Cisco IOS IP アドレッシング サービス コンフィギュ レーション ガイド
アカウンティングおよびセキュリティ目的で の DHCP サービスの設定
アカウンティングおよびセキュリティ目的での DHCP サービスの設定
発行日;2012/02/04 | 英語版ドキュメント(2011/07/22 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

アカウンティングおよびセキュリティ目的での DHCP サービスの設定

この章の構成

アカウンティングおよびセキュリティ目的での DHCP サービスの設定の前提条件

アカウンティングおよびセキュリティ目的での DHCP サービスについて

パブリック ワイヤレス LAN での DHCP の動作

パブリック ワイヤレス LAN のセキュリティ脆弱性

セキュリティおよびアカウンティング目的の DHCP サービスの概要

DHCP リース制限

アカウンティングおよびセキュリティ目的での DHCP サービスの設定方法

DHCP アカウンティングのための AAA および RADIUS の設定

RADIUS アカウンティング アトリビュート

トラブルシューティングのヒント

DHCP アカウンティングの設定

DHCP アカウンティング

前提条件

制約事項

DHCP アカウンティングの確認

DHCP リースに対する ARP テーブル エントリの保護

トラブルシューティングのヒント

DHCP 許可 ARP の設定

ARP プローブ動作

制約事項

サブスクライバ数をグローバルに制御するための DHCP リース制限の設定

DHCP リース制限の制約事項

トラブルシューティングのヒント

インターフェイス上のサブスクライバ数を制御するための DHCP リース制限の設定

制約事項

トラブルシューティングのヒント

アカウンティングおよびセキュリティ目的での DHCP サービスの設定例

DHCP アカウンティングのための AAA および RADIUS の設定:例

DHCP アカウンティングの設定:例

DHCP アカウンティングの確認:例

DHCP 許可 ARP の設定:例

DHCP 許可 ARP の確認:例

DHCP リース制限の設定:例

その他の関連資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

アカウンティングおよびセキュリティ目的での DHCP サービスの機能情報

アカウンティングおよびセキュリティ目的での DHCP サービスの設定

Cisco IOS ソフトウェアでは、Public Wireless LAN(PWLAN; パブリック ワイヤレス LAN)での DHCP のセキュリティ、信頼性、およびアカウンティング機能を高めるいくつかの機能をサポートしています。この機能は、他のネットワーク実装でも使用できます。このモジュールでは、アカウンティングおよびセキュリティ目的で DHCP サービスを設定するために必要な概念と作業について説明します。

変更履歴

このマニュアルの初版の発行は 2005/05/02 で、最終更新日は 2008/05/16 です。

この章で紹介する機能情報の入手方法

ご使用の Cisco IOS ソフトウェア リリースで、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用の Cisco IOS ソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている特定の機能に関する説明へのリンク、および各機能がサポートされているリリースのリストについては、「アカウンティングおよびセキュリティ目的での DHCP サービスの機能情報」を参照してください。

プラットフォーム、Cisco IOS ソフトウェア イメージ、および Cisco Catalyst OS ソフトウェア イメージのサポート情報の入手方法

Cisco Feature Navigator を使用すると、プラットフォーム、Cisco IOS ソフトウェア イメージ、および Cisco Catalyst OS ソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

アカウンティングおよびセキュリティ目的での DHCP サービスの設定の前提条件

アカウンティングおよびセキュリティ目的で DHCP サービスを設定する前に、「 DHCP の概要 」モジュールに記載されている概念を理解しておく必要があります。

アカウンティングおよびセキュリティ目的での DHCP サービスについて

アカウンティングおよびセキュリティ目的で DHCP サービスを設定する前に、次の概念を理解しておく必要があります。

「パブリック ワイヤレス LAN での DHCP の動作」

「パブリック ワイヤレス LAN のセキュリティ脆弱性」

「セキュリティおよびアカウンティング目的の DHCP サービスの概要」

「DHCP リース制限」

パブリック ワイヤレス LAN での DHCP の動作

パブリック ワイヤレス LAN(PWLAN)で DHCP を設定すると、ワイヤレス クライアントの設定が簡素化され、ネットワークの維持に必要なオーバーヘッドが減少します。DHCP クライアントは DHCP サーバによって IP アドレスがリースされ、クライアントがネットワーク サービスにアクセスすることを許可する Service Selection Gateway(SSG)によって認証されます。DHCP サーバと DHCP クライアントは、IP アドレス割り当て用の DHCP メッセージを交換します。DHCP サーバがクライアントに IP アドレスを割り当てると、DHCP バインディングが作成されます。IP アドレスは、クライアントが IP アドレスを明示的にリリースしてネットワークから接続解除されるまでクライアントにリースされます。クライアントがアドレスをリリースせずに接続解除された場合、サーバはリース期間を過ぎた後でリースを終了します。どちらの場合も、DHCP サーバはバインディングを削除し、IP アドレスはプールに返されます。

パブリック ワイヤレス LAN のセキュリティ脆弱性

PWLAN の利用者が増えるにつれ、セキュリティが重要な懸念事項となっています。PWLAN の大半の実装では、ホット スポット(コーヒー ショップ、空港ターミナル、ホテルなど)にいるユーザが IP アドレスを取得するために DHCP を利用し、DHCP サーバによって提供されたこの IP アドレスを、セッション期間中に使用します。

IP スプーフィングは、IP アドレスのスプーフィングにハッカーが使用する一般的な手法です。たとえば、お客様 A は DHCP から IP アドレスを取得し、PWLAN を使用することがすでに認証されていますが、ハッカーはお客様 A の IP アドレスをスプーフィングし、この IP アドレスを使用してトラフィックを送受信します。サービスを使用していない場合でも、お客様 A にはそのサービスに対する請求が発生します。

