Cisco DCNM Security コンフィギュレーション ガイド Release 4.0
DHCP スヌーピングの設定
DHCP スヌーピングの設定
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

DHCP スヌーピングの設定

DHCP スヌーピングの概要

信頼できる送信元と信頼できない送信元

DHCP スヌーピング バインディング データベース

DHCP リレー エージェント

パケット検証

DHCP スヌーピングの Option 82 データ挿入

DHCP スヌーピングのバーチャライゼーション サポート

DHCP スヌーピングのライセンス要件

DHCP スヌーピングの前提条件

注意事項および制約事項

DHCP スヌーピングの設定

DHCP スヌーピングの最小設定

DHCP スヌーピング機能のイネーブル化またはディセーブル化

DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化

VLAN に対する DHCP スヌーピングのイネーブル化またはディセーブル化

DHCP スヌーピングの MAC アドレス検証のイネーブル化またはディセーブル化

Option 82 データの挿入および削除のイネーブル化またはディセーブル化

レイヤ 2 インターフェイスの信頼状態の設定

DHCP リレー エージェントのイネーブル化またはディセーブル化

DHCP リレー エージェントに対する Option 82 のイネーブル化またはディセーブル化

レイヤ 3 イーサネット インターフェイスの DHCP サーバ アドレスの設定

ポート チャネルの DHCP サーバ アドレスの設定

VLAN インターフェイスの DHCP サーバ アドレスの設定

DHCP バインディングの表示

DHCP スヌーピングのフィールドに関する説明

Device:Configuration タブ

Device:Configuration:Global Settings セクション

Device:Configuration:DHCP Rate Limiting セクション

Device:Dynamic Binding タブ

VLAN:DHCP VLAN Configuration タブ

その他の参考資料

関連資料

規格

DHCP スヌーピングの設定

この章では、Dynamic Host Configuration Protocol(DHCP)スヌーピングの設定手順を説明します。

この章の内容は次のとおりです。

「DHCP スヌーピングの概要」

「DHCP スヌーピングのライセンス要件」

「DHCP スヌーピングの前提条件」

「注意事項および制約事項」

「DHCP スヌーピングの設定」

「DHCP バインディングの表示」

「DHCP スヌーピングのフィールドに関する説明」

「その他の参考資料」

DHCP スヌーピングの概要

DHCP スヌーピングは、信頼しないホストと信頼できる DHCP サーバとの間でファイアウォールのような機能を果たします。DHCP スヌーピングでは以下のアクティビティを実行します。

信頼しない送信元から受信した DHCP メッセージを検証し、無効なメッセージをフィルタリングします。

DHCP スヌーピング バインディング データベースを構築し維持します。このデータベースには、リースされた IP アドレスを持つ信頼できないホストに関する情報が含まれます。

DHCP スヌーピング バインディング データベースを使用して、信頼できないホストからの以降の要求を検証します。

DAI(ダイナミック ARP インスペクション)および IP ソース ガードも、DHCP スヌーピング バインディング データベースに格納された情報を使用します。

DHCP スヌーピングは VLAN 単位でイネーブルにします。デフォルトでは、この機能はすべての VLAN で非アクティブです。この機能は 1 つの VLAN、または特定の VLAN 範囲でイネーブルにできます。

ここでは、次の内容について説明します。

「信頼できる送信元と信頼できない送信元」

「DHCP スヌーピング バインディング データベース」

「DHCP リレー エージェント」

「パケット検証」

「DHCP スヌーピングの Option 82 データ挿入」

「DHCP スヌーピングのバーチャライゼーション サポート」

信頼できる送信元と信頼できない送信元

DHCP スヌーピングがトラフィックの送信元を信頼するかどうかを設定できます。信頼できない送信元は、トラフィック攻撃を開始したり他の悪意のある動作を行う可能性があります。こうした攻撃を防ぐため、DHCP スヌーピングは信頼できない送信元からのメッセージをフィルタリングします。

企業ネットワークでは、信頼できる送信元はその企業の管理制御下にあるデバイスです。これらのデバイスには、ネットワーク内のスイッチ、ルータ、およびサーバが含まれます。ファイアウォールを越えるデバイスやネットワーク外のデバイスは信頼できない送信元です。一般的に、ホスト ポートは信頼できない送信元として扱われます。

サービス プロバイダー環境では、サービス プロバイダー ネットワーク内にないデバイスは信頼できない送信元です(カスタマーのスイッチなど)。ホスト ポートは信頼できない送信元です。

