12.1.4 端末フィルタ
- 〈この項の構成〉
(1) 概要
端末フィルタは,本装置を通過するIPv4パケットを監視して,信頼されていない端末からのアクセスを制限する機能です。
端末フィルタの動作概要を次の図に示します。
|
|
![[図データ]](./GRAPHICS/ZU216070.GIF)
端末フィルタは,コンフィグレーションコマンドip verify sourceでポート単位に設定できます。
なお,端末フィルタを使用する場合は,事前に受信側フロー検出モードに,端末フィルタの対応モード(layer3-dhcp-1,layer3-suppress-dhcp-1,またはdhcp-filterを指定したcustom)を設定する必要があります。
(2) IPv4パケットの検査
untrustポートでIPv4パケットを受信した場合,バインディングデータベースとの整合性を検査し,未登録の端末であれば,該当するIPv4パケットを廃棄します。
端末フィルタの検査対象を次の表に示します。
|
端末フィルタ条件 |
IPv4パケット |
|||
|---|---|---|---|---|
|
受信インタフェース |
Ethernetヘッダ |
IPヘッダ |
||
|
ポート |
VLAN ID |
送信元MACアドレス |
送信元IPアドレス |
|
|
送信元MACアドレスだけ |
○ |
○ |
○ |
− |
|
送信元IPアドレスだけ |
○ |
○ |
− |
○ |
|
送信元MACアドレスと送信元IPアドレス |
○ |
○ |
○ |
○ |
(凡例)○:検査対象 −:検査対象外