Address Resolution Protocol(ARP; アドレス解決プロトコル)テーブル エントリはダイナミックな設計になっています。要求および応答 ARP パケットは、ネットワークのすべてのネットワーキング デバイスによって送受信されます。DHCP ネットワークでは、DHCP サーバは MAC アドレスまたはクライアントのクライアント ID に対してリースされた IP アドレスを DHCP バインディングに保管します。しかし、ARP エントリはダイナミックに学習されるため、DHCP サーバによって提供された IP アドレスを無許可のクライアントがスプーフィングし、その IP アドレスの使用を開始できます。ARP テーブル内の許可されたクライアントの MAC アドレスは、この無許可のクライアントの MAC アドレスに置き換えられるため、無許可のクライアントはスプーフィングされた IP アドレスを自由に使用できます。

セキュリティおよびアカウンティング目的の DHCP サービスの概要

DHCP のセキュリティおよびアカウンティング機能は、PWLAN でのセキュリティの懸念に対処するために設計および実装されたものですが、他のネットワーク実装でも使用できます。

DHCP アカウンティングは、DHCP に Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)および Remote Authentication Dial-In User Service(RADIUS)のサポートを提供します。AAA および RADIUS のサポートにより、セキュアな START および STOP アカウンティング メッセージを送信して、セキュリティを向上することができます。DHCP アカウンティングの設定により、適切な RADIUS START および STOP アカウンティング レコードに対して DHCP リースの割り当ておよび終了をトリガーできることで、SSG などのアップストリーム デバイスによってセッション ステートが適切に維持され、セキュリティの層が追加されます。この追加セキュリティは、無許可のクライアントまたはハッカーが、許可された DHCP リースをスプーフィングしてネットワークに不正侵入するのを防ぐのに役立ちます。

PWLAN のセキュリティ問題に対応するため、この他にも 3 つの機能が設計および実装されています。1 番目の機能は、DHCP リースに対する ARP テーブル エントリを DHCP データベースに保護します。このセキュアな ARP 機能により、DHCP サーバのデータベースを ARP テーブルと同期させてアドレスの乗っ取りを回避することにより、IP スプーフィングを防止します。セキュア ARP では、アドレスが割り当てられたときにクライアントのエントリが ARP テーブルに追加されます。このエントリは、バインディングが期限切れになった場合だけ DHCP サーバによって削除できます。

2 つ目の機能は、DHCP 許可 ARP です。この機能は、ユーザがいつログアウトするかを明示的に認識することが必要という DHCP のニーズに対処することで、完全なソリューションを提供します。DHCP 許可 ARP が導入される前までは、ユーザが不適切な方法でシステムを離れたかどうかを DHCP サーバに通知するメカニズムがなかったため、ログアウトしてもシステムがログアウトを検出しなかったお客様に、必要以上の請求をしてしまうことがありました。この問題を回避するために、DHCP 許可 ARP は定期的な ARP メッセージを分単位で送信し、ユーザがまだログインしているかどうかを判断します。許可されたユーザだけが ARP 要求に応答できます。許可されていないユーザからの ARP 応答は、DHCP サーバでブロックされるため、セキュリティ レベルがより強化されます。

さらに、DHCP 許可 ARP はインターフェイスでの ARP ダイナミック学習をディセーブルにします。アドレス マッピングは、 arp authorized インターフェイス コンフィギュレーション コマンドによって指定される許可されたコンポーネントだけがインストールできます。ARP エントリのインストールが現在可能な許可されたコンポーネントは DHCP だけです。

3 番目の機能は ARP 自動ログオフで、許可されたユーザがログアウトするときにプローブするための詳細な制御機能を提供します。 arp probe interval コマンドは、プローブをいつ開始するか(タイムアウト)、ピアをプローブする頻度(インターバル)、および最大リトライ回数(カウント)を指定します。

DHCP リース制限

DHCP リース制限を設定することによって、加入者数をグローバルまたはインターフェイス ベースで制御できます。この機能によって、Internet Service Provider(ISP; インターネット サービス プロバイダー)は、クライアントが利用できる家族または接続あたりのリース数を制限できます。

アカウンティングおよびセキュリティ目的での DHCP サービスの設定方法

ここでは、次の作業について説明します。

「DHCP アカウンティングのための AAA および RADIUS の設定」

「DHCP アカウンティングの設定」

「DHCP アカウンティングの確認」

「DHCP リースに対する ARP テーブル エントリの保護」

「DHCP 許可 ARP の設定」

「サブスクライバ数をグローバルに制御するための DHCP リース制限の設定」

「インターフェイス上のサブスクライバ数を制御するための DHCP リース制限の設定」

DHCP アカウンティングのための AAA および RADIUS の設定

DHCP アカウンティングのための AAA および RADIUS を設定するには、次の作業を実行します。

RADIUS は、セキュアな START および STOP メッセージの送信のためのアカウンティング機能を提供します。AAA および RADIUS は DHCP アカウンティングの設定前にイネーブルになっていますが、非セキュアな DHCP ネットワークを保護するためにイネーブルにすることも可能です。この項の設定手順は、新規または既存のネットワークに DHCP アカウンティングを設定するために必要です。

RADIUS アカウンティング アトリビュート

DHCP アカウンティングでは、 表 1 に示すアトリビュートが導入されています。これらのアトリビュートは、DHCP アカウンティングがイネーブルにされたときに RADIUS サーバによって直接処理されます。これらのアトリビュートは、 debug radius コマンドの出力で監視できます。出力には DHCP リースのステータスと、クライアントに関する具体的な設定の詳細情報が表示されます。 debug radius コマンドと一緒に accounting キーワードを使用すると、出力をフィルタリングして DHCP アカウンティング メッセージだけを表示できます。

表 1 RADIUS アカウンティング アトリビュート

アトリビュート
説明

Calling-Station-ID

このアトリビュートの出力には、クライアントの MAC アドレスが表示されます。

Framed-IP-Address

このアトリビュートの出力には、クライアントにリースされた IP アドレスが表示されます。

Acct-Terminate-Cause

クライアントが明示的に接続解除されていない場合、このアトリビュートの出力には、「session-timeout」というメッセージが表示されます。

手順の概要

1. enable

2. configure terminal

3. aaa new-model

4. aaa group server radius group-name

5. server ip-address auth-port port-number acct-port port-number

6. exit

7. aaa accounting { system | network | exec | connection | commands level } { default | list-name } { start-stop | stop-only | none } [ broadcast ] group group-name

