Cisco Nexus 3000 シリーズ NX-OS リリース 5.0(3)U4(1) セキュリティ コンフィギュレーション ガイド
DHCP スヌーピングの設定
DHCP スヌーピングの設定
発行日;2012/12/19   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

DHCP スヌーピングの設定

この章では、Cisco NX-OS デバイスで Dynamic Host Configuration Protocol(DHCP)スヌーピングを設定する手順について説明します。

DHCP スヌーピングの概要

DHCP スヌーピングは、信頼できないホストと信頼できる DHCP サーバとの間でファイアウォールのような機能を果たします。 DHCP スヌーピングでは次のアクティビティを実行します。

  • 信頼できないソースからの DHCP メッセージを検証し、無効なメッセージをフィルタ処理して除外する。
  • DHCP スヌーピング バインディング データベースを構築し、管理する。このデータベースには、リース IP アドレスを持つ、信頼できないホストに関する情報が保存されています。
  • DHCP スヌーピング バインディング データベースを使用して、信頼できないホストからの以降の要求を検証します。

DHCP スヌーピングは、VLAN ごとにイネーブルに設定されます。 デフォルトでは、すべての VLAN でこの機能は非アクティブです。 この機能は、1 つの VLAN 上または VLAN の特定の範囲でイネーブルにできます。

機能のイネーブル化とグローバルなイネーブル化

DHCP スヌーピングを設定するときは、DHCP スヌーピング機能のイネーブル化と DHCP スヌーピングのグローバルなイネーブル化の違いを理解することが重要です。

機能のイネーブル化

DHCP スヌーピング機能は、デフォルトではディセーブルです。 DHCP スヌーピング機能がディセーブルになっていると、DHCP スヌーピング機能やこの機能に依存しているすべての機能を設定できません。 DHCP スヌーピングおよびその依存機能を設定するコマンドは、DHCP スヌーピングがディセーブルになっているときは使用できません。

DHCP スヌーピング機能をイネーブルにすると、スイッチで DHCP スヌーピング バインディング データベースの構築と維持が開始されます。 DHCP スヌーピング バインディング データベースに依存する機能は、その時点から使用できるようになり、設定も可能になります。

DHCP スヌーピング機能をイネーブルにしても、グローバルにイネーブルになるわけではありません。 DHCP スヌーピングをグローバルにイネーブルにするには、個別に行う必要があります。

DHCP スヌーピング機能をディセーブルにすると、スイッチから DHCP スヌーピングの設定がすべて削除されます。 DHCP スヌーピングをディセーブルにして設定を維持したい場合は、DHCP スヌーピング機能をディセーブルにするのではなく、DHCP スヌーピングをグローバルにディセーブルにします。

グローバルなイネーブル化

DHCP スヌーピングのイネーブル後、DHCP スヌーピングはデフォルトでグローバルにディセーブルになります。 グローバルなイネーブル化は第 2 レベルのイネーブル化で、DHCP スヌーピング バインディング データベースのイネーブル化とは別に、スイッチで DHCP スヌーピングをアクティブに実行するかどうかを別途制御できます。

DHCP スヌーピングをグローバルにイネーブルにすると、DHCP スヌーピングがイネーブルになっている VLAN の信頼できない各インターフェイスについて、スイッチによって受信した DHCP メッセージの検証が開始され、DHCP スヌーピング バインディング データベースを使用して、信頼できないホストからの以降の要求を検証します。

DHCP スヌーピングをグローバルにディセーブルにすると、スイッチは DHCP メッセージの検証と、信頼できないホストからの以降の要求の検証を停止します。 DHCP スヌーピング バインディング データベースも削除されます。 DHCP スヌーピングをグローバルにディセーブルにしても、DHCP スヌーピングの設定や、DHCP スヌーピング機能に依存するその他の機能の設定は削除されません。

信頼できるソースおよび信頼できないソース

DHCP スヌーピングがトラフィックの送信元を信頼するかどうかを設定できます。 信頼できない送信元の場合、トラフィック攻撃やその他の敵対的アクションが開始される可能性があります。 こうした攻撃を防ぐため、DHCP スヌーピングは信頼できない送信元からのメッセージをフィルタリングします。

企業ネットワークでは、信頼できる送信元はその企業の管理制御下にあるスイッチです。 これらのスイッチには、ネットワーク内のスイッチ、ルータ、およびサーバが含まれます。 ファイアウォールを越えるスイッチやネットワーク外のスイッチは信頼できない送信元です。 一般的に、ホスト ポートは信頼できない送信元として扱われます。

