Cisco Nexus 1000V セキュリティ設定ガイド 4.2(1)SV2(1.1)
DHCP スヌーピングの設定
DHCP スヌーピングの設定
発行日;2013/01/16   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

DHCP スヌーピングの設定

この章の内容は、次のとおりです。

DHCP スヌーピングの概要

DHCP スヌーピングは、信頼できないホストと信頼できる DHCP サーバとの間でファイアウォールのように機能します。具体的には、次の処理を実行します。

  • 信頼できない発信元からの DHCP メッセージを検証するとともに、DHCP サーバからの無効な応答メッセージを除外します。
  • DHCP スヌーピング バインディング データベースを構築し、管理する。このデータベースには、リース IP アドレスを持つ、信頼できないホストに関する情報が保存されています。
  • DHCP スヌーピング バインディング データベースを使用して、信頼できないホストからの以降の要求を検証する。

ダイナミック ARP インスペクション(DAI)および IP ソース ガードも、DHCP スヌーピング バインディング データベースに格納された情報を使用します。

DHCP スヌーピングは、VLAN ごとにグローバルにイネーブルになっています。 デフォルトでは、すべての VLAN で DHCP スヌーピングは非アクティブです。 この機能は、1 つの VLAN 上または VLAN の特定の範囲でイネーブルにできます。

DHCP スヌーピングのライセンス要件

次の表に、この機能のライセンス要件を示します。

機能 ライセンス要件

DHCP スヌーピング

Release 4.2(1)SV2(1.1) 以降では、階層ベースのライセンスのアプローチが Cisco Nexus 1000V で採用されています。 Cisco Nexus 1000V は、Essential と Advanced の 2 つのエディションで出荷されます。 スイッチ エディションが Advanced エディションとして設定されている場合、ライセンスを必要とする高度な機能として DHCP スヌーピング、ダイナミック ARP インスペクション(DAI)、および IP ソース ガード(IPSG)を使用できます。

(注)     

Release 4.2(1)SV2(1.1) 以降では、feature dhcp コマンドを使用して Cisco Nexus 1000Vの DHCP スヌーピングをイネーブルにします。 スイッチ エディションが Essential の場合、feature コマンドは失敗します。

Cisco Nexus 1000V のライセンス要件の詳細については、『Cisco Nexus 1000V License Configuration Guide』を参照してください。

DHCP スヌーピングの前提条件

DHCP スヌーピングを設定するには、DHCP に関する知識が必要です。

この機能のライセンス要件については、「DHCP スヌーピングのライセンス要件」を参照してください。

DHCP スヌーピングの注意事項および制約事項

  • DHCP スヌーピング データベースは各 VEM 上に作成され、1 つのデータベースに最大 2048 個のバインディングを格納できます。
  • DHCP スヌーピングをシームレス VSD にするために、サービス VM ポートは、デフォルトで信頼できるポートとなっています。 これらのポートを「信頼できない」と設定しても、その設定は無視されます。
  • VSM の接続に VEM が使用される場合、つまり VSM の VSM Asynchronous Inter-process Communication(AIPC)、管理、およびインバンドのポートが特定の VEM 上にある場合は、これらの仮想イーサネット インターフェイスが信頼できるインターフェイスとして設定されている必要があります。
  • Cisco Nexus 1000V からのデバイス アップストリームの接続インターフェイスは、このデバイスで DHCP スヌーピングがイネーブルになっている場合、「信頼できる」として設定する必要があります。
  • 128 を超える ACL(MAC と IP ACL の組み合わせ)を設定する場合は、VSM RAM が 3 GB(3072 MB)に設定されていることを確認します。

DHCP 設定のデフォルト設定

パラメータ

デフォルト

DHCP 機能

Disabled

DHCP スヌーピング グローバル

Disabled

DHCP スヌーピング VLAN

Disabled

DHCP スヌーピングの MAC アドレス検証

Enabled

DHCP スヌーピング信頼状態

信頼できる:イーサネット インターフェイス、vEthernet インターフェイス、およびポート チャネル(VSD 機能に参加しているもの)。 信頼できない:VSD 機能に参加していない vEthernet インターフェイス。