NX-OS デバイスでは、接続インターフェイスの信頼状態を設定することにより、送信元を信頼できるものとして扱うことができます。

全インターフェイスのデフォルトの信頼状態は untrusted です。DHCP サーバ インターフェイスを trusted に設定する必要があります。他のインターフェイスも、ネットワーク内のデバイス(スイッチやルータ)に接続している場合は、trusted に設定できます。通常ホスト ポートを trusted には設定しません。


) DHCP スヌーピングを適切に機能させるためには、すべての DHCP サーバが信頼できるインターフェイスを介してデバイスと接続される必要があります。


DHCP スヌーピング バインディング データベース

DHCP スヌーピングは、代行受信した DHCP メッセージから抽出した情報を使用し、ダイナミックにデータベースを構築し維持します。DHCP スヌーピングがイネーブルになっている VLAN にホストが関連付けられている場合、このデータベースには信頼できない各ホストのエントリが含まれ、専用 IP アドレスが保存されます。このデータベースには、信頼できるインターフェイスを通じて接続されたホストのエントリは含まれていません。


) DHCP スヌーピング バインディング データベースは DHCP スヌーピング バインディング テーブルとも呼ばれます。


デバイスが特定の DHCP メッセージを受信すると、DHCP スヌーピングはデータベースをアップデートします。たとえば、デバイスが DHCPACK メッセージをサーバから受信すると、この機能によってデータベースにエントリが追加されます。IP アドレスのリース期限が過ぎたり、デバイスがホストから DHCPRELEASE メッセージを受信すると、この機能によってデータベース内のエントリが削除されます。

DHCP スヌーピング バインディング データベースの各エントリには、ホストの MAC アドレス、専用 IP アドレス、リース期間、バインディングの種類、ホストに関連付けられた VLAN(仮想LAN)の番号およびインターフェイス情報が含まれています。

DHCP リレー エージェント

DHCP リレー エージェントを実行するように NX-OS を設定できます。DHCP リレー エージェントとは、クライアントとサーバの間で DHCP パケットを転送するホストです。これは、クライアントとサーバが同じ物理サブネット上にない場合に便利な機能です。リレー エージェントによる転送は、通常の IP ルータによる転送とは異なります。IP ルータによる転送では、IP データグラムがネットワーク間である程度透過的にスイッチングされます。一方、リレー エージェントは DHCP メッセージを受信すると、新しい DHCP メッセージを生成し、別のインターフェイスに送出します。リレー エージェントはゲートウェイ アドレスを設定し(DHCP パケットの giaddr フィールド)、パケットにリレー エージェント情報のオプション(option82)を追加して(設定されている場合)、DHCP サーバに転送します。サーバからの応答は、option82 を削除してからクライアントに転送されます。

パケット検証

デバイスは、DHCP スヌーピングがイネーブルの VLAN にある信頼できないインターフェイスで受信された DHCP パケットを検証します。デバイスは、以下のいずれかの条件が発生しないかぎり、DHCP パケットを転送します(これらの条件が発生した場合、パケットはドロップされます)。

信頼できないインターフェイスで DHCP 応答パケット(DHCPACK、DHCPNAK、またはDHCPOFFER などのパケット)を受信した場合。

信頼できないインターフェイスからパケットを受信し、この送信元 MAC アドレスと DHCP クライアント ハードウェア アドレスが一致しない場合。このチェックは、DHCP スヌーピング MAC アドレス確認オプションがオンになっている場合のみ実行されます。

DHCP スヌーピング バインディング テーブル内にエントリを持つ信頼できないホストから DHCPRELEASE または DHCPDECLINE メッセージを受信したが、バインディング テーブル内のインターフェイス情報が、このメッセージを受信したインターフェイスと一致しない場合。

リレー エージェントの IP アドレス(0.0.0.0 以外)を含む DHCP パケットを受信した場合。

DHCP スヌーピングの Option 82 データ挿入

住宅地域にあるメトロポリタン イーサネット アクセス環境では、DHCP は多数の加入者に対し、IP アドレスの割り当てを一元的に管理できます。Option 82 をイネーブルにすると、デバイスはネットワークに接続する加入者装置(およびその MAC アドレス)を識別します。加入者 LAN 上の複数のホストをアクセス装置の同一ポートに接続でき、これらは一意に識別されます。