サービス プロバイダーの環境では、サービス プロバイダー ネットワーク内にないスイッチは、信頼できない送信元です(カスタマー スイッチなど)。 ホスト ポートは、信頼できないソースです。

Cisco Nexus 3000 シリーズ スイッチでは、接続インターフェイスの信頼状態を設定することにより送信元が信頼されることを示します。

すべてのインターフェイスのデフォルトの信頼状態は、信頼できない状態です。 DHCP サーバ インターフェイスは、信頼できるインターフェイスとして設定する必要があります。 ユーザのネットワーク内でスイッチ(スイッチやルータなど)に接続されている場合、他のインターフェイスも信頼できるインターフェイスとして設定できます。 ホスト ポート インターフェイスは、通常、信頼できるインターフェイスとしては設定しません。


(注)  


DHCP スヌーピングを正しく機能させるためには、すべての DHCP サーバを信頼できるインターフェイス経由でスイッチに接続する必要があります。


DHCP スヌーピング バインディング データベース

DHCP スヌーピングは、代行受信した DHCP メッセージから抽出した情報を使用し、ダイナミックにデータベースを構築し維持します。 ホストが、DHCP スヌーピングがイネーブルになっている VLAN に関連付けられている場合、このデータベースには、リース IP アドレスを含む信頼できない各ホストのエントリが含まれています。 このデータベースに、信頼できるインターフェイス経由で接続されるホストのエントリは含まれていません。


(注)  


DHCP スヌーピング バインディング データベースは DHCP スヌーピング バインディング テーブルとも呼ばれます。


スイッチが特定の DHCP メッセージを受信すると、DHCP スヌーピングはデータベースをアップデートします。 たとえば、サーバからの DHCPACK メッセージをスイッチで受信すると、この機能により、データベースにエントリが追加されます。 IP アドレスのリース期限が過ぎたり、スイッチがホストから DHCPRELEASE メッセージを受信すると、この機能によってデータベース内のエントリが削除されます。

DHCP スヌーピング バインディング データベース内の各エントリには、ホストの MAC アドレス、リース IP アドレス、リース期間、バインディング タイプ、およびホストに関連付けられた VLAN 番号とインターフェイスの情報が含まれています。

clear ip dhcp snooping binding コマンドを使用すると、バインディング データベースからエントリ削除できます。

DHCP リレー エージェントの概要

DHCP リレー エージェント

DHCP リレー エージェントを実行するようにデバイスを設定できます。DHCP リレー エージェントは、クライアントとサーバの間で DHCP パケットを転送します。 これは、クライアントとサーバが同じ物理サブネット上にない場合に便利な機能です。 リレー エージェントは DHCP メッセージを受信すると、新規の DHCP メッセージを生成して別のインターフェイスに送信します。 リレー エージェントはゲートウェイ アドレスを設定し(DHCP パケットの giaddr フィールド)、パケットにリレー エージェント情報のオプション(Option 82)を追加して(設定されている場合)、DHCP サーバに転送します。 サーバからの応答は、Option 82 を削除してからクライアントに転送されます。

Option 82 をイネーブルにすると、デバイスはバイナリ ifindex 形式をデフォルトで使用します。 必要に応じて、代わりに符号化されたストリング形式を使用するように Option 82 設定を変更できます。


(注)  


デバイスは、Option 82 情報がすでに含まれている DHCP 要求を中継するときには、Option 82 情報を変更せずに元のままの状態で要求と一緒に転送します。


DHCP リレー エージェントに対する VRF サポート

DHCP ブロードキャスト メッセージを仮想ルーティング/転送(VRF)インスタンスのクライアントから別の VRF の DHCP サーバに転送するように、DHCP リレー エージェントを設定できます。 単一の DHCP サーバを使用して複数の VRF のクライアントの DHCP をサポートできるため、IP アドレス プールを VRF ごとではなく 1 つにまとめることにより、IP アドレスを節約できます。

DHCP リレー エージェントに対する VRF サポートをイネーブルにするには、DHCP リレー エージェントに対する Option 82 をイネーブルにする必要があります。

