目次
01 IP+MACバインディング構成例
特徴
IP/MAC アドレス バインドとは、ルータがネットワーク上で MAC アドレスと、ルータに直接接続されているホストの IP アドレスをバインドして記録し、指定された MAC アドレスのみが対応する IP アドレスを使用できることを意味します。このメカニズムにより、バインドされたホストの IP アドレスのスプーフィングを防ぐことができます。このメカニズムを適用するには、次の 2 つの前提条件があります。
1. MAC アドレスは一意であり、偽造できません。
2. ルーターに直接接続されているネットワーク上のホストのみをバインドできます (つまり、ホストのゲートウェイがルーター上にあります)。
また、ホストのインターフェース上に複数の IP アドレスを設定できるため、複数の IP アドレスを同じ MAC アドレスにバインドする場合がありますが、その逆は許可されません。
アプリケーションシナリオ
企業のネットワーク セキュリティに対する要件は比較的高く、特定の MAC アドレスと特定の IP アドレスを持つコンピュータのみがインターネットにアクセスできるようにするため、ルーターで IP+MAC バインド機能を有効にすることができます。
1. ネットワーク要件:
RSR シリーズルーターを出口ルータとして使用するネットワークで、イントラネット内に 10 台のコンピュータがあり、これら 10 台のコンピュータに IP アドレス 192.168.0.2 ~ 192.168.0.11 が静的に割り当てられており、同時に次の要件が必要です。
1. これら 10 台のコンピュータの IP アドレスは固定されている必要があり、許可なく変更することはできません。
2. 新規ユーザーは、192.168.0.2~192.168.0.11 以外のアドレスを使用してプライベートにアクセスすることはできません。
2. ネットワークトポロジ:
3. 構成のポイント:
1. イントラネット コンピュータの静的 IP アドレスの構成を完了し、各コンピュータの MAC アドレスを収集します。
2. ルーターの基本構成を完了して、イントラネット ユーザーが外部ネットワークに正常にアクセスできるようにします。
3. IP+MAC バインディングを構成する
(1) IP+MACバインディングルールリストの設定
(2) IP+MACバインディングルールリストをインターフェースに適用する
4. 設定手順
1. イントラネット コンピュータの静的 IP アドレスの構成を完了し、各コンピュータの MAC アドレスを収集します。
次の手順 2 を完了すると、ルータの show arp を使用して各コンピュータの MAC アドレスを収集できます。
自動バインドは、ipmacbind auto を使用して実現することもできます。
注: ipmacbind auto を使用して自動バインドを実現する場合、新しいユーザーのアクセスを制限することはできません。
2. ルーターの基本構成を完了して、イントラネット ユーザーが外部ネットワークに正常にアクセスできるようにします。
3. IP+MAC バインディングを構成する
(1) IP+MACバインディングルールリストの設定
ipmacbind list 1 //番号 1 の新しい IP+MAC ルール リストを作成します
ipmacbind 192.168.0.2 00d0.f86c.1517 //新しい IP+MAC バインディング ルール エントリ
ipmacbind 192.168.0.3 0000.0000.0003
ipmacbind 192.168.0.4 0000.0000.0004
ipmacbind 192.168.0.5 0000.0000.0005
ipmacbind 192.168.0.6 0000.0000.0006
ipmacbind 192.168.0.7 0000.0000.0007
ipmacbind 192.168.0.8 0000.0000.0008
ipmacbind 192.168.0.9 0000.0000.0009
ipmacbind 192.168.0.10 0000.0000.0010
ipmacbind 192.168.0.11 0000.0000.0011
(2) IP+MACバインディングルールリストをインターフェースに適用する
Interface GigabitEthernet 0/0 //イントラネットに接続されているインターフェイスを入力します
ipmacbind list 1defaultactiondeny //バインディングルールのリストをインターフェイスに適用し、デフォルトのバインディングルール外のデフォルト動作が破棄されることを指定します。
知らせ:
「deny 」キーワードの役割は、新しいユーザーのプライベート アクセスを制限するために、IP MAC バインディング ルールに一致しないパケットを破棄することです。デフォルトは「許可」です。つまり、IP MAC バインディング ルールに一致しないパケットの通過が許可されます。IP MAC バインディング ルールの照合に関して、「deny 」と「permit 」を組み合わせたメッセージの通信は次のようになります。
