このページの目次
IPソース ガード(非ELS)の設定
EXシリーズスイッチのIPソースガードアクセスポートのセキュリティ機能を使用して、送信元IPアドレススプーフィングと送信元MACアドレススプーフィングの影響を軽減できます。IP ソース ガードは、アクセス インターフェイスに接続されたホストが、パケット ヘッダー内の無効な送信元 IP アドレスまたは送信元 MAC アドレスを持つパケットを送信したと判断した場合、スイッチがパケットを転送しないようにします(つまり、パケットは破棄されます)。
VLAN の IP ソース ガード機能をイネーブルにします。特定のVLAN、すべてのVLAN、またはVLAN範囲で有効にできます。
IP ソース ガードは、アクセス インターフェイスと、信頼できないインターフェイスにのみ適用されます。トランク インターフェイスまたは dhcp-trusted に設定されたインターフェイスを含む VLAN で IP ソース ガードをイネーブルにした場合、設定をコミットしようとすると CLI にエラーが表示されます。
IP ソース ガードは、シングル サプリカント、シングルセキュア サプリカント、またはマルチ サプリカント モードで、802.1X ユーザー認証と併用できます。
801.X ユーザー認証をシングルセキュア サプリカントまたはマルチ サプリカント モードで実装する場合は、次の設定ガイドラインに従ってください。
802.1X インターフェイスがタグなしの MAC ベース VLAN の一部であり、その VLAN で IP ソース ガードと DHCP スヌーピングを有効にする場合は、インターフェイスにタグなしのメンバーシップがあるすべてのダイナミック VLAN で IP ソース ガードと DHCP スヌーピングを有効にする必要があります。
802.1X インターフェイスがタグ付き MAC ベース VLAN の一部であり、その VLAN で IP ソース ガードと DHCP スヌーピングを有効にする場合は、インターフェイスがメンバーシップにタグを付けているすべてのダイナミック VLAN で IP ソース ガードと DHCP スヌーピングを有効にする必要があります。
IPソース ガードの設定
IPソース ガードを設定する前に、以下を確認してください。
IPソース ガードを設定する特定のVLANまたは特定のVLANで明示的に有効なDHCPスヌーピング。 DHCPスヌーピングの有効化(非ELS)を参照してください。すべてのVLANではなく、特定のVLANにIPソースガードを設定する場合は、それらのVLANでもDHCPスヌーピングを明示的に有効にする必要があります。それ以外の場合、デフォルト値の DHCP スヌーピングなし がその VLAN に適用されます。
IPソース ガードを設定するには:
特定のVLAN上:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ip-source-guard
すべての VLAN の場合:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all ip-source-guard
VLAN 範囲の場合:
VLAN 範囲を設定します。
[edit vlans] user@switch# set vlan-name vlan-range vlan-id-low-vlan-id-high
インターフェイスをVLAN範囲に関連付け、ポートモードを アクセスに設定します。
[edit interfaces] user@switch# set interface-name unit 0 family ethernet-switching port-mode access vlan members vlan-name
VLAN で IP ソース ガードを有効にします。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ip-source-guard
これらの変更をアクティブなコンフィギュレーションにコミットするには、ユーザ プロンプトで commit
コマンドを入力します。
IPv6ソース ガードの設定
IPv6 ソース ガードを設定する前に、以下を確認してください。
IPv6ソース ガードを設定する特定のVLANまたは特定のVLANで明示的に有効なDHCPv6スヌーピング。 DHCPスヌーピングの有効化(非ELS)を参照してください。すべての VLAN ではなく、特定の VLAN に IPv6 ソース ガードを設定する場合は、それらの VLAN でも明示的に DHCPv6 スヌーピングを有効にする必要があります。それ以外の場合、デフォルト値の DHCPv6 スヌーピングなし がその VLAN に適用されます。
IPv6 ソース ガード セッションの最大数を設定します。
[edit ethernet-switching-options secure-access-port] user@switch# set ipv6-source-guard-sessions max-number maximum-number
手記:IPv6 ソース ガード セッションの最大数を設定または変更し、設定をコミットした後、設定を有効にするには、スイッチを再起動する必要があります。
IPv6 ソース ガードを設定するには:
特定のVLAN上:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ipv6-source-guard
すべての VLAN の場合:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all ipv6-source-guard
VLAN 範囲の場合:
VLAN 範囲を設定します)。
[edit vlans] user@switch# set vlan-name vlan-range vlan-id-low-vlan-id-high
インターフェイスをVLAN範囲に関連付け、ポートモードを accessに設定します。
[edit interfaces] user@switch# set interface-name unit 0 family ethernet-switching port-mode access vlan members vlan-name
VLAN で IPv6 ソース ガードを有効にします。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name ipv6-source-guard
これらの変更をアクティブなコンフィギュレーションにコミットするには、ユーザ プロンプトで commit
コマンドを入力します。
IPソース ガードの無効化
すべてのVLANまたはすべてのVLANに対して機能を有効にした後で、特定のVLANのIPソースガードを無効にすることができます。
特定のVLANでIPソースガードを無効にするには:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name no-ip-source-guard
すべての VLAN で IP ソース ガードを無効にするには:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all no-ipv6-source-guard
no-ip-source-guard
を no-ipv6-source-guard
に置き換えて、IPv6 ソース ガードを無効にします。