DHCP リレー アドレスと VRF 情報を設定したインターフェイスに DHCP 要求が着信した場合、DHCP サーバのアドレスが、別の VRF のメンバであるインターフェイスのネットワークに属するものであれば、デバイスは要求に Option 82 情報を挿入し、サーバの VRF の DHCP サーバに転送されます。 Option 82 情報は次のとおりです。

VPN 識別子

DHCP 要求を受信するインターフェイスが属する VRF の名前。

リンクの選択

DHCP 要求を受信するインターフェイスのサブネット アドレス。

サーバ識別子オーバーライド

DHCP 要求を受信するインターフェイスの IP アドレス。


(注)  


DHCP サーバは、[VPN identifier]、[link selection]、[server identifier override] の各オプションをサポートする必要があります。


デバイスは DHCP 応答メッセージを受信すると、Option 82 情報を取り除き、クライアントの VRF の DHCP クライアントに応答を転送します。

DHCP リレー バインディング データベース

リレー バインディングは、リレー エージェント アドレスおよびそのサブネットに DHCP または BOOTP クライアントを関連付けるエンティティです。 各リレー バインディングは、クライアント MAC アドレス、アクティブ リレー エージェント アドレス、アクティブ リレー エージェント アドレス マスク、クライアントが接続されている論理および物理インターフェイス、giaddr 再試行回数および合計再試行回数を格納します。 giaddr 再試行回数は、そのリレー エージェント アドレスとともに送信される要求パケットの数です。合計再試行回数は、リレー エージェントによって送信された要求パケットの合計数です。 1 つのリレー バインディング エントリは、DHCP または BOOTP クライアントごとに維持されます。

DHCP スヌーピングのライセンス要件

この機能にはライセンスは不要です。 ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。 NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。

DHCP スヌーピングの前提条件

DHCP スヌーピングまたは DHCP リレー エージェントを設定するためには、DHCP についての知識が必要です。

DHCP スヌーピングの注意事項および制約事項

DHCP スヌーピングを設定する場合、次の注意事項および制約事項に従います。

  • DHCP スヌーピング データベースには 2,000 のバインディングを格納できます。
  • DHCP をグローバルにイネーブル化し、さらに少なくとも 1 つの VLAN で DHCP スヌーピングをイネーブルにするまで、DHCP スヌーピングはアクティブになりません。
  • スイッチ上で DHCP スヌーピングをグローバルにイネーブルにする前に、DHCP サーバや DHCP リレー エージェントとして機能するスイッチが設定され、イネーブルになっていることを確認します。
  • DHCP スヌーピングを使用して設定を行っている VLAN で VLAN ACL(VACL)が設定されている場合、その VACL で DHCP サーバと DHCP ホストの間の DHCP トラフィックが許可されていることを確認します。

DHCP スヌーピングのデフォルト設定

次の表に、DHCP スヌーピング パラメータのデフォルト設定を示します。



表 1 DHCP スヌーピング パラメータのデフォルト値

パラメータ

デフォルト

DHCP スヌーピング機能

ディセーブル

DHCP スヌーピングのグローバルなイネーブル化

No

DHCP スヌーピング VLAN

なし

DHCP スヌーピングの Option 82 サポート

ディセーブル

DHCP スヌーピング信頼状態

信頼できない

DHCP スヌーピングの設定

DHCP スヌーピングの最小設定

手順
     コマンドまたはアクション目的
    ステップ 1 DHCP スヌーピング機能をイネーブルにします。 

    DHCP スヌーピング機能がディセーブルになっていると、DHCP スヌーピングを設定できません。

    詳細については、DHCP スヌーピング機能のイネーブル化またはディセーブル化を参照してください。

     
    ステップ 2DHCP スヌーピングをグローバルにイネーブルにします。 

    詳細については、DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化を参照してください。

     
    ステップ 3 少なくとも 1 つの VLAN で、DHCP スヌーピングをイネーブルにします。 

    デフォルトでは、DHCP スヌーピングはすべての VLAN でディセーブルになります。

    詳細については、VLAN に対する DHCP スヌーピングのイネーブル化またはディセーブル化を参照してください。

     
    ステップ 4DHCP サーバとスイッチが、信頼できるインターフェイスを使用して接続されていることを確認します。 

    詳細については、インターフェイスの信頼状態の設定を参照してください。

     