拒否が設定されていない場合 (許可、デフォルト ルール):
拒否を構成する場合:
5. 構成の検証
1. show ipmacbind statistic および show ipmacbind table を使用して、ipmacbind の統計およびバインディング エントリを表示できます。
Ruijie#show ipmacbind 統計
IPMAC-Bind globalipped 0 packets //グローバル バインディング ルールによってドロップされたパケットの数
IPMAC-Bind list 1 Drops 19 packets //リスト 1 (インターフェイスに適用する必要があります) バインディング ルールによってドロップされたパケットの数
Ruijie#show ipmacbind テーブル
IPMAC-Bind ルールの合計数: 10 //現在バインドされているエントリの数
IPMAC バインド リスト 1 ルール:
いいえ タイプ IP アドレス MAC アドレス ログ
1 <static> 192.168.0.2 00d0.f86c.1517 off //バインディングエントリの詳細
2 <静的> 192.168.0.3 0000.0000.0003 オフ
3 <静的> 192.168.0.4 0000.0000.0004 オフ
4 <静的> 192.168.0.5 0000.0000.0005 オフ
5 <静的> 192.168.0.6 0000.0000.0006 オフ
6 <静的> 192.168.0.7 0000.0000.0007 オフ
7 <静的> 192.168.0.8 0000.0000.0008 オフ
8 <静的> 192.168.0.9 0000.0000.0009 オフ
9 <静的> 192.168.0.10 0000.0000.0010 オフ
10 <静的> 192.168.0.11 0000.0000.0011 オフ
2. PC 上のバインディング エントリに対応する IP アドレスを設定します。この時点で、PC 上でゲートウェイに通常どおり ping を実行できます。
PC IP アドレス: 192.168.0.2 PC MAC アドレス: 00d0.f86c.1517。このとき、IP MAC はバインディング エントリ内にあり、1 対 1 に対応します。
3. PC の IP アドレスを 192.168.0.3 に変更します。この時点では、PC 上でゲートウェイに ping を送信できません。
PC IP アドレス: 192.168.0.3 PC MAC アドレス: 00d0.f86c.1517。このとき、バインディングエントリにはIP MACが存在しますが、対応していません。
4. PC の IP アドレスを 192.168.0.20 に変更します。この時点では、PC 上でゲートウェイに ping を送信できません。
PC IP アドレス: 192.168.0.20 PC MAC アドレス: 00d0.f86c.1517。この時点で、MAC アドレスはバインディング テーブル エントリにありますが、IP アドレスはバインディング テーブル エントリにありません。
5. MAC アドレスがバインディング エントリにない PC2 を選択し、PC2 の IP アドレスを 192.168.0.3 に変更します。この時点では、ゲートウェイは PC2 で ping できません。
PC IP アドレス: 192.168.0.3 PC2 MAC アドレス: 001a.a938.0e29。この時点で、IP はバインディング テーブル エントリにありますが、MAC アドレスはバインディング テーブル エントリにありません。
6. バインディング エントリに MAC アドレスがない PC2 を選択し、PC2 の IP アドレスを 192.168.0.20 に変更します。この時点では、ゲートウェイは PC2 で ping できません。
PC IP アドレス: 192.168.0.20 PC2 MAC アドレス: 001a.a938.0e29。現時点では、IP MAC アドレスはバインディング テーブル エントリにありません。
02 IP+MACバインディングに関するFAQ
1. IP+MACバインディング機能とは
IP+MAC アドレスのバインドとは、ルータが MAC アドレスと、それに直接接続されているネットワーク上のホストの IP アドレスをバインドして記録し、指定された MAC アドレスのみが対応する IP アドレスを使用できることを意味します。このメカニズムにより、バインドされたホストの IP アドレスのスプーフィングを防ぐことができます。このメカニズムを適用するには、次の 2 つの前提条件があります。
1) MAC アドレスは一意であり、偽造できません。
