DHCPサーバー機能とMACアドレスフィルタの併用

"MACアドレスのみ"、"IPアドレスのみ"のチェックだけでなく、MACアドレスとIPアドレスの組合せによって不正アクセスをチェックできます。 本機能により、不正にIPアドレスを設定した「許可されていない端末」からの通信を発見し、これを破棄することができます。

MACアドレスとIPアドレスの組み合わせで不正アクセスをチェックすることが可能

全体構成

DHCPサーバー機能とMACアドレス(イーサネットフィルタ)機能を併用します。

ここでは[接続を許可する端末のMACアドレス]を指定し、その端末に割り当てるIPアドレスを予約します。予約した端末にのみIPアドレスを割り当て、予約していないクライアントにはたとえ割り当て可能な空きIPアドレスがあっても、IPアドレスを割り当てません。

[接続を許可する端末のMACアドレス]の端末のIPアドレスが予約されたIPアドレスと一致する場合にのみ通信を許可するフィルタリングをlan1の受信側(LAN側から入ってくる方向)のパケットに適用します(イーサネットフィルタの適用)。

さらに、このイーサネットフィルタのログ出力をトリガとして、メール通知機能により、あらかじめ指定した[送信先メールアドレス]に通知することで不正アクセスを知ることができます。

RTX1200設定例

イーサネットフィルタ
の設定
ethernet filter 1 pass dhcp-bind 1
LANポート
のIPアドレス設定
ip lan1 address 172.16.1.254/24
イーサネットフィルタ
の適用
ethernet lan1 filter in 1
DHCPの設定 dhcp service server
dhcp scope lease type 1 bind-only
dhcp scope 1 172.16.1.1-172.16.1.10/24
IPアドレスの予約 dhcp scope bind 1 172.16.1.3 ethernet [接続を許可する端末のMACアドレス]
メール通知機能
の設定
mail server smtp 1 [メールサーバーのアドレス]
mail template 1 1 From:[送信元メールアドレス] To:[送信先メールアドレス]
mail notify 1 1 trigger filter ethernet lan1 in

ページトップへ戻る