    DHCP スヌーピング機能のイネーブル化またはディセーブル化

    スイッチの DHCP スヌーピング機能をイネーブルまたはディセーブルに設定できます。 デフォルトでは、DHCP スヌーピングはディセーブルです。

    はじめる前に

    DHCP スヌーピング機能をディセーブルにすると、DHCP スヌーピングの設定がすべて消去されます。 DHCP スヌーピングをオフにして DHCP スヌーピングの設定を維持したい場合は、DHCP をグローバルにディセーブル化します。

    手順
       コマンドまたはアクション目的
      ステップ 1 config t


      例:
      switch# config t
      switch(config)#
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 2 [no] feature dhcp


      例:
      switch(config)# feature dhcp
       

      DHCP スヌーピング機能をイネーブルにします。 no オプションを使用すると、DHCP スヌーピング機能がディセーブルになり、DHCP スヌーピングの設定がすべて消去されます。

       
      ステップ 3 show running-config dhcp


      例:
      switch(config)# show running-config dhcp
       
      (任意)

      DHCP スヌーピングの設定を表示します。

       
      ステップ 4 copy running-config startup-config


      例:
      switch(config)# copy running-config startup-config
       
      (任意)

      実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

       

      DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化

      スイッチの DHCP スヌーピングをグローバルにイネーブルまたはディセーブルに設定できます。 DHCP スヌーピングをグローバルにディセーブルにすると、スイッチのすべての DHCP スヌーピングの実行が停止しますが、DHCP スヌーピングの設定は維持されます。

      はじめる前に

      DHCP スヌーピング機能がイネーブルになっていることを確認します。 デフォルトでは、DHCP スヌーピングはグローバルにディセーブルです。

      手順
         コマンドまたはアクション目的
        ステップ 1 config t


        例:
        switch# config t
        switch(config)#
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 2 [no] ip dhcp snooping


        例:
        switch(config)# ip dhcp snooping
         

        DHCP スヌーピングをグローバルにイネーブルにします。 no オプションを使用すると DHCP スヌーピングがディセーブルになります。

         
        ステップ 3 show running-config dhcp


        例:
        switch(config)# show running-config dhcp
         
        (任意)

        DHCP スヌーピングの設定を表示します。

         
        ステップ 4 copy running-config startup-config


        例:
        switch(config)# copy running-config startup-config
         
        (任意)

        実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

         

        VLAN に対する DHCP スヌーピングのイネーブル化またはディセーブル化

        1 つまたは複数の VLAN に対して DHCP スヌーピングをイネーブルまたはディセーブルに設定できます。

        はじめる前に

        デフォルトでは、DHCP スヌーピングはすべての VLAN でディセーブルになります。

        DHCP スヌーピングがイネーブルになっていることを確認してください。


        (注)  


        DHCP スヌーピングを使用して設定を行っている VLAN で VACL が設定されている場合、その VACL で DHCP サーバと DHCP ホストの間の DHCP トラフィックが許可されていることを確認します。


        手順
           コマンドまたはアクション目的
          ステップ 1 config t


          例:
          switch# config t
          switch(config)#
           

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 2 [no] ip dhcp snooping vlan vlan-list


          例:
          switch(config)# ip dhcp snooping vlan 100,200,250-252
           

          vlan-list で指定する VLAN の DHCP スヌーピングをイネーブルにします。 no オプションを使用すると、指定した VLAN の DHCP スヌーピングがディセーブルになります。

           
          ステップ 3 show running-config dhcp


          例:
          switch(config)# show running-config dhcp
           
          (任意)

          DHCP スヌーピングの設定を表示します。

           
          ステップ 4 copy running-config startup-config


          例:
          switch(config)# copy running-config startup-config
           
          (任意)

          実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

           

          Option 82 データの挿入および削除のイネーブル化またはディセーブル化

          DHCP リレー エージェントを使用せずに転送された DHCP パケットへの Option 82 情報の挿入および削除をイネーブルまたはディセーブルに設定できます。 デフォルトでは、デバイスは DHCP パケットに Option 82 情報を挿入しません。


          (注)  


          Option 82 に対する DHCP リレー エージェントのサポートは、個別に設定されます。


          はじめる前に

          DHCP 機能がイネーブルであることを確認します。

          手順
             コマンドまたはアクション目的
            ステップ 1 config t


            例:
            switch# config t
            switch(config)#
             

            グローバル コンフィギュレーション モードを開始します。

             
            ステップ 2 [no] ip dhcp snooping information option


            例:
            switch(config)# ip dhcp snooping information option
             

            DHCP パケットの Option 82 情報の挿入および削除をイネーブルにします。 no オプションを使用すると、Option 82 情報の挿入および削除がディセーブルになります。