DHCP スヌーピング機能の設定

DHCP スヌーピングの最小限の設定

  1. DHCP 機能をイネーブルにします。
  2. DHCP スヌーピングをグローバルにイネーブルにします。
  3. 少なくとも 1 つの VLAN で、DHCP スヌーピングをイネーブルにします。 デフォルトでは、DHCP スヌーピングはすべての VLAN でディセーブルになります。
  4. DHCP サーバとデバイスが、信頼できるインターフェイスを使用して接続されていることを確認します。

DHCP 機能のイネーブル化またはディセーブル化

デフォルトでは、DHCP はディセーブルです。

はじめる前に

この手順を開始する前に、EXEC モードで CLI にログインする必要があります。

手順
     コマンドまたはアクション目的
    ステップ 1 switch# configure terminal 

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 2switch(config)# feature dhcp  

    DHCP スヌーピングをグローバルにイネーブル化します。 no オプションを使用すると、DHCP スヌーピングがディセーブルになりますが、既存の DHCP スヌーピング設定は保存されます。 DHCP スヌーピングはライセンスを必要とする高度な機能として使用できます。 Cisco Nexus 1000V のライセンス要件の詳細については、『Cisco Nexus 1000V License Configuration Guide』を参照してください。

     
    ステップ 3switch(config)# show feature  (任意)

    使用可能な各機能の状態(イネーブルまたはディセーブル)を表示します。

     
    ステップ 4switch(config)# copy running-config startup-config  (任意)

    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

     
    switch# configure terminal
    switch(config)# feature dhcp
    switch(config)# show feature
    Feature Name          Instance  State   
    --------------------  --------  --------
    dhcp-snooping         1         enabled 
    http-server           1         enabled 
    lacp                  1         enabled 
    netflow               1         disabled
    port-profile-roles    1         enabled 
    private-vlan          1         disabled
    sshServer             1         enabled 
    tacacs                1         enabled 
    telnetServer          1         enabled 
    switch(config)# copy running-config startup-config

    DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化

    DHCP スヌーピングに関する次の情報を知っておく必要があります。

    • デフォルトでは、DHCP スヌーピングはグローバルにディセーブルです。
    • DHCP スヌーピングがグローバルにディセーブルになると、DHCP スヌーピングはすべて停止し、DHCP メッセージは中継されなくなります。
    • DHCP スヌーピングを設定した後でグローバルにディセーブルにした場合も、残りの設定は維持されます。
    手順
       コマンドまたはアクション目的
      ステップ 1 switch# configure terminal 

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 2 switch(config)# feature dhcp  

      DHCP をグローバルにイネーブルにします。 DHCP スヌーピングはライセンスを必要とする高度な機能として使用できます。

       
      ステップ 3 switch(config)# [no] ip dhcp snooping  

      IP DHCP スヌーピングをイネーブルにします。 no オプションを使用すると、DHCP スヌーピングがディセーブルになりますが、既存の DHCP スヌーピング設定は保存されます。

       
      ステップ 4switch(config)# show running-config dhcp  (任意)

      DHCP スヌーピング設定を表示します。

       
      ステップ 5switch(config)# copy running-config startup-config  (任意)

      実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

       
      switch# configure terminal
      switch(config)# ip dhcp snooping
      switch(config)# show running-config dhcp
      switch(config)# copy running-config startup-config

      VLAN に対する DHCP スヌーピングのイネーブル化またはディセーブル化

      デフォルトでは、DHCP スヌーピングはすべての VLAN でディセーブルになります。

      はじめる前に

      この手順を開始する前に、EXEC モードで CLI にログインする必要があります。

      手順
         コマンドまたはアクション目的
        ステップ 1 switch# configure terminal 

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 2 switch(config)# feature dhcp  