図11-1 のメトロポリタン イーサネット ネットワークでは、アクセス レイヤのデバイスに接続されている加入者に、DHCP サーバが IP アドレスを一元的に割り当てます。DHCP クライアントと、これらに関連付けられた DHCP サーバは、同一の IP ネットワークまたはサブネット内に存在しません。したがって、DHCP リレー エージェントにヘルパー アドレスを設定することで、ブロードキャスト転送を可能にし、クライアントとサーバ間で DHCP メッセージを転送します。

図11-1 メトロポリタン イーサネット ネットワークにおける DHCP リレー エージェント

 

NX-OS デバイスで Option 82 をイネーブルにすると、次のイベントが順番に発生します。

1. ホスト(DHCP クライアント)は DHCP 要求を生成し、これをネットワーク上にブロードキャストします。

2. NX-OS デバイスはこの DHCP 要求を受信すると、パケット内に Option 82 情報を追加します。Option 82 情報には、デバイスの MAC アドレス(リモート ID サブオプション)、およびパケットを受信したポートの識別子である vlan-mod-port(回線 ID サブオプション)が含まれます。

3. デバイスは、DHCP パケットにリレー エージェントの IP アドレスを追加します。

4. デバイスは、Option 82 フィールドを含む DHCP 要求を DHCP サーバに転送します。

5. DHCP サーバはこのパケットを受信します。Option 82 に対応しているサーバであれば、このリモート ID または回線 ID、またはその両方を使用して、IP アドレスの割り当てやポリシーの適用を行うことができます。たとえば、単一のリモート ID または回線 ID に割り当てることのできる IP アドレスの数を制限するポリシーなどです。DHCP サーバは、DHCP 応答内に Option 82 フィールドをエコーします。

6. NX-OS デバイスがサーバへの要求を中継した場合、DHCP サーバはその NX-OX デバイスに応答をユニキャストします。NX-OX デバイスは、リモート ID フィールド、および場合によっては回線 ID フィールドを検査することで、最初に Option 82 データを挿入したのがこのデバイス自身であることを確認します。NX-OX デバイス は Option 82 フィールドを削除してから、DHCP 要求を送信した DHCP クライアントと接続しているインターフェイスにパケットを転送します。

上記の一連のイベントが発生した場合、以下の値は変更されません(図11-2 を参照)。

回線 ID サブオプション フィールド

サブオプション タイプ

サブオプション タイプの長さ

回線 ID タイプ

回線 ID タイプの長さ

リモート ID サブオプション フィールド

サブオプション タイプ

サブオプション タイプの長さ

リモート ID タイプ

回線 ID タイプの長さ

図11-2 は、リモート ID サブオプションおよび回線 ID サブオプションのパケット形式を示します。NX-OS デバイスがこのパケット形式を使用するのは、DHCP スヌーピングがグローバルにイネーブル化され、Option 82 データの挿入と削除がイネーブルに設定された場合です。回線 ID サブオプションの場合は、モジュール フィールドはモジュールのスロット番号となります。

図11-2 サブオプションのパケット形式

 

DHCP スヌーピングのバーチャライゼーション サポート

Virtual Device Context(VDC; バーチャル デバイス コンテキスト)では、DHCP スヌーピングに次の事項が適用されます。

DHCP スヌーピング バインディング データベースは各 VDC に固有です。ある VDC のバインディングが他の VDC の DHCP スヌーピングに影響することはありません。

バインディング データベースのサイズは VDC 単位では制限されません。

DHCP スヌーピングのライセンス要件

この機能のライセンス要件は次の表のとおりです。

 

製品
ライセンス要件

DCNM

DHCP スヌーピングには LAN Enterprise のライセンスが必要です。DCNM のライセンス スキームおよびライセンスの取得方法と適用方法に関する詳細は、『 Cisco DCNM Licensing Guide 』を参照してください。

NX-OS

DHCP スヌーピングにはライセンスは必要ありません。ライセンス パッケージに含まれていない機能は、Cisco NX-OS システム イメージにバンドルされており、追加料金なしで利用できます。NX-OS のライセンス スキームに関する詳細は、『 Cisco NX-OS Licensing Guide 』を参照してください。

DHCP スヌーピングの前提条件

DHCP スヌーピングの前提条件は次のとおりです。

DHCP スヌーピングを設定するには、DHCP に関する知識が必要です。

注意事項および制約事項

DHCP スヌーピングに関する注意事項と制約事項は次のとおりです。

DHCP スヌーピング データベースには 2000 のバインディングを格納できます。

DHCP をグローバルにイネーブル化し、さらに少なくとも 1 つの VLAN で DHCP スヌーピングをイネーブルにするまで、DHCP スヌーピングはアクティブになりません。

