この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Dynamic Host Configuration Protocol(DHCP)スヌーピングの設定手順を説明します。
DHCP スヌーピングは、信頼できないホストと信頼できる DHCP サーバの間でファイアウォールのように動作します。DHCP スヌーピングは以下の処理を実行します。
• 信頼しない送信元から受信した DHCP メッセージを検証し、無効なメッセージをフィルタリングします。
• DHCP スヌーピング バインディング データベースを構築し維持します。このデータベースには、信頼できないホストに関する情報と専用 IP アドレスが含まれています。
• 信頼できないホストからの後続要求を検証するために DHCP スヌーピング バインディング データベースを利用します。
Dynamic ARP Inspection(DAI; ダイナミック ARP 検査)と IP ソース ガードも DHCP スヌーピング バインディング データベースに保存されている情報を使用します。
DHCP スヌーピングは VLAN 単位でイネーブルにします。デフォルトでは、この機能はすべての VLAN で非アクティブです。この機能は 1 つの VLAN、または特定の VLAN 範囲でイネーブルにできます。
• 「DHCP スヌーピング バインディング データベース」
• 「パケット検証」
• 「DHCP スヌーピングの Option 82 データ挿入」
• 「DHCP スヌーピングのバーチャライゼーション サポート」
DHCP スヌーピングがトラフィックの送信元を信頼するかどうかを設定できます。信頼できない送信元は、トラフィック攻撃を開始したり他の悪意のある動作を行う可能性があります。こうした攻撃を防ぐため、DHCP スヌーピングは信頼できない送信元からのメッセージをフィルタリングします。
企業ネットワークでは、信頼できる送信元はその企業の管理制御下にあるデバイスです。これらのデバイスには、ネットワーク内のスイッチ、ルータ、およびサーバが含まれます。ファイアウォールを越えるデバイスやネットワーク外のデバイスは信頼できない送信元です。一般的に、ホスト ポートは信頼できない送信元として扱われます。
サービス プロバイダー環境では、サービス プロバイダー ネットワーク内にないデバイスは信頼できない送信元です(カスタマーのスイッチなど)。ホスト ポートは信頼できない送信元です。
NX-OS デバイスでは、接続インターフェイスの信頼状態を設定することにより、送信元を信頼できるものとして扱うことができます。
全インターフェイスのデフォルトの信頼状態は untrusted です。DHCP サーバ インターフェイスを trusted に設定する必要があります。他のインターフェイスも、ネットワーク内のデバイス(スイッチやルータ)に接続している場合は、trusted に設定できます。通常ホスト ポートを trusted には設定しません。
(注) DHCP スヌーピングを適切に機能させるためには、すべての DHCP サーバが信頼できるインターフェイスを介してデバイスと接続される必要があります。
DHCP スヌーピングは、代行受信した DHCP メッセージから抽出した情報を使用し、ダイナミックにデータベースを構築し維持します。DHCP スヌーピングがイネーブルになっている VLAN にホストが関連付けられている場合、このデータベースには信頼できない各ホストのエントリが含まれ、専用 IP アドレスが保存されます。このデータベースには、信頼できるインターフェイスを通じて接続されたホストのエントリは含まれていません。
(注) DHCP スヌーピング バインディング データベースは DHCP スヌーピング バインディング テーブルとも呼ばれます。
デバイスが特定の DHCP メッセージを受信すると、DHCP スヌーピングはデータベースをアップデートします。たとえば、デバイスが DHCPACK メッセージをサーバから受信すると、この機能によってデータベースにエントリが追加されます。IP アドレスのリース期限が過ぎたり、デバイスがホストから DHCPRELEASE メッセージを受信すると、この機能によってデータベース内のエントリが削除されます。
DHCP スヌーピング バインディング データベースの各エントリには、ホストの MAC アドレス、専用 IP アドレス、リース期間、バインディングの種類、ホストに関連付けられた VLAN(仮想LAN)の番号およびインターフェイス情報が含まれています。
clear ip dhcp snooping binding コマンドを使用すると、バインディング データベースからエントリ削除できます。詳細については、「DHCP スヌーピング バインディング データベースのクリア」を参照してください。
DHCP リレー エージェントを実行するように NX-OS を設定できます。DHCP リレー エージェントとは、クライアントとサーバの間で DHCP パケットを転送するホストです。これは、クライアントとサーバが同じ物理サブネット上にない場合に便利な機能です。リレー エージェントによる転送は、通常の IP ルータによる転送とは異なります。IP ルータによる転送では、IP データグラムがネットワーク間である程度透過的にスイッチングされます。一方、リレー エージェントは DHCP メッセージを受信すると、新しい DHCP メッセージを生成し、別のインターフェイスに送出します。リレー エージェントはゲートウェイ アドレスを設定し(DHCP パケットの giaddr フィールド)、パケットにリレー エージェント情報のオプション(option82)を追加して(設定されている場合)、DHCP サーバに転送します。サーバからの応答は、option82 を削除してからクライアントに転送されます。