        DHCP をグローバルにイネーブルにします。 DHCP スヌーピングはライセンスを必要とする高度な機能として使用できます。

         
        ステップ 3 switch(config)# [no] ip dhcp snooping vlan vlan-list 

        vlan-list で指定する VLAN の DHCP スヌーピングをイネーブルにします。 no オプションを使用すると、指定した VLAN の DHCP スヌーピングがディセーブルになります。

         
        ステップ 4switch(config)# show running-config dhcp  (任意)

        DHCP スヌーピング設定を表示します。

         
        ステップ 5switch(config)# copy running-config startup-config  (任意)

        実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

         
        switch# configure terminal
        switch(config)# ip dhcp snooping vlan 100,200,250-252
        switch(config)# show running-config dhcp
        switch(config)# copy running-config startup-config

        DHCP スヌーピングの MAC アドレス検証のイネーブル化またはディセーブル化

        MAC アドレス検証はデフォルトでイネーブルになります。

        ここでは、DHCP スヌーピングの MAC アドレス検証をイネーブルまたはディセーブルにする手順を説明します。 信頼できないインターフェイスからパケットを受信し、この送信元 MAC アドレスと DHCP クライアント ハードウェア アドレスが一致しない場合、アドレス検証によってデバイスはパケットをドロップします。

        はじめる前に

        この手順を開始する前に、EXEC モードで CLI にログインする必要があります。

        手順
           コマンドまたはアクション目的
          ステップ 1 switch# configure terminal 

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 2 switch(config)# [no] ip dhcp snooping verify mac-address  

          DHCP スヌーピングの MAC アドレス検証をイネーブルにします。 no オプションを使用すると MAC アドレス検証がディセーブルになります。

           
          ステップ 3switch(config)# show running-config dhcp  (任意)

          DHCP スヌーピング設定を表示します。

           
          ステップ 4switch(config)# copy running-config startup-config  (任意)

          実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

           
          switch# configure terminal
          switch(config)# ip dhcp snooping verify mac-address
          switch(config)# show running-config dhcp
          switch(config)# copy running-config startup-config

          送信元 IP によるフィルタリングのイネーブル化

          展開の仮想マシン(VM)にスタティック IP アドレスが割り当てられており、VM の電源が頻繁にオンとオフの間で切り替わると、VM の MAC アドレスが変更されます。 この状況は、ダイナミック ARP インスペクション(DAI)および Cisco Nexus 1000V 上の IP ソース ガード(IPSG)の機能に影響を及ぼします。 Cisco Nexus 1000V に同じ IP-MAC アドレス バインディングはありません。 したがって、これらの VM からのトラフィックはドロップされます。

          Release 4.2(1)SV2(1.1) から、この問題を修正するために、DHCP 機能の新しいオプションが提供されます。 IP アドレスと MAC アドレスのペアに基づくトラフィックのフィルタリングではなく、送信元 IP アドレスにのみ基づいてトラフィックをフィルタリングできます。 Cisco Nexus 1000V は MAC アドレスを無視し、VM からのトラフィックの送信元 IP アドレスだけを検証します。 新しい機能はスタティック バインディングのみに適用され、ダイナミック バインディングの場合と同様に、新しい MAC アドレスで Cisco Nexus 1000V のダイナミック バインディングがアップデートされます。

          Cisco Nexus 1000V スイッチで送信元 IP によるフィルタリングをイネーブルにするには、フィルタ モードを ip フィルタリングに設定します。 デフォルトのフィルタリング モードは、ip-mac フィルタリングです。 送信元 IP アドレスに基づいてトラフィックをフィルタリングするには、次の項を参照してください。

          はじめる前に

          この手順を開始する前に、EXEC モードで CLI にログインする必要があります。 DHCP 機能が Cisco Nexus 1000V スイッチでイネーブルになっている必要があります。