             
            ステップ 3 show running-config dhcp


            例:
            switch(config)# show running-config dhcp
             
            (任意)

            DHCP 設定を表示します。

             
            ステップ 4 copy running-config startup-config


            例:
            switch(config)# copy running-config startup-config
             
            (任意)

            実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

             

            DHCP パケットの厳密な検証のイネーブル化またはディセーブル化

            DHCP スヌーピング機能では、DHCP パケットの厳密な検証をイネーブルまたはディセーブルにできます。 デフォルトでは、DHCP パケットの厳密な検証はディセーブルになっています。

            手順
               コマンドまたはアクション目的
              ステップ 1 config t


              例:
              switch# config t
              switch(config)#
               

              グローバル コンフィギュレーション モードを開始します。

               
              ステップ 2 [no] ip dhcp packet strict-validation


              例:
              switch(config)# ip dhcp packet strict-validation
               

              DHCP スヌーピング機能で、DHCP パケットの厳密な検証をイネーブルにします。 no オプションを使用すると、DHCP パケットの厳密な検証がディセーブルになります。

               
              ステップ 3 show running-config dhcp


              例:
              switch(config)# show running-config dhcp
               
              (任意)

              DHCP スヌーピングの設定を表示します。

               
              ステップ 4 copy running-config startup-config


              例:
              switch(config)# copy running-config startup-config
               
              (任意)

              実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

               

              インターフェイスの信頼状態の設定

              各インターフェイスが DHCP メッセージの送信元として信頼できるかどうかを設定できます。 DHCP の信頼状態は、次のタイプのインターフェイスに設定できます。

              • レイヤ 2 イーサネット インターフェイス
              • レイヤ 2 ポート チャネル インターフェイス
              はじめる前に

              デフォルトでは、すべてのインターフェイスは信頼できません。

              DHCP スヌーピングがイネーブルになっていることを確認してください。

              手順
                 コマンドまたはアクション目的
                ステップ 1 config t


                例:
                switch# config t
                switch(config)#
                 

                グローバル コンフィギュレーション モードを開始します。

                 
                ステップ 2次のいずれかのコマンドを入力します。
                • interface ethernet port/slot
                • interface port-channel channel-number


                例:
                switch(config)# interface ethernet 2/1
                switch(config-if)#
                 
                • インターフェイス コンフィギュレーション モードを開始します。port/slot は、DHCP スヌーピングで trusted または untrusted に設定するレイヤ 2 イーサネット インターフェイスです。
                • インターフェイス コンフィギュレーション モードを開始します。port/slot は、DHCP スヌーピングで trusted または untrusted に設定するレイヤ 2 ポート チャネル インターフェイスです。
                 
                ステップ 3 [no] ip dhcp snooping trust


                例:
                switch(config-if)# ip dhcp snooping trust
                 

                DHCP スヌーピングに関してインターフェイスを信頼できるインターフェイスとして設定します。 no オプションを使用すると、ポートは信頼できないインターフェイスとして設定されます。

                 
                ステップ 4 show running-config dhcp


                例:
                switch(config-if)# show running-config dhcp
                 
                (任意)

                DHCP スヌーピングの設定を表示します。

                 
                ステップ 5 copy running-config startup-config


                例:
                switch(config-if)# copy running-config startup-config
                 
                (任意)

                実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                 

                DHCP リレー エージェントのイネーブル化またはディセーブル化

                DHCP リレー エージェントをイネーブルまたはディセーブルに設定できます。 デフォルトでは、DHCP リレー エージェントはイネーブルです。

                はじめる前に

                DHCP 機能がイネーブルであることを確認します。

                手順
                   コマンドまたはアクション目的
                  ステップ 1 config t


                  例:
                  switch# config t
                  switch(config)#
                   

                  グローバル コンフィギュレーション モードを開始します。

                   
                  ステップ 2 [no] ip dhcp relay


                  例:
                  switch(config)# ip dhcp relay
                   

                  DHCP リレー エージェントをイネーブルにします。 no オプションを使用すると、DHCP リレー エージェントがディセーブルになります。

                   
                  ステップ 3 show ip dhcp relay


                  例:
                  switch(config)# show ip dhcp relay
                   
                  (任意)

