IPソース ガード(ELS)の設定
このタスクでは、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートする Junos OS を使用します。スイッチング デバイスが ELS をサポートしていないソフトウェアを実行している場合は、 IP ソース ガードの設定(非 ELS)を参照してください。ELSの詳細については、「 拡張レイヤー2ソフトウェアCLIの使用」を参照してください。
EX9200スイッチでは、IPソースガードはMC-LAGシナリオではサポートされていません。
IPソースガードアクセスポートのセキュリティ機能を使用して、送信元IPアドレススプーフィングと送信元MACアドレススプーフィングの影響を軽減できます。IP ソース ガードが、アクセス インターフェイスに接続されたホストが、パケット ヘッダー内の無効な送信元 IP アドレスまたは送信元 MAC アドレスを持つパケットを送信したと判断した場合、IP ソース ガードは、スイッチがパケットを転送しない(つまり、パケットが破棄される)ことを確認します。
特定のVLANでIPソースガード機能を設定します。VLAN で IP ソース ガードを設定すると、スイッチはその VLAN で DHCP スヌーピングを自動的にイネーブルにします。
IPv6ソース ガードは、DHCPv6 スヌーピングをサポートするスイッチでサポートされています。これらのスイッチでは、VLAN に IP ソース ガードまたは IPv6 ソース ガードを設定すると、その VLAN で DHCP スヌーピングと DHCPv6 スヌーピングが自動的に有効になります。
VLAN で IP ソース ガードまたは IPv6 ソース ガードを設定する前に、VLAN を設定する必要があります。基本的なブリッジングとスイッチのVLANの設定について説明したドキュメントを参照してください。
IP ソース ガードと IPv6 ソース ガードは、信頼できないインターフェイスにのみ適用できます。アクセス インターフェイスは、デフォルトでは信頼できません。
IP ソース ガードと IPv6 ソース ガードは、シングル サプリカント、シングルセキュア サプリカント、またはマルチ サプリカント モードで、802.1X ユーザー認証と併用できます。
CLIを使用して特定のVLANにIPソースガードを設定するには、次の手順に従います。
[edit vlans vlan-name forwarding-options dhcp-security] user@switch# set ip-source-guard
CLIを使用して特定のVLANにIPv6ソース ガードを構成するには、次の手順に従います。
[edit vlans vlan-name forwarding-options dhcp-security] user@switch# set ipv6-source-guard