          手順
             コマンドまたはアクション目的
            ステップ 1 switch# configure terminal 

            グローバル コンフィギュレーション モードを開始します。

             
            ステップ 2 switch(config)# feature dhcp  

            DHCP をグローバルにイネーブルにします。 DHCP スヌーピングはライセンスを必要とする高度な機能として使用できます。

             
            ステップ 3 switch(config)# ip source binding filter-mode { ip | ip-mac }  

            フィルタ モードを設定します。 これはグローバル コマンドです。

             
            ステップ 4switch(config)# show ip source binding filter-mode  (任意)

            スイッチのフィルタ モードを表示します。

             
            ステップ 5switch(config)# show ip arp inspection  (任意)

            show コマンドの出力を表示します。 フィルタ モードは出力の一部として表示されます。

             
            ステップ 6switch(config)# show ip arp inspection vlanvlan-id  (任意)

            show コマンドの出力を表示します。 フィルタ モードは出力の一部として表示されます。

             
            ステップ 7switch(config)# show ip verify source  (任意)

            show コマンドの出力を表示します。 フィルタ モードは出力の一部として表示されます。

             
            ステップ 8switch(config)# show ip verify source interface vethernetinterface-number  (任意)

            show コマンドの出力を表示します。 フィルタ モードは出力の一部として表示されます。

             

            次の例では、トラフィックは ip フィルタ モードに基づいてフィルタリングされます。

            switch# configure terminal
            switch(config)# ip source binding filter-mode ip
            
            switch(config)# show ip source binding filter-mode
            DHCP Snoop Filter Mode(for static bindings) = IP-MAC
            
            switch(config)# show ip arp inspection
            Source Mac Validation      : Disabled
            Destination Mac Validation : Disabled
            IP Address Validation      : Disabled
            
            Filter Mode(for static bindings): IP
            
            Vlan : 1
            -----------
            Configuration          : Disabled
            Operation State        : Inactive
            
            switch(config)# show ip arp inspection vlan 1
            Source Mac Validation      : Disabled
            Destination Mac Validation : Disabled
            IP Address Validation      : Disabled
            
            Filter Mode(for static bindings): IP
            
            Vlan : 100
            -----------
            Configuration        : Disabled
            Operation State      : Inactive
            
            switch(config)# show ip verify source
            Filter Mode(for static bindings): IP
            IP source guard is enabled on the following interfaces:
            ------------------------------------------------------ 
            
            IP source guard operational entries: 
            -----------------------------------
            Interface         Filter-mode             IP-address     Mac-address       Vlan
            ------------      -----------             ----------     --------------    ----
            (config)#
            
            switch(config)# show ip verify source interface vethernet 1
            Filter Mode(for static bindings): IP-MAC
            IP source guard is disabled on this interface.
            
            

            インターフェイスの信頼状態の設定

            ここでは、特定の仮想インターフェイスが DHCP メッセージの送信元として信頼できるものかどうかを設定する手順を説明します。 次のいずれかの方法を使用して、DHCP 信頼状態を設定できます。

            • レイヤ 2 vEthernet インターフェイス
            • レイヤ 2 vEthernet インターフェイスのポート プロファイル

            デフォルトでは、vEthernet インターフェイスは「信頼できない」となっています。 ただし、信頼できる他の機能(VSD など)によって使用される特殊な vEthernet ポートは例外です。

            DHCP スヌーピング、DAI、および IP ソース ガードをシームレスにするために、仮想サービス ドメイン(VSD)サービス VM ポートはデフォルトで信頼できるポートとなっています。 これらのポートを「信頼できない」と設定しても、その設定は無視されます。

            はじめる前に

            この手順を開始する前に、次のことを確認してください。

            • EXEC モードで CLI にログインしていること。
            • vEthernet インターフェイスがレイヤ 2 インターフェイスとして設定されていること。
            手順
               コマンドまたはアクション目的
              ステップ 1switch# configure terminal 

              グローバル コンフィギュレーション モードを開始します。

               
              ステップ 2switch(config)# interface vethernet interface-number
              • switch(config)# port-profile profilename