8. aaa session-id { common | unique }

9. ip radius source-interface type-number [ vrf vrf-name ]

10. radius-server host { hostname | ip-address } [ auth-port port-number ] [ acct-port port-number ]

11. radius-server retransmit number-of-retries

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa new-model

 

Router(config)# aaa new-model

AAA アクセス コントロール モデルをイネーブルにします。

DHCP アカウンティングはアクセス コントロール モデルだけで機能します

(注) TACACS コマンドおよび拡張された TACACS コマンドは、このコマンドを設定した後は使用できず、DHCP アカウンティングでサポートされません。

ステップ 4

aaa group server radius group-name

 

Router(config)# aaa group server radius RGROUP-1

AAA または TACACS+ サービス用のサーバ グループを作成し、サーバ グループ コンフィギュレーション モードを開始します。

サーバ グループをこのステップで作成して、アカウンティング サービスを適用できるようにします。

ステップ 5

server ip-address auth-port port-number acct-port port-number

 

Router(config-sg-radius)# server 10.0.0.1 auth-port 1645 acct-port 1646

ステップ 4 で作成されたサーバ グループのメンバーであるサーバを指定します。

認可およびアカウンティング用のポート番号を開く必要があります。1645 は認可用のデフォルト ポート番号、1646 はアカウンティング用のデフォルト ポート番号です。指定できるポート番号の範囲は 0 ~ 65535 です。

auth-port port-number と acct-port port-number のキーワードおよび引数に入力する値は、ステップ 10 で設定するポート番号と一致する必要があります。

ステップ 6

exit

 

Router(config-sg-radius)# exit

サーバ グループ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。

ステップ 7

aaa accounting { system | network | exec | connection | commands level } { default | list-name } { start-stop | stop-only | none } [ broadcast ] group group-name

 

Router(config)# aaa accounting network RADIUS-GROUP1 start-stop group RGROUP-1

指定したサーバ グループの RADIUS アカウンティングを設定します。

RADIUS アカウンティング サーバは最初の list-name 引数(RADIUS-GROUP1)で指定し、ターゲット サーバ グループは 2 番目の group-name 引数(RGROUP-1)で指定します。

このコマンドは DHCP アカウンティングの start および stop アカウンティングをイネーブルにします。start-stop キーワードは START と STOP の両方のアカウンティング メッセージの送信をイネーブルにします。stop-only キーワードは STOP アカウンティング メッセージだけの生成および検証をイネーブルにします。

ステップ 8

aaa session-id {common | unique}

 

Router(config)# aaa session-id common

コール内の各 AAA アカウンティング サービス タイプに、同じセッション ID を使用するかどうか、または、各アカウンティング サービス タイプに対して異なるセッション ID を割り当てるかどうかを指定します。

ステップ 9

ip radius source-interface type-number [vrf vrf-name]

 

Router(config)# ip radius source-interface Ethernet 0

すべての発信 RADIUS パケットについて、指定されたインターフェイスの IP アドレスを RADIUS で強制的に使用するようにします。

ステップ 10

radius-server host {hostname | ip-address} [auth-port port-number] [acct-port port-number]

 

Router(config)# radius-server host 10.1.1.1 auth-port 1645 acct-port 1646

RADIUS サーバ ホストを指定します。

auth-port port-number と acct-port port-number のキーワードおよび引数に入力する値は、ステップ 5 で設定したポート番号と一致する必要があります。

ステップ 11

radius-server retransmit number-of-retries

 

Router(config)# radius-server retransmit 3

Cisco IOS ソフトウェアが RADIUS サーバ ホストを探す回数を指定します。

トラブルシューティングのヒント

RADIUS アカウンティングの設定の監視およびトラブルシューティングを行うには、次のコマンドを使用します。

 

コマンド
目的

debug radius accounting

 

Router# debug radius accounting

debug radius コマンドは、RADIUS イベントをルータのコンソールに表示するために使用します。これらのイベントでは RADIUS プロセスに関する情報が提供されます。DHCP アカウンティング情報は accounting キーワードを使用してフィルタリングできます。START および STOP のアカウンティング メッセージ情報も表示されます。

DHCP アカウンティングの設定

DHCP アカウンティングを設定するには、次の作業を実行します。

DHCP アカウンティング

DHCP アカウンティングは、DHCP プール コンフィギュレーション コマンド accounting を使用してイネーブルにされます。このコマンドにより、DHCP が AAA および RADIUS と一緒に動作し、セキュアな START および STOP アカウンティング メッセージをイネーブルにするよう設定します。この設定により、適切な RADIUS START および STOP アカウンティング レコードに対して DHCP リースの割り当ておよび終了をトリガーできることで、SSG などのアップストリーム デバイスによってセッション ステートが適切に維持され、セキュリティの層が追加されます。

DHCP アカウンティングは、クライアント単位またはリース単位で設定されます。別の DHCP アカウンティング プロセスをプール単位で設定できます。

前提条件

クライアント認証用に SSG を設定する必要があります。DHCP アカウンティングが作動する前に、AAA および RADIUS をイネーブルにする必要があります。

制約事項

DHCP アカウンティングには、次の制約事項が適用されます。

DHCP アカウンティングを設定できるのは、バインディングが自動的に作成され、リースの終了またはクライアントが DHCPRELEASE メッセージを送信したときにバインディングが破棄される DHCP ネットワーク プールだけです。

DHCP バインディングが破棄されるのは、 clear ip dhcp binding コマンドまたは no service dhcp コマンドが入力されたときで、このときアカウンティング STOP メッセージもトリガーされます。DHCP アカウンティングを使用してプールを設定している場合、これらのコマンドはアクティブなリースをクリアするため、これらのコマンドを入力するときは注意する必要があります。

手順の概要

1. enable

2. configure terminal

3. ip dhcp pool pool-name

4. accounting method-list-name

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip dhcp pool pool-name

 

Router(config)# ip dhcp pool WIRELESS-POOL

DHCP アドレス プールを設定し、DHCP プール コンフィギュレーション モードを開始します。

ステップ 4

accounting method-list-name

 