デバイス上でグローバルに DHCP スヌーピングをイネーブル化するには、DHCP サーバおよび DHCP リレー エージェントとして機能するデバイスを、事前に設定しイネーブルにしておく必要があります。

DHCP スヌーピングを設定するために DCNM を使用する各デバイスに対して、DHCP スヌーピングのログ レベルが 6(Informational)以上に設定されていることを確認します。この必要最小限のログ レベルをデバイスに設定するには、デバイスの CLI(コマンドライン インターフェイス)にログインし、次のコマンドを使用します。

logging level dhcp 6

DHCP スヌーピングの設定

図11-3 は、DHCP Snooping のコンテンツ ペインを示しています。

図11-3 DHCP Snooping のコンテンツ ペイン

 

ここでは、次の内容について説明します。

「DHCP スヌーピングの最小設定」

「DHCP スヌーピング機能のイネーブル化またはディセーブル化」

「DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化」

「VLAN に対する DHCP スヌーピングのイネーブル化またはディセーブル化」

「DHCP スヌーピングの MAC アドレス検証のイネーブル化またはディセーブル化」

「Option 82 データの挿入および削除のイネーブル化またはディセーブル化」

「レイヤ 2 インターフェイスの信頼状態の設定」

「DHCP リレー エージェントのイネーブル化またはディセーブル化」

「DHCP リレー エージェントに対する Option 82 のイネーブル化またはディセーブル化」

「レイヤ 3 イーサネット インターフェイスの DHCP サーバ アドレスの設定」

「ポート チャネルの DHCP サーバ アドレスの設定」

「VLAN インターフェイスの DHCP サーバ アドレスの設定」

DHCP スヌーピングの最小設定

DHCP スヌーピングの最小設定は次のとおりです。


ステップ 1 DHCP スヌーピング機能をイネーブルにします。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。

DHCP スヌーピング機能がディセーブルになっていると、DHCP スヌーピングを設定できません。

ステップ 2 DHCP スヌーピングをグローバルにイネーブル化します。詳細については、「DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化」を参照してください。

ステップ 3 少なくとも 1 つの VLAN で DHCP スヌーピングをイネーブルにします。詳細については、「VLAN に対する DHCP スヌーピングのイネーブル化またはディセーブル化」を参照してください。

デフォルトでは、DHCP スヌーピングはすべての VLAN でディセーブルになります。

ステップ 4 DHCP サーバとデバイスが、信頼できるインターフェイスを使用して接続されていることを確認します。詳細については、「レイヤ 2 インターフェイスの信頼状態の設定」を参照してください。

ステップ 5 (任意)DHCP リレー エージェントをイネーブルにします。詳細については、「DHCP リレー エージェントのイネーブル化またはディセーブル化」を参照してください。

ステップ 6 (任意)インターフェイスに DHCP サーバの IP アドレスを設定します。詳細については、次のいずれかを参照してください。

「レイヤ 3 イーサネット インターフェイスの DHCP サーバ アドレスの設定」

「ポート チャネルの DHCP サーバ アドレスの設定」

「VLAN インターフェイスの DHCP サーバ アドレスの設定」


 

DHCP スヌーピング機能のイネーブル化またはディセーブル化

デバイスの DHCP スヌーピング機能をイネーブルまたはディセーブルに設定できます。デフォルトでは、DHCP スヌーピングはディセーブルです。

作業を開始する前に

DHCP スヌーピング機能をディセーブルにすると、DHCP スヌーピングの設定がすべて消去されます。DHCP スヌーピングをオフにして DHCP スヌーピングの設定を維持したい場合は、DHCP をグローバルにディセーブル化します。詳細については、「DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化」を参照してください。

DHCP スヌーピングをイネーブルにする場合、NX-OS デバイスで DHCP スヌーピングのログ レベルが 6(Informational)以上に設定されていることを確認します。この必要最小限のログ レベルをデバイスに設定するには、デバイスの CLI にログインし、次のコマンドを使用します。

logging level dhcp 6

詳細な手順

デバイスの DHCP スヌーピング機能をイネーブルまたはディセーブルに設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > DHCP Snooping を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインで、DHCP スヌーピングをイネーブル化またはディセーブル化するデバイスをクリックします。

ステップ 3 以下のいずれかを実行します。

DHCP スヌーピングをイネーブル化するには、メニューバーから DHCP Snooping > Enable DHCP Snooping Service を選択します。

Details ペインの Configuration タブに、Global Settings セクションおよび DHCP Rate Limiting セクションが表示されます。