                指定したポート プロファイルのポート プロファイル コンフィギュレーション モードを開始します。 ポート プロファイル設定を使用して、インターフェイスを信頼できるインターフェイスとして設定します。

               

              指定した vEthernet インターフェイスのインターフェイス コンフィギュレーション モードを開始します。 インターフェイス設定を使用して、インターフェイスを信頼できるインターフェイスとして設定します。

               
              ステップ 3switch(config-if)# [no] ip dhcp snooping trust 

              DHCP スヌーピングに関してインターフェイスを信頼できるインターフェイスとして設定します。 no オプションを使用すると、ポートは信頼できないインターフェイスとして設定されます。

               
              ステップ 4switch(config-if)# show running-config dhcp  (任意)

              DHCP スヌーピング設定を表示します。

               
              ステップ 5switch(config-if)# copy running-config startup-config  (任意)

              実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

               
              switch# configure terminal
              switch(config)# interface vethernet 3
              switch(config-if)# ip dhcp snooping trust 
              switch(config-if)# show running-config dhcp 
              switch(config-if)# copy running-config startup-config
              
              switch(config)# port-profile vm-data
              switch(config-port-profile)#  ip dhcp snooping trust 
              switch(config-port-profile)#  show running-config dhcp 
              switch(config-port-profile)#  copy running-config startup-config
              

              DHCP パケットのレート制限の設定

              各ポートで受信する DHCP パケット/秒のレートの制限を設定するには、次の手順を実行します。

              はじめる前に

              この手順を開始する前に、EXEC モードで CLI にログインする必要があります。

              次の情報を知っている必要があります。

              • ポートは、この手順で設定した DHCP パケット/秒のレートの制限を超えると、errdisabled 状態になります。
              • インターフェイスまたはポート プロファイルにレート制限を設定できます。
              手順
                 コマンドまたはアクション目的
                ステップ 1switch# configure terminal 

                グローバル コンフィギュレーション モードを開始します。

                 
                ステップ 2switch(config)# interface vethernet interface-number
                • switch(config)# port-profile profilename

                  指定したポート プロファイルのポート プロファイル コンフィギュレーション モードを開始します。

                 

                指定した vEthernet インターフェイスのインターフェイス コンフィギュレーション モードを開始します。

                 
                ステップ 3switch(config-if)# [no] ip dhcp snooping limit rate rate 

                DHCP パケット/秒(1 ~ 2048)のレートに制限を設定します。 no オプションはレート制限を削除します。

                 
                ステップ 4switch(config-if)# show running-config dhcp  (任意)

                DHCP スヌーピング設定を表示します。

                 
                ステップ 5switch(config-if)# copy running-config startup-config  (任意)

                実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                 
                switch# configure terminal
                switch(config)# interface vethernet 3
                switch(config-if)# ip dhcp snooping limit rate 30
                switch(config-if)# show running-config dhcp 
                switch(config-if)# copy running-config startup-config
                
                switch(config)# port-profile vm-data
                switch(config-port-profile)#  ip dhcp snooping limit rate 30 
                switch(config-port-profile)#  show running-config dhcp 
                switch(config-port-profile)#  copy running-config startup-config
                

                DHCP レート制限違反がディセーブルなポートの検出

                DHCP レート制限の超過がディセーブルになっているポートの検出をグローバルに設定するには、次の手順を実行します。

                インターフェイスを errdisable ステートから手動で回復するには、shutdown コマンドを入力してから、no shutdown コマンドを入力する必要があります。


                (注)  


                設定されたレートに違反すると、ポートは自動的に errdisable 状態になります。


                はじめる前に

                この手順を開始する前に、EXEC モードで CLI にログインする必要があります。

                手順
                   コマンドまたはアクション目的
                  ステップ 1 switch# configure terminal 

                  グローバル コンフィギュレーション モードを開始します。

                   
                  ステップ 2 switch(config)# feature dhcp  

                  DHCP をグローバルにイネーブルにします。 DHCP スヌーピングはライセンスを必要とする高度な機能として使用できます。

                   
                  ステップ 3switch(config)# [no] errdisable detect cause dhcp-rate-limit 

                  DHCP error-disabled 検出をイネーブルにします。 no オプションを使用すると、DHCP error-disabled 検出がディセーブルになります。