Router(dhcp-config)# accounting RADIUS-GROUP1

指定したサーバ グループが RADIUS アカウンティングを実行するように設定されている場合、DHCP アカウンティングをイネーブルにします。

この例では、RADIUS-GROUP1 が start-stop グループとして設定されている場合、DHCP アカウンティングの START および STOP メッセージを送信するように設定します。STOP メッセージが送信されるのは、RADIUS-GROUP1 が stop-only グループとして設定された場合だけです。詳細については、DHCP アカウンティングのための AAA および RADIUS の設定の設定作業表のステップ 7 を参照してください。

DHCP アカウンティングの確認

DHCP アカウンティング設定を確認するには、次の作業を実行します。

debug radius debug ip dhcp server events debug aaa accounting debug aaa id コマンドは、提供される情報に差異があるため、一緒に発行したり同じセッションで発行する必要はありません。ただし、これらのコマンドは、DHCP アカウンティングの START および STOP イベント、AAA アカウンティング メッセージ、および AAA と DHCP のホストおよびクライアントに関する情報を表示するために使用できます。DHCP アカウンティングによって導入された AAA アトリビュートのリストについては、このモジュールの「RADIUS アカウンティング アトリビュート」の項を参照してください。 show running-config | begin dhcp コマンドは、DHCP アカウンティングの設定を含めたローカル DHCP 設定を表示するために使用できます。

手順の概要

1. enable

2. debug radius accounting

3. debug ip dhcp server events

4. debug aaa accounting

5. debug aaa id

6. show running-config | begin dhcp

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードなど、高位の権限レベルをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

debug radius accounting

 

Router# debug radius accounting

RADIUS イベントをルータのコンソールに表示します。

これらのイベントでは RADIUS プロセスに関する情報が提供されます。DHCP アカウンティング情報は accounting キーワードを使用してフィルタリングできます。START および STOP アカウンティング メッセージが出力に表示されます。

ステップ 3

debug ip dhcp server events

 

Router# debug ip dhcp server events

DHCP IP アドレスの割り当て、DHCP リースの期限切れ、および DHCP データベースの変更を表示します

ステップ 4

debug aaa accounting

 

Router# debug aaa accounting

AAA アカウンティング イベントを表示します。

START および STOP アカウンティング メッセージが出力に表示されます。

ステップ 5

debug aaa id

 

Router# debug aaa id

AAA イベントを固有の AAA セッション ID と関連付けて表示します。

ステップ 6

show running-config | begin dhcp

 

Router# show running-config | begin dhcp

show running-config コマンドは、ルータのローカル設定を表示するために使用されます。サンプル出力は、実行中の設定の DHCP セクションで出力の表示を開始するために、begin キーワードでフィルタ処理されます。

DHCP リースに対する ARP テーブル エントリの保護

DHCP リースに対する ARP テーブル エントリを DHCP データベースに保護するには、次の作業を実行します。

update arp コマンドを使用すると、ARP テーブル エントリおよびそれに対応する DHCP リースは、すべての新しいリースおよび DHCP バインディングについて自動的に保護されます。ただし、既存のアクティブなリースは保護されません。これらのリースは更新されるまで非セキュアなままです。リースが更新されると、新しいリースとして扱われて自動的に保護されます。DHCP サーバでこのコマンドがディセーブルにされると、すべての既存のセキュアな ARP テーブル エントリは、自動的にダイナミック ARP エントリに変更されます。

手順の概要

1. enable

2. configure terminal

3. ip dhcp pool pool - name

4. update arp

5. renew deny unknown

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip dhcp pool pool - name

 

Router(config)# ip dhcp pool WIRELESS-POOL

DHCP アドレス プールを設定し、DHCP プール コンフィギュレーション モードを開始します。

ステップ 4

update arp

 

Router(dhcp-config)# update arp

DHCP リースに対応する非セキュアな ARP テーブル エントリを保護します。

既存のアクティブな DHCP リースは、更新されるまで保護されません。no update arp コマンドを使用すると、セキュアな ARP テーブル エントリは元のダイナミック ARP テーブル エントリに変更されます。

ステップ 5

renew deny unknown

 

Router(dhcp-config)# renew deny unknown

(任意)不明クライアントに対する更新ポリシーを設定します。

このコマンドを使用する状況に関する情報は、「トラブルシューティングのヒント」の項を参照してください。

トラブルシューティングのヒント

ワイヤレス ホットスポットなどの一部の使用シナリオで、DHCP とセキュア ARP の両方が設定されている場合、接続されているクライアント デバイスが一定の期間スリープ状態になったり、または一時停止する可能性があります。一時停止期間がセキュア ARP タイムアウト(デフォルトは 91 秒)よりも長いが、DHCP リース期間よりも短い場合、クライアントは有効なリースを使用して再起動できますが、クライアントが非アクティブだったため、セキュア ARP タイムアウトはリース バインディングを削除します。クライアントが再起動したとき、クライアントはクライアント側にリースを保持していますが、トラフィックの送信はブロックされます。クライアントは IP アドレスを更新しようとしますが、DHCP サーバはそのクライアントに対するリースを持たないため、DHCP サーバは要求を無視します。クライアントが復旧してトラフィックを再び送信できるようになるには、リースが期限切れになるのを待つ必要があります。

この状況を解決するには、DHCP プール コンフィギュレーション モードで renew deny unknown コマンドを使用します。このコマンドは、クライアントから更新要求されたアドレスがサーバ側に存在するがリースされていない場合、クライアントからの更新要求を DHCP サーバが強制的に拒否するようにします。DHCP サーバはそのクライアントに DHCPNAK 拒否メッセージを送信し、これによってクライアントは強制的に初期ステートに戻されます。クライアントは古いリースが期限切れになるのを待たずに、新しいリースをただちにネゴシエーションできます。