2) ルーターに直接接続されているネットワーク上のホストのみをバインドできます (つまり、ホストのゲートウェイがルーター上にあります)。
また、ホストのインターフェース上に複数の IP アドレスを設定できるため、複数の IP アドレスを同じ MAC アドレスにバインドする場合がありますが、その逆は許可されません。
2. RSR20-14/18/24 ルータが ipmacbind 機能で設定された後、インターフェイス フィルタリング プロセスが
上記からわかるように、特定のデバイスの MAC と IP がバインディング リストにない場合、このデバイスのすべてのトラフィックの通過が許可されます。したがって、ネットワーク セグメント内のユーザー IP と MAC を 1 対 1 に対応させ、ユーザーが他の IP を自由に設定できないようにしたい場合は、ネットワーク セグメント内のすべての IP に対して MAC バインディングを構成する必要があります (未使用の IP をバインドできます)存在しない IP アドレスへ)、MAC)。
3. RSR20-14/18/24ルータのipmacbind機能設定例
構成手順は次のとおりです。
IP+MAC アドレスのバインドを構成する
Ruijie(config)# ipmacbind 192.168.52.69 032a.33ac.3f11 log
特定のホストの IP アドレスが他のホストによって偽造されないようにするには、ipmacbind コマンドを使用して、ホストの IP アドレスを MAC アドレスにバインドします。バインドされた IP アドレスがすでに存在する場合は、再度バインドします。上記のコマンドは、IP アドレス 192.168.52.69 を MAC アドレス 032a.33ac.3f11 のネットワーク カードにバインドします。log は、ip+mac でバインドされたログ機能を有効にすることを意味します。ログが必要ない場合は、 「log パラメータ」を使用します。省略可能です。
同時に、残りのアドレスが恣意的に使用されないようにするために、次のように、ネットワーク セグメントの未使用の IP アドレスを存在しない MAC アドレスにバインドできます。
ipmacbind 192.168.52.254 1111.1111.1111.1111
ipmacbind 192.168.52.253 1111.1111.1111.1111
ipmacbind 192.168.52.252 1111.1111.1111.1111
ipmacbind 192.168.52.251 1111.1111.1111.1111
4. RSR20-14/18/24 ルーター ipmacbind auto が設定された後は、no ipmacbind auto によって削除できません。
clear ipmacbind all により、すべての ipmac バインディング情報をクリアします。すべての ipmac バインディング情報がクリアされると、ipmacbind auto は自動的に削除されます。
5. RSR10-02E および RSR20-14E/F がインターフェイスに IP+MAC バインディング ポリシーを適用した後、データ パケットの転送動作が
ipmacbind には、インターフェイス上で許可と拒否の 2 つのデフォルト動作があり、特定の動作に対応するデータ転送ルールは次のとおりです。
Ruijie(config-if-GigabitEthernet 0/0)#ipmacbind list 1 デフォルト アクション ?
転送する IPMAC バインド テーブル パケットと一致しないことを拒否します。
一致しない IPMAC バインド テーブル パケットの転送を許可します。
「deny」キーワードの機能は、新しいユーザーのプライベート アクセスを制限するために、IP MAC バインディング ルールに一致しないパケットを破棄することです。デフォルトは「許可」です。つまり、IP-MAC バインディング ルールに一致しないパケットは通過できます。IP-MACバインディングルールのマッチングに関して、「deny」と「permit」を組み合わせたパケットの通信は以下のようになります。
拒否が設定されていない場合 (許可、デフォルト ルール):
拒否を構成する場合:
6. RSR20-14/18/24ルータとRSR10-02E、RSR20-14E/FのIP+MACバインディング機能の違い
1) RSR20-14/18/24 ルーターはグローバル ルーターに基づいて有効であり、特定のデバイスの MAC と IP がバインディング リストにない場合、デバイスのすべてのトラフィックの通過が許可されます。
2) RSR10-02E および RSR20-14E/F ルーターはインターフェースに基づいて有効になります (VLAN インターフェースも有効です) 特定のデバイスの MAC および IP がバインディング リストにない場合、デフォルトの転送動作を設定できます。