                  DHCP リレーの設定を表示します。

                   
                  ステップ 4 show running-config dhcp


                  例:
                  switch(config)# show running-config dhcp
                   
                  (任意)

                  DHCP 設定を表示します。

                   
                  ステップ 5 copy running-config startup-config


                  例:
                  switch(config)# copy running-config startup-config
                   
                  (任意)

                  実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                   

                  DHCP リレー エージェントに対する Option 82 のイネーブル化またはディセーブル化

                  デバイスに対し、リレー エージェントによって転送された DHCP パケットへの Option 82 情報の挿入と削除をイネーブルまたはディセーブルに設定できます。

                  デフォルトでは、DHCP リレー エージェントは DHCP パケットに Option 82 情報を挿入しません。

                  はじめる前に

                  DHCP 機能がイネーブルであることを確認します。

                  手順
                     コマンドまたはアクション目的
                    ステップ 1switch# configure terminal 

                    グローバル コンフィギュレーション モードを開始します。

                     
                    ステップ 2 switch(config)#[no] ip dhcp relay information option  

                    DHCP リレー エージェントによって転送されるパケットに対する Option 82 情報の挿入および削除をイネーブルにします。 Option 82 情報は、デフォルトでバイナリ ifindex 形式になっています。 no オプションを使用すると、この動作がディセーブルになります。

                     
                    ステップ 3switch(config)# ip dhcp relay information sub-option circuit-id format-type string   (任意)

                    デフォルトのバイナリ ifindex 形式の代わりに符号化されたストリング形式を使用するように Option 82 を設定します。

                     
                    ステップ 4 switch(config)# show ip dhcp relay   (任意)

                    DHCP リレーの設定を表示します。

                     
                    ステップ 5 switch(config)# show running-config dhcp   (任意)

                    DHCP 設定を表示します。

                     
                    ステップ 6switch(config)# copy running-config startup-config  (任意)

                    リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。

                     

                    DHCP リレー エージェントに対する VRF サポートのイネーブル化またはディセーブル化

                    ある VRF のインターフェイスで受信した DHCP 要求を、別の VRF の DHCP サーバにリレーする機能をサポートするように、デバイスを設定できます。

                    はじめる前に

                    DHCP リレー エージェントの Option 82 をイネーブルにする必要があります。

                    手順
                       コマンドまたはアクション目的
                      ステップ 1 config t


                      例:
                      switch# config t
                      switch(config)#
                       

                      グローバル コンフィギュレーション モードを開始します。

                       
                      ステップ 2 [no] ip dhcp relay information option vpn


                      例:
                      switch(config)# ip dhcp relay information option vpn
                       

                      DHCP リレー エージェントに対して VRF サポートをイネーブルにします。 no オプションを使用すると、この動作がディセーブルになります。

                       
                      ステップ 3 [no] ip dhcp relay sub-option type cisco


                      例:
                      switch(config)# ip dhcp relay sub-option type cisco
                       

                      リンク選択、サーバ ID オーバーライド、および VRF 名/VPN ID リレー エージェント Option 82 サブオプションを設定する場合は、DHCP をイネーブルにして、シスコ独自の番号である 150、152、および 151 を使用します。 no オプションを使用すると、DHCP では、リンク選択、サーバ ID オーバーライド、および VRF 名/VPN ID サブオプションに対して、RFC 番号 5、11、151 がそれぞれ使用されるようになります。

                       
                      ステップ 4 show ip dhcp relay


                      例:
                      switch(config)# show ip dhcp relay
                       
                      (任意)

                      DHCP リレーの設定を表示します。

                       
                      ステップ 5 show running-config dhcp


                      例:
                      switch(config)# show running-config dhcp
                       
                      (任意)

                      DHCP 設定を表示します。

                       
                      ステップ 6 copy running-config startup-config


                      例:
                      switch(config)# copy running-config startup-config
                       
                      (任意)

                      実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                       

                      インターフェイスへの DHCP サーバ アドレスの設定

                      1 つのインターフェイスに複数の DHCP サーバ IP アドレスを設定できます。 インバウンド DHCP BOOTREQUEST パケットがインターフェイスに着信すると、リレー エージェントはそのパケットを指定されたすべての DHCP サーバ IP アドレスに転送します。 リレー エージェントは、すべての DHCP サーバからの応答を、要求を送信したホストへ転送します。