DHCP スヌーピングをディセーブル化するには、メニューバーから DHCP Snooping > Disable DHCP Snooping Service を選択します。

Details ペインの Configuration タブに、Enable DHCP Snooping サービス リンクが表示されます。

ステップ 4 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化

デバイスに対して DHCP スヌーピング機能のグローバルなイネーブル化またはディセーブル化が可能です。

作業を開始する前に

デフォルトでは、DHCP スヌーピングはグローバルにディセーブルです。

DHCP スヌーピング機能がイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。

DHCP スヌーピングをグローバルにディセーブル化すると、デバイスは DHCP スヌーピングの実行や DHCP メッセージのリレーをすべて停止します。DHCP スヌーピングの設定は維持されます。

詳細な手順

デバイスの DHCP スヌーピングをグローバルにイネーブル化またはディセーブル化するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > DHCP Snooping を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインで、DHCP スヌーピングをグローバルにイネーブル化またはディセーブル化するデバイスをクリックします。

ステップ 3 Details ペインで Configuration タブをクリックし、必要に応じて Global Settings セクションを展開表示します。

ステップ 4 以下のいずれかを実行します。

DHCP スヌーピングをイネーブルにするには、 DHCP Snooping のチェック ボックスをオンにします。

DHCP スヌーピングをディセーブルにするには、 DHCP Snooping のチェック ボックスをオフにします。

ステップ 5 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

VLAN に対する DHCP スヌーピングのイネーブル化またはディセーブル化

1 つまたは複数の VLAN に対して DHCP スヌーピングをイネーブルまたはディセーブルに設定できます。

作業を開始する前に

デフォルトでは、DHCP スヌーピングはすべての VLAN でディセーブルになります。

DHCP スヌーピングがイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。

詳細な手順

VLAN に対して DHCP スヌーピングをイネーブル化またはディセーブル化するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > DHCP Snooping を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインから、VLAN の DHCP スヌーピングをイネーブル化またはディセーブル化するデバイスをダブルクリックします。

ダブルクリックしたデバイスの VLAN が Summary ペインに表示されます。

ステップ 3 DHCP スヌーピングを設定する VLAN をクリックします。

Details ペインに DHCP VLAN Configuration タブが表示されます。

ステップ 4 以下のいずれかを実行します。

VLAN に対する DHCP スヌーピングをイネーブル化するには、DHCP VLAN Configuration タブで Enable DHCP Snooping のチェック ボックスをオンにします。

VLAN の DHCP スヌーピングをディセーブル化するには、DHCP VLAN Configuration タブで Enable DHCP Snooping のチェック ボックスをオフにします。

ステップ 5 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

DHCP スヌーピングの MAC アドレス検証のイネーブル化またはディセーブル化

DHCP スヌーピングの MAC アドレス検証をイネーブルまたはディセーブルにします。信頼できないインターフェイスからパケットを受信し、この送信元 MAC アドレスと DHCP クライアント ハードウェア アドレスが一致しない場合、アドレス検証によってデバイスはパケットをドロップします。

作業を開始する前に

MAC アドレス検証はデフォルトでイネーブルになります。

DHCP スヌーピングがイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。

詳細な手順

DHCP スヌーピングの MAC アドレス検証をイネーブルまたはディセーブルに設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > DHCP Snooping を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインで、DHCP スヌーピングの MAC アドレス検証をイネーブル化またはディセーブル化するデバイスをクリックします。

ステップ 3 Details ペインで Configuration タブをクリックし、必要に応じて Global Settings セクションを展開表示します。

ステップ 4 以下のいずれかを実行します。

MAC アドレス検証をイネーブルにするには、 Source MAC Validation のチェック ボックスをオンにします。

MAC アドレス検証をディセーブルにするには、 Source MAC Validation のチェック ボックスをオフにします。

ステップ 5 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

Option 82 データの挿入および削除のイネーブル化またはディセーブル化

DHCP リレー エージェントを使用せずに転送された DHCP パケットへのOption 82 情報の挿入および削除をイネーブルまたはディセーブルに設定できます。


) Option 82 のサポートは、DHCP リレー エージェントに個別に設定する必要があります。詳細については、「DHCP リレー エージェントに対する Option 82 のイネーブル化またはディセーブル化」を参照してください。


作業を開始する前に

デフォルトでは、デバイスは DHCP パケットに Option 82 情報を挿入しません。

DHCP スヌーピングがイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。

詳細な手順

Option 82 データの挿入および削除をイネーブルまたはディセーブルに設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > DHCP Snooping を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインで、Option 82 データの挿入および削除をイネーブル化またはディセーブル化するデバイスをクリックします。