DHCP 許可 ARP の設定

DHCP 許可 ARP を設定するには、次の作業を実行します。これにより、インターフェイスでのダイナミック ARP 学習がディセーブルになります。

ARP プローブ動作

DHCP 許可 ARP には、正確な 1 分間の課金のサポート機能に制限があります。DHCP 許可 ARP は、許可されたユーザを 30 秒間隔で 1 回または 2 回プローブします。ビジーなネットワークでは応答パケットが欠落する可能性が高いため、本来よりも早すぎるログオフが生じる場合があります。許可されたユーザのプローブを、より正確で詳細に制御する必要がある場合、 arp probe interval コマンドを設定します。このコマンドでは、プローブを開始するタイミング、失敗したプローブから次のプローブまでのインターバル、および自動ログオフをトリガーするまでの最大の再試行回数を指定します。

制約事項

スタティック ARP と許可された ARP の両方が同じ ARP エントリをインストールする場合、スタティック設定が許可された ARP を上書きします。スタティック ARP エントリは arp グローバル コンフィギュレーション コマンドを使用してインストールできます。ダイナミックでない ARP エントリを削除できる方法は、そのエントリをインストールしたのと同じ方法だけです。

ARP タイムアウト期間は 30 秒未満に設定しないでください。この機能は、 arp timeout コマンドで指定された ARP タイムアウト期間から 90 秒前に開始し、30 秒ごとに ARP メッセージを送信するように設計されています。この動作では、クライアントのプローブを停止する前に少なくとも 3 回クライアントをプローブできます。ARP タイムアウトが 60 秒に設定された場合、ARP メッセージは 2 回送信され、30 秒に設定された場合、ARP メッセージは 1 回送信されます。ARP タイムアウト期間を 30 秒未満に設定すると、予期しない結果をもたらす可能性があります。

手順の概要

1. enable

2. configure terminal

3. interface type number

4. ip address ip-address mask

5. arp authorized

6. arp timeout seconds

7. arp probe interval seconds count number

8. end

9. show arp

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type number

 

Router(config)# interface ethernet 1

インターフェイス タイプを設定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 4

ip address ip-address mask

 

Router(config-if)# ip address 168.71.6.23 255.255.255.0

インターフェイスに対するプライマリ IP アドレスを設定します。

ステップ 5

arp authorized

 

Router(config-if)# arp authorized

インターフェイス上のダイナミック ARP 学習をディセーブルにします。

IP アドレスから MAC アドレスへのマッピングは、許可されたサブシステムだけがインストールできます。

ステップ 6

arp timeout seconds

 

Router(config-if)# arp timeout 60

エントリが ARP キャッシュ内に維持される時間を設定します。

「制約事項」の項で説明されているように、タイムアウト期間を 30 秒未満に設定しないでください。

ステップ 7

arp probe interval seconds count number

 

Router(config-if)# arp probe interval 5 count 30

(任意)インターバル(秒単位)とプローブの再試行回数を指定します。

引数は次のとおりです。

seconds:ピアが存在するかどうかを確認するために次のプローブが送信されるまでのインターバル(秒単位)。値の範囲は 1 ~ 10 です。

count-number:プローブの再試行回数。カウント数に到達した後に応答がない場合、ピアはログオフされています。値の範囲は 1 ~ 60 です。

形式を使用する必要があります。

ステップ 8

end

 

Router(config-if)# end

コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

ステップ 9

show arp

 

Router# show arp

(任意)ARP テーブルのエントリを表示します。

サブスクライバ数をグローバルに制御するための DHCP リース制限の設定

ATM RBE アンナンバード インターフェイスまたはシリアル アンナンバード インターフェイスの背後に存在するクライアントに許可する DHCP リースの数をグローバルに制御するには、次の作業を実行します。

この機能によって、ISP は、クライアントが利用できる家族または接続あたりのリース数をグローバルに制限できます。

アンナンバード インターフェイスを介してクライアントに直接接続されている Cisco IOS DHCP リレー エージェントでこの機能をイネーブルにすると、リレー エージェントはクライアントに提供されているサブインターフェイスあたりの DHCP リースに関する情報を保持します。DHCPACK メッセージがクライアントに転送されると、リレー エージェントはそのサブインターフェイス上でクライアントに提供されているリース数を増分します。新しい DHCP クライアントが IP アドレスを取得しようとしたとき、リース数が設定されたリース制限に到達している場合、クライアントからの DHCP メッセージはドロップされて DHCP サーバに転送されません。

アンナンバード インターフェイスを介してクライアントに直接接続されている Cisco IOS DHCP サーバ上でこの機能をイネーブルにすると、サーバはアドレスを割り当て、サブインターフェイスあたりのリース数を増分します。新しいクライアントが IP アドレスを取得しようとしたとき、サブインターフェイス上のリース数が設定されたリース制限に到達している場合は、サーバは IP アドレスを提供しません。

DHCP リース制限の制約事項

この機能は、番号が付けられたインターフェイスではサポートされません。リース制限は、ATM RBE アンナンバード インターフェイスまたはシリアル アンナンバード インターフェイスだけに適用できます。

手順の概要

1. enable

2. configure terminal

3. ip dhcp limit lease log

4. ip dhcp limit lease per interface lease-limit

5. end

6. show ip dhcp limit lease [ type number ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip dhcp limit lease log

 

Router(config)# ip dhcp limit lease log

(任意)DHCP リース制限のしきい値を超過した場合に DHCP リース違反ロギングをイネーブルにします。

このコマンドを設定した場合、すべてのリース制限違反は、 show ip dhcp limit lease コマンドの出力に表示されます。

ステップ 4

ip dhcp limit lease per interface lease-limit

 

Router(config)# ip dhcp limit lease per interface 2

ATM RBE アンナンバード インターフェイスまたはシリアル アンナンバード インターフェイスの背後に存在する DHCP クライアントに対して提供するリースの数を制限します。

ステップ 5

end

 

Router(config)# interface FastEthernet0/0

コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

ステップ 6

show ip dhcp limit lease [ type number ]

 

Router# show ip dhcp limit lease

(任意)リース制限のしきい値が違反した回数を表示します。

clear ip dhcp limit lease 特権 EXEC コマンドを使用して、保管されているリース違反エントリを手動でクリアできます。

トラブルシューティングのヒント

debug ip dhcp server packet コマンドと debug ip server events コマンドを使用して DHCP リース制限のトラブルシューティングを実行できます。