デバイスは、DHCP スヌーピングがイネーブルの VLAN にある信頼できないインターフェイスで受信された DHCP パケットを検証します。デバイスは、以下のいずれかの条件が発生しないかぎり、DHCP パケットを転送します(これらの条件が発生した場合、パケットはドロップされます)。
• 信頼できないインターフェイスで DHCP 応答パケット(DHCPACK、DHCPNAK、またはDHCPOFFER などのパケット)を受信した場合。
• 信頼できないインターフェイスからパケットを受信し、この送信元 MAC アドレスと DHCP クライアント ハードウェア アドレスが一致しない場合。このチェックは、DHCP スヌーピング MAC アドレス確認オプションがオンになっている場合のみ実行されます。
• DHCP スヌーピング バインディング テーブル内にエントリを持つ信頼できないホストから DHCPRELEASE または DHCPDECLINE メッセージを受信したが、バインディング テーブル内のインターフェイス情報が、このメッセージを受信したインターフェイスと一致しない場合。
住宅地域にあるメトロポリタン イーサネット アクセス環境では、DHCP は多数の加入者に対し、IP アドレスの割り当てを一元的に管理できます。Option 82 をイネーブルにすると、デバイスはネットワークに接続する加入者装置(およびその MAC アドレス)を識別します。加入者 LAN 上の複数のホストをアクセス装置の同一ポートに接続でき、これらは一意に識別されます。
図14-1 のメトロポリタン イーサネット ネットワークでは、アクセス レイヤのデバイスに接続されている加入者に、DHCP サーバが IP アドレスを一元的に割り当てます。DHCP クライアントと、これらに関連付けられた DHCP サーバは、同一の IP ネットワークまたはサブネット内に存在しません。したがって、DHCP リレー エージェントにヘルパー アドレスを設定することで、ブロードキャスト転送を可能にし、クライアントとサーバ間で DHCP メッセージを転送します。
図14-1 メトロポリタン イーサネット ネットワークにおける DHCP リレー エージェント
NX-OS デバイスで Option 82 をイネーブルにすると、次のイベントが順番に発生します。
1. ホスト(DHCP クライアント)は DHCP 要求を生成し、これをネットワーク上にブロードキャストします。
2. NX-OS デバイスはこの DHCP 要求を受信すると、パケット内に Option 82 情報を追加します。Option 82 情報には、デバイスの MAC アドレス(リモート ID サブオプション)、およびパケットを受信したポートの識別子である vlan-mod-port(回線 ID サブオプション)が含まれます。
3. デバイスは、DHCP パケットにリレー エージェントの IP アドレスを追加します。
4. デバイスは、Option 82 フィールドを含む DHCP 要求を DHCP サーバに転送します。
5. DHCP サーバはこのパケットを受信します。Option 82 に対応しているサーバであれば、このリモート ID または回線 ID、またはその両方を使用して、IP アドレスの割り当てやポリシーの適用を行うことができます。たとえば、単一のリモート ID または回線 ID に割り当てることのできる IP アドレスの数を制限するポリシーなどです。DHCP サーバは、DHCP 応答内に Option 82 フィールドをエコーします。
6. NX-OS デバイスがサーバへの要求を中継した場合、DHCP サーバはその NX-OX デバイスに応答をユニキャストします。NX-OX デバイスは、リモート ID フィールド、および場合によっては回線 ID フィールドを検査することで、最初に Option 82 データを挿入したのがこのデバイス自身であることを確認します。NX-OX デバイス は Option 82 フィールドを削除してから、DHCP 要求を送信した DHCP クライアントと接続しているインターフェイスにパケットを転送します。
上記の一連のイベントが発生した場合、以下の値は変更されません(図14-2 を参照)。
図14-2 は、リモート ID サブオプションおよび回線 ID サブオプションのパケット形式を示します。NX-OS デバイスがこのパケット形式を使用するのは、DHCP スヌーピングがグローバルにイネーブル化され、Option 82 データの挿入と削除がイネーブルに設定された場合です。回線 ID サブオプションの場合は、モジュール フィールドはモジュールのスロット番号となります。
Virtual Device Context(VDC; バーチャル デバイス コンテキスト)では、DHCP スヌーピングに次の事項が適用されます。
• DHCP スヌーピング バインディング データベースは各 VDC に固有です。ある VDC のバインディングが他の VDC の DHCP スヌーピングに影響することはありません。
|
|
---|---|
DHCP スヌーピングにはライセンスは必要ありません。ライセンス パッケージに含まれていない機能は、Cisco NX-OS システム イメージにバンドルされており、追加料金なしで利用できます。NX-OS のライセンス スキームに関する詳細は、『 Cisco NX-OS Licensing Guide 』を参照してください。 |
DHCP スヌーピングに関する注意事項と制約事項は次のとおりです。
• DHCP スヌーピング データベースには 2000 のバインディングを格納できます。