ステップ 3 Details ペインで Configuration タブをクリックし、必要に応じて Global Settings セクションを展開表示します。

ステップ 4 以下のいずれかを実行します。

Option 82 データの挿入および削除をイネーブルにするには、 DHCP Snooping - Option 82 のチェック ボックスをオンにします。

Option 82 データの挿入および削除をディセーブルにするには、 DHCP Snooping - Option 82 のチェック ボックスをオフにします。

ステップ 5 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

レイヤ 2 インターフェイスの信頼状態の設定

各インターフェイスが DHCP メッセージの送信元として信頼できるかどうかを設定できます。この設定は、次のポート モードのいずれかで動作しているインターフェイスに有効です。

Access(アクセス)

Trunk(トランク)

Private VLAN Host(プライベート VLAN ホスト)

Private VLAN Promiscuous(プライベート VLAN 混合)

作業を開始する前に

デフォルトでは、すべてのインターフェイスは信頼できない(untrusted)状態です。

DHCP スヌーピングがイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。

詳細な手順

インターフェイスの信頼状態を設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > DHCP Snooping を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインで、インターフェイスの信頼状態を設定するデバイスをクリックします。

ステップ 3 Details ペインで Configuration タブをクリックし、必要に応じて DHCP Rate Limiting セクションを展開表示します。

ステップ 4 DHCP Rate Limiting セクションで、設定するインターフェイスを含むスロットを必要に応じて展開表示します。

そのスロットのレイヤ 2 インターフェイスが Details ペインに表示されます。インターフェイスごとに、Trust State カラムのチェック ボックスにより、デバイスがそのインターフェイスを信頼するかどうかが示されます。

ステップ 5 信頼状態を設定する各インターフェイスに対して、次のいずれかを実行します。

信頼できるインターフェイスとして設定するには、Trust State カラムのチェック ボックスをオンにします。

信頼できないインターフェイスとして設定するには、Trust State カラムのチェック ボックスをオフにします。

ステップ 6 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

DHCP リレー エージェントのイネーブル化またはディセーブル化

DHCP リレー エージェントをイネーブルまたはディセーブルに設定できます。

作業を開始する前に

デフォルトでは、DHCP リレー エージェントはディセーブルです。

DHCP スヌーピングがイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。

詳細な手順

DHCP リレー エージェントをイネーブル化またはディセーブル化するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > DHCP Snooping を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインで、DHCP リレー エージェントの挿入および削除をイネーブル化またはディセーブル化するデバイスをクリックします。

ステップ 3 Details ペインで Configuration タブをクリックし、必要に応じて Global Settings セクションを展開表示します。

ステップ 4 以下のいずれかを実行します。

DHCP リレー エージェントをイネーブルにするには、 Relay Agent のチェック ボックスをオンにします。

DHCP リレー エージェントをディセーブルにするには、 Relay Agent のチェック ボックスをオフにします。

ステップ 5 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

DHCP リレー エージェントに対する Option 82 のイネーブル化またはディセーブル化

デバイスに対し、リレー エージェントによって転送された DHCP パケットへの Option 82 情報の挿入と削除をイネーブルまたはディセーブルに設定できます。

作業を開始する前に

デフォルトでは、DHCP リレー エージェントは DHCP パケットに Option 82 情報を挿入しません。

DHCP スヌーピングがイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。

詳細な手順

DHCP リレー エージェントに対する Option 82 をイネーブル化またはディセーブル化するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > DHCP Snooping を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインで、Option 82 データの挿入および削除をイネーブル化またはディセーブル化するデバイスをクリックします。

ステップ 3 Details ペインで Configuration タブをクリックし、必要に応じて Global Settings セクションを展開表示します。

ステップ 4 以下のいずれかを実行します。

そのリレー エージェントに対する Option 82 をイネーブルにするには、 Relay Agent - Option 82 のチェック ボックスをオンにします。

そのリレー エージェントに対する Option 82 をディセーブルにするには、 Relay Agent - Option 82 のチェック ボックスをオフにします。

ステップ 5 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

レイヤ 3 イーサネット インターフェイスの DHCP サーバ アドレスの設定

レイヤ 3 イーサネット インターフェイスまたはサブインターフェイスに DHCP サーバ IP アドレスを設定できます。レイヤ 3 イーサネット インターフェイスは、ルーテッド ポート モードで動作しているインターフェイスです。インバウンド DHCP BOOTREQUEST パケットが、ポート チャネルのメンバであるポートに着信すると、リレー エージェントはそのパケットを指定の IP アドレスに転送します。