インターフェイス上のサブスクライバ数を制御するための DHCP リース制限の設定

インターフェイス上で許可する DHCP リースの数を制限するには、次の作業を実行します。

この機能によって、ISP は、クライアントがインターフェイス上で利用できる家族または接続あたりのリース数を制限できます。

アンナンバード インターフェイスを介してクライアントに直接接続されている Cisco IOS DHCP サーバ上でこの機能をイネーブルにすると、サーバはアドレスを割り当て、サブインターフェイスあたりのリース数を増分します。新しいクライアントが IP アドレスを取得しようとしたとき、サブインターフェイス上のリース数が設定されたリース制限に到達している場合は、サーバは IP アドレスを提供しません。

制約事項

この機能は、番号が付けられたインターフェイスではサポートされません。リース制限は、ATM RBE アンナンバード インターフェイスまたはシリアル アンナンバード インターフェイスだけに適用できます。

手順の概要

1. enable

2. configure terminal

3. ip dhcp limit lease log

4. interface type number

5. ip dhcp limit lease lease-limit

6. end

7. show ip dhcp limit lease [ type number ]

8. show ip dhcp server statistics [ type number ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip dhcp limit lease log

 

Router(config)# ip dhcp limit lease log

(任意)DHCP リース制限のしきい値を超過した場合に DHCP リース違反ロギングをイネーブルにします。

このコマンドを設定した場合、すべてのリース制限違反は、 show ip dhcp limit lease コマンドの出力に表示されます。

ステップ 4

interface type number

 

Router(config)# interface Serial0/0

インターフェイス コンフィギュレーション モードを開始します。

ステップ 5

ip dhcp limit lease lease-limit

 

Router(config-if)# ip dhcp limit lease 6

DHCP クライアントに提供するインターフェイスあたりのリース数を制限します。

インターフェイス コンフィギュレーションは、 ip dhcp limit lease per interface グローバル コンフィギュレーション コマンドによって指定されたすべてにグローバル設定を上書きします。

ステップ 6

end

 

Router(config-if)# end

コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

ステップ 7

show ip dhcp limit lease [ type number ]

 

Router# show ip dhcp limit lease Serial0/0

(任意)リース制限のしきい値が違反した回数を表示します。

clear ip dhcp limit lease 特権 EXEC コマンドを使用して、保管されているリース違反エントリを手動でクリアできます。

ステップ 8

show ip dhcp server statistics [ type number ]

 

Router# show ip dhcp server statistics Serial0/0

(任意)DHCP サーバの統計情報を表示します。

このコマンドは、インターフェイスレベルの DHCP 統計情報を表示するように Cisco IOS Release 12.2(33)SRC で変更されました。

トラブルシューティングのヒント

debug ip dhcp server packet コマンドと debug ip server events コマンドを使用して DHCP リース制限のトラブルシューティングを実行できます。

アカウンティングおよびセキュリティ目的での DHCP サービスの設定例

ここでは、次の設定例について説明します。

「DHCP アカウンティングのための AAA および RADIUS の設定:例」

「DHCP アカウンティングの設定:例」

「DHCP アカウンティングの確認:例」

「DHCP 許可 ARP の設定:例」

「DHCP 許可 ARP の確認:例」

「DHCP リース制限の設定:例」

DHCP アカウンティングのための AAA および RADIUS の設定:例

次に、DHCP アカウンティングのための AAA および RADIUS を設定する例を示します。

aaa new-model
aaa group server radius RGROUP-1
server 10.1.1.1 auth-port 1645 acct-port 1646
exit
aaa accounting network RADIUS-GROUP1 start-stop group RGROUP-1
aaa session-id common
ip radius source-interface Ethernet0
radius-server host 10.1.1.1 auth-port 1645 acct-port 1646
radius-server retransmit 3
exit

DHCP アカウンティングの設定:例

DHCP アカウンティングは、クライアント単位またはリース単位で設定されます。別の DHCP アカウンティング プロセスをプール単位で設定できます。次の例では、RADIUS-GROUP1 が start-stop グループとして設定されている場合、DHCP アカウンティングの START および STOP メッセージを送信するように設定する例を示します。

ip dhcp pool WIRELESS-POOL
accounting RADIUS-GROUP1
exit

DHCP アカウンティングの確認:例

DHCP アカウンティングは RADIUS と AAA の両方が DHCP 用に設定されている場合にイネーブルになります。DHCP START および STOP アカウンティング生成情報は、 debug radius accounting コマンドおよび debug ip dhcp server events コマンドで監視できます。DHCP アカウンティングによって導入された AAA アトリビュートのリストについては、このモジュールの「RADIUS アカウンティング アトリビュート」を参照してください。

次に、 debug radius accounting コマンドのサンプル出力を示します。この出力には、DHCP リース セッション ID、MAC アドレス、およびクライアント インターフェイスの IP アドレスが示されています。

00:00:53: RADIUS: Pick NAS IP for uid=2 tableid=0 cfg_addr=10.0.18.3 best_addr=0.0.0.0
00:00:53: RADIUS(00000002): sending
00:00:53: RADIUS(00000002): Send to unknown id 21645/1 10.1.1.1 :1646, Accounting-Request, len 76
00:00:53: RADIUS: authenticator C6 FE EA B2 1F 9A 85 A2 - 9A 5B 09 B5 36 B5 B9 27
00:00:53: RADIUS: Acct-Session-Id [44] 10 "00000002"
00:00:53: RADIUS: Framed-IP-Address [8] 6 10.0.0.10
00:00:53: RADIUS: Calling-Station-Id [31] 16 "00000c59df76"
00:00:53: RADIUS: Acct-Status-Type [40] 6 Start [1]
00:00:53: RADIUS: Service-Type [6] 6 Framed [2]
00:00:53: RADIUS: NAS-IP-Address [4] 6 10.0.18.3
00:00:53: RADIUS: Acct-Delay-Time [41] 6 0
 

次に、 debug ip dhcp server events コマンドのサンプル出力を示します。出力は DHCP サーバについて生成されたもので、DHCP リースをネゴシエーションするためのクライアントとサーバとの間での DHCP メッセージの交換が示されています。クライアントが割り当てられた IP アドレスを受け入れたことを DHCP サーバに確認する確認応答によって、アカウンティング START メッセージがトリガーされます。これは次の出力の最終行に示されています。

00:45:50:DHCPD:DHCPDISCOVER received from client
0063.6973.636f.2d30.3030.312e.3432.6339.2e65.6337.352d.4574.31 on
interface Ethernet0.
 