                      はじめる前に

                      DHCP 機能がイネーブルであることを確認します。

                      DHCP サーバが正しく設定されていることを確認します。

                      インターフェイスに設定する、各 DHCP サーバの IP アドレスを決定します。

                      DHCP サーバがインターフェイスとは異なる VRF に含まれている場合、VRF サポートがイネーブルになっていることを確認します。


                      (注)  


                      DHCP サーバ アドレスを設定しているインターフェイスで入力ルータ ACL が設定されている場合、そのルータ ACL で DHCP サーバと DHCP ホストの間の DHCP トラフィックが許可されていることを確認します。


                      手順
                         コマンドまたはアクション目的
                        ステップ 1 config t


                        例:
                        switch# config t
                        switch(config)#
                         

                        グローバル コンフィギュレーション モードを開始します。

                         
                        ステップ 2次のいずれかのオプションを使用します。
                        • interface ethernet slot/port[. number]
                        • interface vlan vlan-id
                        • interface port-channel channel-id[.subchannel-id]


                        例:
                        switch(config)# interface ethernet 2/3
                        switch(config-if)#
                         
                        • インターフェイス コンフィギュレーション モードを開始します。slot/port は、DHCP サーバ IP アドレスを設定する物理イーサネット インターフェイスです。 サブインターフェイスを設定する場合は、number 引数を使用してサブインターフェイス番号を指定します。
                        • インターフェイス コンフィギュレーション モードを開始します。vlan-id は、DHCP サーバ IP アドレスを設定する VLAN の ID です。
                        • インターフェイス コンフィギュレーション モードを開始します。channel-id は、DHCP サーバ IP アドレスを設定するポート チャネルの ID です。 サブチャネルを設定する場合は、subchannel-id 引数を使用してサブチャネル ID を指定します。
                         
                        ステップ 3 ip dhcp relay address IP-address [use-vrf vrf-name]


                        例:
                        switch(config-if)# ip dhcp relay address 10.132.7.120 use-vrf red
                         

                        リレー エージェントがこのインターフェイスで受信した BOOTREQUEST パケットを転送する DHCP サーバの IP アドレスを設定します。

                        複数の IP アドレスを設定するには、アドレスごとに ip dhcp relay address コマンドを使用します。

                         
                        ステップ 4 show ip dhcp relay address


                        例:
                        switch(config-if)# show ip dhcp relay address
                         
                        (任意)

                        設定済みのすべての DHCP サーバ アドレスを表示します。

                         
                        ステップ 5 show running-config dhcp


                        例:
                        switch(config-if)# show running-config dhcp
                         
                        (任意)

                        DHCP 設定を表示します。

                         
                        ステップ 6 copy running-config startup-config


                        例:
                        switch(config-if)# copy running-config startup-config
                         
                        (任意)

                        実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                         

                        DHCP スタティック バインディングの作成

                        レイヤ 2 インターフェイスへのスタティック DHCP 送信元バインディングを作成できます。

                        はじめる前に

                        DHCP スヌーピング機能がイネーブルになっていることを確認します。

                        手順
                           コマンドまたはアクション目的
                          ステップ 1 config t


                          例:
                          switch# config t
                          switch(config)#
                           

                          グローバル コンフィギュレーション モードを開始します。

                           
                          ステップ 2ip source binding IP-address MAC-address vlan vlan-id {interface ethernet slot/port | port-channel channel-no}


                          例:
                          switch(config)# ip source binding 10.5.22.7 001f.28bd.0013 vlan 100 interface ethernet 2/3
                           

                          レイヤ 2 イーサネット インターフェイスにスタティック送信元アドレスをバインドします。

                           
                          ステップ 3 show ip dhcp snooping binding


                          例:
                          switch(config)#  ip dhcp snooping binding
                           
                          (任意)

                          DHCP スヌーピングのスタティックおよびダイナミック バインディングを示します。

                           
                          ステップ 4 show ip dhcp snooping binding dynamic


                          例:
                          switch(config)#  ip dhcp snooping binding dynamic
                           
                          (任意)

                          DHCP スヌーピングのダイナミック バインディングを示します。

                           
                          ステップ 5 copy running-config startup-config


                          例:
                          switch(config)# copy running-config startup-config
                           
                          (任意)

