります。これは、IPv6 ソース ガードおよび DHCPv6 スヌーピングにも適用されます。

    • 802.1Xインターフェイスがタグ付きMACベースVLANの一部であり、そのVLANでIPソースガードとDHCPスヌーピングを有効にする場合は、インターフェイスにタグ付きメンバーシップがあるすべての動的VLANでIPソースガードとDHCPスヌーピングを有効にする必要があります。これは、IPv6 ソース ガードおよび DHCPv6 スヌーピングにも適用されます。