                   
                  ステップ 4switch(config)# show running-config dhcp  (任意)

                  DHCP スヌーピング設定を表示します。

                   
                  ステップ 5switch(config)# copy running-config startup-config  (任意)

                  実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                   
                  switch# configure terminal
                  switch(config)# errdisable detect cause dhcp-rate-limit
                  switch(config)# show running-config dhcp
                  switch(config)# copy running-config startup-config

                  DHCP レート制限違反がディセーブルなポートの回復

                  DHCP レート制限の違反がディセーブルになっているポートの自動リカバリをグローバルに設定するには、次の手順を実行します。

                  レートによって errdisable ステートになるポート。

                  インターフェイスを errdisable ステートから手動で回復するには、shutdown コマンドを入力してから、no shutdown コマンドを入力する必要があります。

                  はじめる前に

                  この手順を開始する前に、EXEC モードで CLI にログインする必要があります。

                  手順
                     コマンドまたはアクション目的
                    ステップ 1 switch# configure terminal 

                    グローバル コンフィギュレーション モードを開始します。

                     
                    ステップ 2 switch(config)# [no] errdisable recovery cause dhcp-rate-limit 

                    DHCP error-disabled 検出をイネーブルにします。 no オプションを使用すると、DHCP error-disabled 検出がディセーブルになります。

                     
                    ステップ 3switch(config)# errdisable recovery interval 

                    DHCP error-disabled 回復間隔を設定します。timer-interval は秒数(30 ~ 65535)です。

                     
                    ステップ 4switch(config)# show running-config dhcp  (任意)

                    DHCP スヌーピング設定を表示します。

                     
                    ステップ 5switch(config)# copy running-config startup-config  (任意)

                    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                     
                    switch# configure terminal
                    switch(config)# errdisable detect cause dhcp-rate-limit
                    switch(config)# errdisable recovery interval 30
                    switch(config)# show running-config dhcp
                    switch(config)# copy running-config startup-config

                    DHCP スヌーピング バインディング データベースのクリア

                    DHCP スヌーピング バインディング データベースのクリアについては、次の項を参照してください。

                    すべてのバインディング エントリの消去

                    はじめる前に

                    この手順を開始する前に、EXEC モードで CLI にログインする必要があります。

                    手順
                       コマンドまたはアクション目的
                      ステップ 1 switch# clear ip dhcp snooping binding 

                      DHCP スヌーピング バインディング データベースに動的に追加されたエントリを消去します。

                       
                      ステップ 2switch# show ip dhcp snooping binding  (任意)

                      DHCP スヌーピング バインディング データベースを表示します。

                       
                      switch# clear ip dhcp snooping binding
                      switch# show ip dhcp snooping binding

                      インターフェイスのバインディング エントリの消去

                      はじめる前に

                      この手順を開始する前に、次のことを確認してください。

                      • CLI に EXEC モードでログインしていること。
                      • インターフェイスに関する次の情報が収集されていること。
                        • VLAN ID
                        • IP アドレス
                        • MAC アドレス
                      手順
                         コマンドまたはアクション目的
                        ステップ 1switch# clear ip dhcp snooping binding [{vlan vlan-id mac mac-addr ip ip-addr interface interface-id} | vlan vlan-id1 | interface interface-id1] 

                        DHCP スヌーピング バインディング データベースから、動的に追加されたインターフェイスのエントリを消去します。

                         
                        ステップ 2switch# show ip dhcp snooping binding 

                        DHCP スヌーピング バインディング データベースを表示します。

                         
                        switch# clear ip dhcp snooping binding vlan 10 mac EEEE.EEEE.EEEE ip 10.10.10.1 interface vethernet 1
                        switch# show ip dhcp snooping binding