                          実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                           

                          次に、イーサネット インターフェイス 2/3 上に、VLAN 100 に関連付けたスタティック IP 送信元エントリを作成する例を示します。

                          switch# configure terminal
                          switch(config)# ip source binding 10.5.22.7 001f.28bd.0013 vlan 100 interface ethernet 2/3
                          switch(config)#
                          

                          DHCP スヌーピング設定の確認

                          DHCP スヌーピングの設定情報を表示するには、次のいずれかの作業を行います。 これらのコマンドの出力フィールドの詳細については、『Cisco Nexus 3000 Series NX-OS System Management Configuration Guide』を参照してください。

                          コマンド

                          目的

                          show running-config dhcp

                          DHCP スヌーピング設定を表示します。

                          show ip dhcp snooping

                          DHCP スヌーピングに関する一般的な情報を表示します。

                          DHCP バインディングの表示

                          DHCP スタティックおよびダイナミック バインディング テーブルを表示するには、show ip dhcp snooping binding コマンドを使用します。 DHCP ダイナミック バインディング テーブルを表示するには、show ip dhcp snooping binding dynamic を使用します。

                          このコマンドの出力フィールドの詳細については、『Cisco Nexus 3000 Series NX-OS System Management Configuration Guide』を参照してください。

                          次に、スタティック DHCP バインディングを作成してから、show ip dhcp snooping binding コマンドを使用してバインディングを確認する例を示します。

                          switch# configuration terminal
                          switch(config)# ip source binding 10.20.30.40 0000.1111.2222 vlan 400 interface port-channel 500
                          
                          switch(config)# show ip dhcp snooping binding
                          MacAddress         IpAddress        LeaseSec  Type        VLAN  Interface
                          -----------------  ---------------  --------  ----------  ----  -------------
                          00:00:11:11:22:22  10.20.30.40      infinite  static      400   port-channel500
                          
                          

                          DHCP スヌーピング バインディング データベースのクリア

                          DHCP スヌーピング バインディング データベースからエントリを削除できます。1 つのエントリ、インターフェイスに関連するすべてのエントリ、データベース内のすべてのエントリなどを削除することが可能です。

                          はじめる前に

                          DHCP スヌーピングがイネーブルになっていることを確認してください。

                          手順
                             コマンドまたはアクション目的
                            ステップ 1 clear ip dhcp snooping binding


                            例:
                            switch# clear ip dhcp snooping binding
                             
                            (任意)

                            DHCP スヌーピング バインディング データベースからすべてのエントリをクリアします。

                             
                            ステップ 2 clear ip dhcp snooping binding interface ethernet slot/port[.subinterface-number]


                            例:
                            switch# clear ip dhcp snooping binding interface ethernet 1/4
                             
                            (任意)

                            DHCP スヌーピング バインディング データベースから、特定のイーサネット インターフェイスに関連するエントリをクリアします。

                             
                            ステップ 3 clear ip dhcp snooping binding interface port-channel channel-number[.subchannel-number]


                            例:
                            switch# clear ip dhcp snooping binding interface port-channel 72
                             
                            (任意)

                            DHCP スヌーピング バインディング データベースから、特定のポート チャネル インターフェイスに関連するエントリをクリアします。

                             
                            ステップ 4 clear ip dhcp snooping binding vlan vlan-id mac mac-address ip ip-address interface {ethernet slot/port[.subinterface-number | port-channel channel-number[.subchannel-number] }


                            例:
                            switch# clear ip dhcp snooping binding vlan 23 mac 0060.3aeb.54f0 ip 10.34.54.9 interface 
                            ethernet 2/11
                             
                            (任意)

                            DHCP スヌーピング バインディング データベースから、特定のエントリをクリアします。

                             
                            ステップ 5 show ip dhcp snooping binding


                            例:
                            switch# show ip dhcp snooping binding
                             
                            (任意)

                            DHCP スヌーピング バインディング データベースを表示します。

                             

                            DHCP スヌーピングの設定例

                            次に、2 つの VLAN 上で DHCP スヌーピングをイネーブルにして、Option 82 サポートをイネーブルにし、さらに DHCP サーバがイーサネット インターフェイス 2/5 に接続されているためにそのインターフェイスを信頼できるインターフェイスとして設定する例を示します。

                            feature dhcp 
                            ip dhcp snooping 
                            ip dhcp snooping info option
                            
                            interface Ethernet 2/5
                              ip dhcp snooping trust 
                            ip dhcp snooping vlan 1 
                            ip dhcp snooping vlan 50