00:45:52:DHCPD:assigned IP address 10.10.10.16 to client
0063.6973.636f.2d30.3030.312e.3432.6339.2e65.6337.352d.4574.31.
 
00:45:52:DHCPD:Sending DHCPOFFER to client
0063.6973.636f.2d30.3030.312e.3432.6339.2e65.6337.352d.4574.31(10.10.10.16)
 
00:45:52:DHCPD:broadcasting BOOTREPLY to client 0001.42c9.ec75.
 
00:45:52:DHCPD:DHCPREQUEST received from client
0063.6973.636f.2d30.3030.312e.3432.6339.2e65.6337.352d.4574.31.
 
00:45:52:DHCPD:Sending DHCPACK to client
0063.6973.636f.2d30.3030.312e.3432.6339.2e65.6337.352d.4574.31
(10.10.10.16).
 
00:45:52:DHCPD:broadcasting BOOTREPLY to client 0001.42c9.ec75.
 
00:45:52:DHCPD:triggered Acct Start for 0001.42c9.ec75 (10.10.10.16).
 

次に、 debug ip dhcp server events コマンドのサンプル出力を示します。出力は DHCP サーバについて生成されたもので、DHCP クライアントからの明示的なリリース メッセージの受信が示されています。DHCP サーバはアカウンティング STOP メッセージをトリガーして、IP アドレスを DHCP プールに返します。アカウンティング STOP メッセージについての情報は、次の出力の 3 行目に示されています。

00:46:26:DHCPD:DHCPRELEASE message received from client
0063.6973.636f.2d30.3030.312e.3432.6339.2e65.6337.352d.4574.31 (10.10.10.16)
 
00:46:26:DHCPD:triggered Acct Stop for (10.10.10.16).
 
00:46:26:DHCPD:returned 10.10.10.16 to address pool WIRELESS-POOL.

DHCP 許可 ARP の設定:例

ルータ 1 は、IP アドレスを要求するルータに IP アドレスを割り当てる DHCP サーバで、ルータ 2 は IP アドレスを DHCP サーバ経由で取得するように設定された DHCP クライアントです。ルータ 1 では DHCP プール コンフィギュレーション コマンド update arp が設定されているため、ルータ 1 はその ARP テーブルにセキュアな ARP エントリをインストールします。 arp authorized コマンドは、そのインターフェイスのすべてのダイナミック ARP を停止します。ルータ 1 は定期的な ARP をルータ 2 に送信して、クライアントがまだアクティブであるか確認します。ルータ 2 は ARP 応答で応答します。無許可のクライアントは、これらの定期的な ARP に応答できません。無許可の ARP 応答は DHCP サーバでブロックされます。エントリのタイマーは、許可されたクライアントから応答を受け取ったときにルータ 1 上でリフレッシュされます。

トポロジの例については、図 1を参照してください。

図 1 DHCP 許可 ARP のトポロジ例

 

ルータ 1(DHCP サーバ)

ip dhcp pool name1
network 10.0.0.0 255.255.255.0
lease 0 0 20
update arp
!
interface Ethernet0
ip address 10.0.0.1 255.255.255.0
half-duplex
arp authorized
arp timeout 60
! optional command to adjust the periodic ARP probes sent to the peer
arp probe interval 5 count 15

ルータ 2(DHCP クライアント)

interface Ethernet0/0
ip address dhcp
half-duplex

DHCP 許可 ARP の確認:例

次に、ルータ 1 での show arp コマンドからの出力例を示します。

Router1# show arp
 
Protocol Address Age (min) Hardware Addr Type Interface
Internet 10.0.0.3 0 0004.dd0c.ffcb ARPA Ethernet01
Internet 10.0.0.1 - 0004.dd0c.ff86 ARPA Ethernet0

 

次に、ルータ 2 での show arp コマンドからの出力を示します。

Router2# show arp
 
Protocol Address Age (min) Hardware Addr Type Interface
Internet 10.0.0.3 - 0004.dd0c.ffcb ARPA Ethernet0/02
Internet 10.0.0.1 0 0004.dd0c.ff86 ARPA Ethernet0/0
 

DHCP リース制限の設定:例

次の例では、4 つ以上のクライアントがインターフェイス ATM4/0.1 から IP アドレスを取得しようとした場合、DHCPDISCOVER パケットは DHCP サーバに転送されません。DHCP サーバが同じルータに存在する場合、DHCP は 4 つ以上のクライアントには応答しません。

ip dhcp limit lease per interface 3
!
interface loopback0
ip address 10.1.1.129 255.255.255.192
!
interface ATM4/0.1
no ip address
!
interface ATM4/0.1 point-to-point
ip helper-address 172.16.1.2
ip unnumbered loopback0
atm route-bridged ip
pvc 88/800
encapsulation aal5snap
 

 

次の例では、5 つの DHCP クライアントが IP アドレスを受け取ることが許可されています。6 番目のクライアントが IP アドレスを取得しようとした場合、DHCPDISCOVER メッセージは DHCP サーバに転送されず、トラップが SNMP マネージャに送信されます。

ip dhcp limit lease log
!
ip dhcp pool pool1
network 10.1.1.0 255.255.255.0
!
interface loopback0
ip address 10.1.1.1 255.255.255.0
!
interface serial 0/0.2 point-to-point
ip dhcp limit lease 5
ip unnumbered loopback0
exit
snmp-server enable traps dhcp interface