• DHCP をグローバルにイネーブル化し、さらに少なくとも 1 つの VLAN で DHCP スヌーピングをイネーブルにするまで、DHCP スヌーピングはアクティブになりません。
• デバイス上で グローバルに DHCP スヌーピングをイネーブル化するには、DHCP サーバおよび DHCP リレー エージェントとして機能するデバイスを、事前に設定しイネーブルにしておく必要があります。
• 「DHCP スヌーピング機能のイネーブル化またはディセーブル化」
• 「DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化」
• 「VLAN に対する DHCP スヌーピングのイネーブル化またはディセーブル化」
• 「DHCP スヌーピングの MAC アドレス検証のイネーブル化またはディセーブル化」
• 「Option 82 データの挿入および削除のイネーブル化またはディセーブル化」
• 「DHCP リレー エージェントのイネーブル化またはディセーブル化」
• 「DHCP リレー エージェントに対する Option 82 のイネーブル化またはディセーブル化」
• 「インターフェイスへの DHCP サーバ アドレスの設定」
ステップ 1 DHCP スヌーピング機能をイネーブルにします。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。
DHCP スヌーピング機能がディセーブルになっていると、DHCP スヌーピングを設定できません。
ステップ 2 DHCP スヌーピングをグローバルにイネーブル化します。詳細については、「DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化」を参照してください。
ステップ 3 少なくとも 1 つの VLAN で DHCP スヌーピングをイネーブルにします。詳細については、「VLAN に対する DHCP スヌーピングのイネーブル化またはディセーブル化」を参照してください。
デフォルトでは、DHCP スヌーピングはすべての VLAN でディセーブルになります。
ステップ 4 DHCP サーバとデバイスが、信頼できるインターフェイスを使用して接続されていることを確認します。詳細については、「インターフェイスの信頼状態の設定」を参照してください。
ステップ 5 (任意)DHCP リレー エージェントをイネーブルにします。詳細については、「DHCP リレー エージェントのイネーブル化またはディセーブル化」を参照してください。
ステップ 6 (任意)インターフェイスに DHCP サーバの IP アドレスを設定します。詳細については、「インターフェイスへの DHCP サーバ アドレスの設定」を参照してください。
デバイスの DHCP スヌーピング機能をイネーブルまたはディセーブルに設定できます。デフォルトでは、DHCP スヌーピングはディセーブルです。
DHCP スヌーピング機能をディセーブルにすると、DHCP スヌーピングの設定がすべて消去されます。DHCP スヌーピングをオフにして DHCP スヌーピングの設定を維持したい場合は、DHCP をグローバルにディセーブル化します。詳細については、「DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化」を参照してください。
|
|
|
---|---|---|
DHCP スヌーピング機能をイネーブルにします。 no オプションを使用すると、DHCP スヌーピング機能がディセーブルになり、DHCP スヌーピングの設定がすべて消去されます。 |
||
デフォルトでは、DHCP スヌーピングはグローバルにディセーブルです。
DHCP スヌーピング機能がイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。
DHCP スヌーピングをグローバル ディセーブルにすると、デバイスは DECP スヌーピングの実行や DHCP メッセージのリレーをすべて停止します。DHCP スヌーピングの設定は維持されます。
|
|
|
---|---|---|
DHCP スヌーピングをグローバルにイネーブル化します。 no オプションを使用すると DHCP スヌーピングがディセーブルになります。 |
||
デフォルトでは、DHCP スヌーピングはすべての VLAN でディセーブルになります。
DHCP スヌーピングがイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。
|
|
|
---|---|---|
vlan-list で指定する VLAN の DHCP スヌーピングをイネーブルにします。 no オプションを使用すると、指定 VLAN の DHCP スヌーピングがディセーブルになります。 |
||
DHCP スヌーピングの MAC アドレス検証をイネーブルまたはディセーブルにします。信頼できないインターフェイスからパケットを受信し、この送信元 MAC アドレスと DHCP クライアント ハードウェア アドレスが一致しない場合、アドレス検証によってデバイスはパケットをドロップします。
DHCP スヌーピングがイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。
|
|
|
---|---|---|
DHCP スヌーピングの MAC アドレス検証をイネーブルにします。 no オプションを使用すると MAC アドレス検証がディセーブルになります。 |
||
DHCP リレー エージェントを使用せずに転送された DHCP パケットへのOption 82 情報の挿入および削除をイネーブルまたはディセーブルに設定できます。