                        DHCP のスイッチおよび回線情報のリレー

                        DHCP パケットの VSM MAC アドレスおよび vEthernet ポート情報のリレーをグローバルに設定するには、次の手順を実行します。 これは、オプション 82 およびリレー エージェント情報オプションとも呼ばれます。

                        はじめる前に

                        この手順を開始する前に、EXEC モードで CLI にログインする必要があります。

                        手順
                           コマンドまたはアクション目的
                          ステップ 1 switch# configure terminal 

                          グローバル コンフィギュレーション モードを開始します。

                           
                          ステップ 2switch(config)# [no] ip dhcp snooping information option

                          例:  

                          DHCP パケットの VSM MAC アドレスおよび vEthernet ポート情報をリレーするよう DHCP を設定します。

                          この設定を削除するには、no オプションを使用します。

                           
                          ステップ 3switch(config)# show running-config dhcp  (任意)

                          DHCP スヌーピング設定を表示します。

                           
                          ステップ 4switch(config)# copy running-config startup-config  (任意)

                          実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                           
                          switch# configure terminal
                          switch(config)# ip dhcp snooping information option
                          switch(config)# show running-config dhcp
                          !Command: show running-config dhcp
                          !Time: Fri Dec 17 11:30:22 2010
                          
                          version 4.2(1)SV1(4)
                          ip dhcp snooping information option
                          service dhcp
                          ip dhcp relay
                          ip dhcp relay information option
                          switch(config)# copy running-config startup-config

                          DHCP スヌーピング設定の確認

                          次のいずれかのコマンドを使用して、設定を確認します。

                          コマンド

                          目的

                          show running-config dhcp

                          DHCP スヌーピング設定を表示します。

                          show ip dhcp snooping

                          DHCP スヌーピングに関する一般的な情報を表示します。

                          show ip dhcp snooping binding

                          DHCP スヌーピング バインディング テーブルの内容を表示します。

                          show feature

                          DHCP などの使用可能な機能と、それらがイネーブルかどうかを表示します。

                          DHCP スヌーピングのモニタリング

                          DHCP スヌーピングの統計情報をモニタするには、show ip dhcp snooping statistics コマンドを使用します。

                          DHCP スヌーピングの設定例

                          次に、2 つの VLAN 上で DHCP スヌーピングをイネーブルにする例を示します。vEthernet インターフェイス 5 が「信頼できる(trusted)」となっているのは、DHCP サーバがこのインターフェイスに接続されているからです。

                          switch# configure terminal
                          switch(config)# feature dhcp 
                          switch(config)# interface vethernet 5
                          switch(config-if)# ip dhcp snooping trust
                          switch(config-if)# ip dhcp snooping vlan 1, 50
                          

                          標準

                          標準

                          タイトル

                          RFC-2131

                          『Dynamic Host Configuration Protocol』

                          http:/​/​tools.ietf.org/​html/​rfc2131

                          RFC-3046

                          『DHCP Relay Agent Information Option』

                          http:/​/​tools.ietf.org/​html/​rfc3046

                          DHCP スヌーピングの機能の履歴

                          この表には、機能の追加によるリリースの更新内容のみが記載されています。

                          機能名

                          リリース

                          機能情報

                          ライセンスの変更

                          4.2(1)SV2(1.1)

                          DHCP スヌーピングを高度な機能として使用できるようになりました。 機能をイネーブルにするには、feature dhcp コマンドを使用します。

                          送信元 IP によるフィルタリングのイネーブル化

                          4.2(1)SV2(1.1)

                          Cisco Nexus 1000V スイッチで、送信元 IP に基づくフィルタリングをイネーブルにできるようになりました。

                          リレー エージェント(オプション 82)

                          4.2(1)SV1(4)

                          DHCP パケットの VSM MAC およびポート情報のリレーを設定できます。

                          feature dhcp コマンド

                          4.2(1)SV1(4)

                          DHCP 機能をグローバルにイネーブルにするコマンドが追加されました。

                          4.0(4)SV1(2)

                          この機能が導入されました。