その他の関連資料

ここでは、アカウンティングおよびセキュリティ目的での DHCP サービスを設定することに関する関連資料について説明します。

関連資料

関連項目
参照先

ARP コマンド:コマンド構文、コマンド モード、デフォルト、使用上の注意事項、例

『Cisco IOS IP Addressing Services Command Reference』

DHCP コマンド:コマンド構文、コマンド モード、デフォルト、使用上の注意事項、例

『Cisco IOS IP Addressing Services Command Reference』

DHCP の概念的な説明

DHCP Overview 」モジュール

DHCP サーバ設定

Configuring the Cisco IOS DHCP Server 」モジュール

DHCP ODAP 設定

Configuring the DHCP Server On-Demand Address Pool Manager 」モジュール

DHCP クライアントの設定

Configuring the Cisco IOS DHCP Client 」モジュール

DHCP リレー エージェントの設定

Configuring the Cisco IOS DHCP Relay Agent 」モジュール

エッジセッション管理用 DHCP 機能拡張

Configuring DHCP Enhancements for Edge-Session Management 」モジュール

AAA および RADIUS 設定作業

『Cisco IOS Security Configuration Guide』

AAA および RADIUS コマンド:コマンド構文、コマンド モード、デフォルト、使用上の注意事項、例

『Cisco IOS Security Command Reference』

規格

規格
タイトル

この機能によってサポートされる新しい規格や変更された規格はありません。

--

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

プラットフォームおよび Cisco IOS リリースによりサポートされている MIB のリストを入手し、MIB モジュールをダウンロードするには、Cisco.com の次のシスコ MIB Web サイトの URL にアクセスしてください。

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

RFC

RFC
タイトル

この機能によりサポートされた新規 RFC または改訂 RFC はありません。またこの機能による既存 RFC のサポートに変更はありません。

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、資料やツールなど幅広いオンライン リソースが用意されており、シスコの製品およびテクノロジーに関するトラブルシューティングや技術的な問題の解決などに役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

アカウンティングおよびセキュリティ目的での DHCP サービスの機能情報

表 2 に、このモジュールに記載されている機能および具体的な設定情報へのリンクを示します。この表には、Cisco IOS Release 12.2(1) 以降のリリースで導入または変更された機能だけを示します。

ここに記載されていないこのテクノロジーの機能情報については、「 DHCP Features Roadmap 」を参照してください。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 2 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していない限り、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 2 アカウンティングおよびセキュリティ目的での DHCP サービスの機能情報

機能名
リリース
機能設定情報

インターフェイスごとの DHCP リース制限および統計情報

12.2(33)SRC

Cisco IOS XE Release 2.1

この機能は、インターフェイス上の DHCP クライアントに提供される DHCP リースの数を制限します。DHCP サーバ統計情報レポートは、インターフェイスレベルの統計情報を表示するように強化されました。

この機能に関する詳細については、次の各項を参照してください。

インターフェイス上のサブスクライバ数を制御するための DHCP リース制限の設定

DHCP リース制限の設定:例

この機能により、次のコマンドが導入または変更されました。 ip dhcp limit lease ip dhcp limit lease log clear ip dhcp limit lease show ip dhcp limit lease 、および show ip dhcp server statistics

ATM RBE アンナンバード インターフェイスごとの DHCP リース制限

12.3(2)T
12.2(28)SB

この機能は、DHCP サーバまたは DHCP リレー エージェントの ATM RBE アンナンバード インターフェイスまたはシリアル アンナンバード インターフェイスから接続されている DHCP クライアントに提供される、サブインターフェイスごとの DHCP リースの数を制限します。

この機能に関する詳細については、次の項を参照してください。

サブスクライバ数をグローバルに制御するための DHCP リース制限の設定

この機能により、次のコマンドが導入または変更されました。 ip dhcp limit lease per interface

ARP 自動ログオフ

12.3(14)T

ARP 自動ログオフ機能は、ログオフを検出するための詳細な制御を提供し、許可されたクライアントのプローブを実行することで、DHCP 許可 ARP を拡張します。

この機能に関する詳細については、次の各項を参照してください。

セキュリティおよびアカウンティング目的の DHCP サービスの概要

DHCP 許可 ARP の設定

DHCP 許可 ARP の設定:例

この機能により、次のコマンドが導入されました。 arp probe interval

DHCP 許可 ARP

12.3(4)T
12.2(33)SRC

DHCP 許可 ARP は、Cisco IOS ソフトウェアの DHCP および ARP コンポーネントを強化し、モバイル ユーザへの IP アドレスのリースを、許可されたユーザに制限します。この機能は、無許可ユーザからの ARP 応答を DHCP サーバでブロックすることで、PWLAN のセキュリティを高めます。

この機能に関する詳細については、次の各項を参照してください。

セキュリティおよびアカウンティング目的の DHCP サービスの概要

DHCP 許可 ARP の設定

DHCP 許可 ARP の設定:例

この機能により、次のコマンドが導入されました。 arp authorized

DHCP アカウンティング

12.2(15)T
12.2(28)SB
12.2(33)SRB

DHCP アカウンティングにより、DHCP 設定に AAA および RADIUS のサポートが追加されます。

この機能に関する詳細については、次の各項を参照してください。

セキュリティおよびアカウンティング目的の DHCP サービスの概要

DHCP アカウンティングの設定

この機能により、次のコマンドが導入されました。 accounting

DHCP セキュア IP アドレス割り当て

12.2(15)T
12.2(28)SB
12.2(33)SRC

DHCP のセキュア IP アドレス割り当てにより、DHCP データベースの DHCP リースに対する ARP テーブル エントリを保護できます。この機能では、クライアントの MAC アドレスを DHCP バインディングに保護して同期させることで、無許可のクライアントまたはハッカーが DHCP サーバをスプーフィングして、許可されたクライアントの DHCP リースを横取りすることを防ぎます。

この機能に関する詳細については、次の各項を参照してください。

セキュリティおよびアカウンティング目的の DHCP サービスの概要

DHCP リースに対する ARP テーブル エントリの保護

この機能により、次のコマンドが導入されました。 update arp

この機能により次のコマンドが変更されました。 show ip dhcp server statistics