(注) Option 82 のサポートは、DHCP リレー エージェントに個別に設定する必要があります。詳細については、「DHCP リレー エージェントに対する Option 82 のイネーブル化またはディセーブル化」を参照してください。
デフォルトでは、デバイスは DHCP パケットに Option 82 情報を挿入しません。
DHCP スヌーピングがイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。
|
|
|
---|---|---|
DHCP パケット に対する Option 82 情報の挿入および削除をイネーブルにします。 no オプションを使用すると、Ootion 82 情報の挿入および削除がディセーブルになります。 |
||
各インターフェイスが DHCP メッセージの送信元として信頼できるかどうかを設定できます。DHCP の信頼状態は、次のタイプのインターフェイスに設定できます。
デフォルトでは、すべてのインターフェイスは信頼できない(untrusted)状態です。
DHCP スヌーピングがイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。
2. interface ethernet slot / port
interface port-channel channel-number
デフォルトでは、DHCP リレー エージェントはディセーブルです。
DHCP スヌーピングがイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。
|
|
|
---|---|---|
DHCP リレー エージェントをイネーブルにします。 no オプションを使用すると、DHCP リレー エージェントがディセーブルになります。 |
||
デバイスに対し、リレー エージェントによって転送された DHCP パケットへの Option 82 情報の挿入と削除をイネーブルまたはディセーブルに設定できます。
デフォルトでは、DHCP リレー エージェントは DHCP パケットに Option 82 情報を挿入しません。
DHCP スヌーピングがイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。
|
|
|
---|---|---|
DHCP リレー エージェントによって転送されるパケットに対する Option 82 情報の挿入および削除をイネーブルにします。 no オプションを使用すると、この動作がディセーブルになります。 |
||
インターフェイスに DHCP サーバ IP アドレスを設定できます。インバウンド DHCP BOOTREQUEST パケットがインターフェイスに着信すると、リレー エージェントはそのパケットを指定の IP アドレスに転送します。
デフォルトでは、DHCP サーバ IP アドレスはインターフェイスに設定されません。
DHCP スヌーピングがイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。
2. interface ethernet slot / port [ . number ]
interface port-channel channel-id
DHCP スヌーピングの設定情報を表示するには、次のコマンドを使用します。
|
|
---|---|
これらのコマンドの出力フィールドに関する詳細は、『 Cisco NX-OS Security Command Reference 』を参照してください。
DHCP バインディング テーブルを表示するには、 show ip dhcp snooping binding コマンドを使用します。このコマンドの出力フィールドに関する詳細は、『 Cisco NX-OS Security Command Reference 』を参照してください。
DHCP バインディング データベースからすべてのエントリを削除できます。
DHCP スヌーピングがイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。
|
|
|
---|---|---|
DHCP スヌーピングの統計情報を表示するには、 show ip dhcp snooping statistics コマンドを使用します。このコマンドの出力フィールドに関する詳細は、『 Cisco NX-OS Security Command Reference 』を参照してください。
次の例では、2 つの VLAN の DHCP スヌーピングをイネーブルにし、Option 82 のサポートをイネーブルにして、イーサネット インターフェイス 2/5 を trusted に設定して、DHCP サーバがこのインターフェイスに接続できるようにします。
次の例では、DHCP リレー エージェントをイネーブルにして、イーサネット インターフェイス 2/3 に DHCP サーバ IP アドレス(10.132.7.120)を設定します。
表14-1 に DHCP スヌーピングのパラメータのデフォルト設定値を示します。
|
|
---|---|
DHCP スヌーピングの実装に関する詳細情報については、次を参照してください。
• 「関連資料」
• 「規格」
|
|
---|---|
|
|
---|---|
『 Dynamic Host Configuration Protocol 』 (http://tools.ietf.org/html/rfc2131) |
|
『 DHCP Relay Agent Information Option 』 (http://tools.ietf.org/html/rfc3046) |