作業を開始する前に

デフォルトでは、DHCP サーバ IP アドレスはレイヤ 3 インターフェイスに設定されていません。

DHCP サーバが正しく設定されていることを確認します。

DHCP サーバの IP アドレスを決めます。

DHCP スヌーピングがイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。

詳細な手順

レイヤ 3 イーサネット インターフェイスまたはサブインターフェイスに DHCP サーバ IP アドレスを設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Interfaces > Physical > Ethernet を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインから、設定するインターフェイスを持つデバイスをダブルクリックします。

そのデバイス上で使用可能なスロットが Summary ペインに表示されます。

ステップ 3 設定するインターフェイスを持つスロットをダブルクリックします。

そのスロット上で使用可能なインターフェイスが Summary ペインに表示されます。

ステップ 4 設定するインターフェイス、または設定するサブインターフェイスを持つインターフェイスをダブルクリックします。

Port Details タブが Details ペインに表示されます。

ステップ 5 (任意)設定するサブインターフェイスをクリックします。

ステップ 6 Details ペインで Port Details タブをクリックし、必要に応じて Port Mode Settings セクションを展開表示します。

ステップ 7 Port Mode Settings セクションの Helper エリアで右クリックし、 Add Helper IP を選択します。

ステップ 8 DHCP サーバの IPv4 アドレスを入力します。

ステップ 9 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

ポート チャネルの DHCP サーバ アドレスの設定

ポート チャネルに DHCP サーバ IP アドレスを設定できます。インバウンド DHCP BOOTREQUEST パケットが、ポート チャネルのメンバであるポートに着信すると、リレー エージェントはそのパケットを指定の IP アドレスに転送します。

作業を開始する前に

デフォルトでは、DHCP サーバ IP アドレスはポート チャネルに設定されていません。

DHCP サーバが正しく設定されていることを確認します。

DHCP サーバの IP アドレスを決めます。

DHCP スヌーピングがイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。

詳細な手順

ポート チャネルに DHCP サーバ IP アドレスを設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Interfaces > Logical > Port Channel を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインから、設定するポート チャネルを持つデバイスをダブルクリックします。

そのデバイス上で使用可能なポート チャネルが Summary ペインに表示されます。

ステップ 3 設定するポート チャネルのチャネル ID をクリックします。

Port Channel Advanced Settings タブが Details ペインに表示されます。

ステップ 4 Details ペインで Port Channel Advanced Settings タブをクリックし、必要に応じて IP Address Settings セクションを展開表示します。

ステップ 5 IP Address Settings セクションの Helper エリアで右クリックし、 Add Helper IP を選択します。

ステップ 6 DHCP サーバの IPv4 アドレスを入力します。

ステップ 7 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

VLAN インターフェイスの DHCP サーバ アドレスの設定

VLAN インターフェイスに DHCP サーバ IP アドレスを設定できます(VLAN インターフェイスは、Switch Virtual Interface [SVI; スイッチ仮想インターフェイス] とも言います)。インバウンド DHCP BOOTREQUEST パケットが VLAN インターフェイスに着信すると、リレー エージェントはそのパケットを指定の IP アドレスに転送します。

作業を開始する前に

デフォルトでは、DHCP サーバ IP アドレスは VLAN インターフェイスに設定されていません。

DHCP サーバが正しく設定されていることを確認します。

DHCP サーバの IP アドレスを決めます。

DHCP スヌーピングがイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。

詳細な手順

VLAN インターフェイスに DHCP サーバ IP アドレスを設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Interfaces > Logical > SVI を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインから、設定するインターフェイスを持つデバイスをダブルクリックします。

そのデバイス上で使用可能な VLAN インターフェイスが Summary ペインに表示されます。

ステップ 3 設定する VLAN インターフェイスの VLAN ID をクリックします。

Details タブが Details ペインに表示されます。

ステップ 4 Details ペインで Details タブをクリックし、必要に応じて IP Address Settings セクションを展開表示します。

ステップ 5 IP Address Settings セクションの Helper エリアで右クリックし、 Add Helper IP を選択します。

ステップ 6 DHCP サーバの IPv4 アドレスを入力します。

ステップ 7 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

DHCP バインディングの表示

デバイスの DHCP バインディングを表示するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > DHCP Snooping を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインでデバイスをクリックします。

