|
◆ IPソースガードとは
IPソースガードとは、送信元IPアドレスのなりすましを防止できる機能のことです。IPソースガードでは
以下のテーブルに基づいてトラフィックをフィルタリングすることで、IPのなりますしを防止しています。
・ DHCPスヌーピングバインディングテーブル
・ 手動で設定されたIPソースバインディングテーブル
IPソースガードは、送信元IPアドレス、MACアドレス、着信ポート番号のバインディングを追跡することで
正規のIPアドレスかどうかを判断します。DHCPスヌーピングバインディングテーブル、または手動で作成
したIPソースバインディングテーブルと一致しないトラフィックは拒否されます。IPソースガードが有効な
ポートでは、スイッチ内部でバインディングテーブルから自動的にPACLを生成してI/Fに適用されています。
※ IPソースガード機能を使用するためには、スイッチでDHCPスヌーピングが有効である必要があります。
IPソースガードの設定は、DHCPスヌーピングが有効なスイッチの「Untrusted」ポートに適用します。この
IPソースガードが設定できるポートは、アクセスポートまたはトランクポート「L2ポート」のみとなります。
そもそも、スイッチポートで適切にIEEE802.1X認証( 例えば証明書認証 )を実装しておけば、このような
IPソースガードのような実装は不要なのですが、IEEE802.1X認証を実装できない場合や、IEEE802.1X認証を
不正に突破されてしまった場合のための対策として実装される場合があります。※ そのようなケースは少ない。
|