Dynamic Binding タブが Details ペインに表示されます。

ステップ 3 インターフェイスを持つスロットをダブルクリックします。

ステップ 4 Details ペインで Dynamic Binding タブをクリックします。

Dynamic Binding タブに、DHCP バインディングを VLAN 単位でリストするテーブルが表示されます。


 

DHCP スヌーピングのフィールドに関する説明

ここでは、DHCP スヌーピングのフィールドについて説明します。

「Device:Configuration タブ」

「Device:Configuration:Global Settings セクション」

「Device:Configuration:DHCP Rate Limiting セクション」

「Device:Dynamic Binding タブ」

「VLAN:DHCP VLAN Configuration タブ」

Device:Configuration タブ

 

表11-1 Device:Configuration タブ

フィールド
説明

Enable DHCP Snooping service

DHCP スヌーピング機能をデバイスに対してグローバルにイネーブル化します。このリンクは、選択したデバイスの DHCP スヌーピングがイネーブルでないときにのみ表示されます。デフォルトでは、DHCP スヌーピングはイネーブルではありません。

Device:Configuration:Global Settings セクション

 

表11-2 Device:Configuration:Global Settings セクション

フィールド
説明

DHCP Snooping

DHCP スヌーピングをデバイスに対してグローバルにイネーブル化するかどうかの指定。デフォルトでは、このチェック ボックスはオフです。

DHCP Snooping - Option 82

デバイスに対してOption 82 データの挿入および削除をイネーブル化するかどうかの指定。デフォルトでは、このチェック ボックスはオフです。

Source MAC Validation

DHCP スヌーピングの MAC アドレス検証をイネーブル化するかどうかの指定。このチェック ボックスをオンにすると、信頼できないインターフェイスから受信したパケットに関して、送信元 MAC アドレスと DHCP クライアント ハードウェア アドレスが一致しているかどうかが検証されます。一致しない場合、デバイスはそのパケットをドロップします。デフォルトでは、このチェック ボックスはオフです。

Device:Configuration:DHCP Rate Limiting セクション

 

表11-3 Device:Configuration:DHCP Rate Limiting セクション

フィールド
説明

Interface

表示のみ 。レイヤ 2 インターフェイスの名前、またはレイヤ 2 インターフェイスを含むスロットの名前。

Trust State

インターフェイスを信頼するかどうかの指定。このチェック ボックスがオンのとき、デバイスはそのインターフェイスの DHCP 送信元を信頼しません。デフォルトでは、このチェック ボックスはオフです。

Device:Dynamic Binding タブ

 

表11-4 Device:Dynamic Binding タブ

フィールド
説明

VLAN

表示のみ 。ダイナミック DHCP バインディングに関連付けられた VLAN ID。

MAC Address

表示のみ 。ダイナミック DHCP バインディングの MAC アドレス。

IP Address

表示のみ 。ダイナミック DHCP バインディングの IP アドレス。

Lease Expiry Time

表示のみ 。DHCP IP アドレスのリース期限が満了となる日時。

VLAN:DHCP VLAN Configuration タブ

 

表11-5 VLAN:DHCP VLAN Configuration タブ

フィールド
説明

VLAN

表示のみ 。VLAN の ID 番号。

VLAN Name

表示のみ 。VLAN に割り当てられた名前。デフォルトでは、VLAN 1 は Default と名付けられ、その他の VLAN はすべて、「VLAN」と 4 桁の VLAN ID を組み合わせた名前が付けられます。たとえば、VLAN 50 のデフォルトの VLAN 名は、「VLAN0050」です。

Number of Static Bindings

表示のみ 。デフォルトでは、スタティック バインディングの数はゼロ(0)です。

Number of Dynamic Bindings

表示のみ 。デフォルトでは、ダイナミック バインディングの数はゼロ(0)です。

DHCP Snooping

VLAN に対して DHCP スヌーピングをイネーブル化するかどうかの指定。デフォルトでは、このチェック ボックスはオフです。

その他の参考資料

DHCP スヌーピングの実装に関する詳細情報については、次を参照してください。

「関連資料」

「規格」

関連資料

関連事項
タイトル

IP ソース ガード

「IP ソース ガードの概要」

Dynamic ARP Inspection(DAI; ダイナミック ARP 検査)

「DAI の概要」

規格

規格
タイトル

RFC -2131

Dynamic Host Configuration Protocol 』(http://tools.ietf.org/html/rfc2131)

RFC -3046

DHCP Relay Agent Information Option 』(http://tools.ietf.org/html/rfc3046)