Cisco NX-OS Security コンフィギュレーション ガイド Release 4.0
DHCP スヌーピングの設定
DHCP スヌーピングの設定
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

DHCP スヌーピングの設定

DHCP スヌーピングの概要

信頼できる送信元と信頼できない送信元

DHCP スヌーピング バインディング データベース

DHCP リレー エージェント

パケット検証

DHCP スヌーピングの Option 82 データ挿入

DHCP スヌーピングのバーチャライゼーション サポート

DHCP スヌーピングのライセンス要件

DHCP スヌーピングの前提条件

注意事項および制約事項

DHCP スヌーピングの設定

DHCP スヌーピングの最小設定

DHCP スヌーピング機能のイネーブル化またはディセーブル化

DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化

VLAN に対する DHCP スヌーピングのイネーブル化またはディセーブル化

DHCP スヌーピングの MAC アドレス検証のイネーブル化またはディセーブル化

Option 82 データの挿入および削除のイネーブル化またはディセーブル化

インターフェイスの信頼状態の設定

DHCP リレー エージェントのイネーブル化またはディセーブル化

DHCP リレー エージェントに対する Option 82 のイネーブル化またはディセーブル化

インターフェイスへの DHCP サーバ アドレスの設定

DHCP スヌーピングの設定の確認

DHCP バインディングの表示

DHCP スヌーピング バインディング データベースのクリア

DHCP スヌーピングの統計情報の表示

DHCP スヌーピングの設定例

デフォルト設定

その他の参考資料

関連資料

規格

DHCP スヌーピングの概要

DHCP スヌーピングは、信頼できないホストと信頼できる DHCP サーバの間でファイアウォールのように動作します。DHCP スヌーピングは以下の処理を実行します。

信頼しない送信元から受信した DHCP メッセージを検証し、無効なメッセージをフィルタリングします。

DHCP スヌーピング バインディング データベースを構築し維持します。このデータベースには、信頼できないホストに関する情報と専用 IP アドレスが含まれています。

信頼できないホストからの後続要求を検証するために DHCP スヌーピング バインディング データベースを利用します。

Dynamic ARP Inspection(DAI; ダイナミック ARP 検査)と IP ソース ガードも DHCP スヌーピング バインディング データベースに保存されている情報を使用します。

DHCP スヌーピングは VLAN 単位でイネーブルにします。デフォルトでは、この機能はすべての VLAN で非アクティブです。この機能は 1 つの VLAN、または特定の VLAN 範囲でイネーブルにできます。

ここでは、次の内容について説明します。

「信頼できる送信元と信頼できない送信元」

「DHCP スヌーピング バインディング データベース」

「DHCP リレー エージェント」

「パケット検証」

「DHCP スヌーピングの Option 82 データ挿入」

「DHCP スヌーピングのバーチャライゼーション サポート」

信頼できる送信元と信頼できない送信元

DHCP スヌーピングがトラフィックの送信元を信頼するかどうかを設定できます。信頼できない送信元は、トラフィック攻撃を開始したり他の悪意のある動作を行う可能性があります。こうした攻撃を防ぐため、DHCP スヌーピングは信頼できない送信元からのメッセージをフィルタリングします。

企業ネットワークでは、信頼できる送信元はその企業の管理制御下にあるデバイスです。これらのデバイスには、ネットワーク内のスイッチ、ルータ、およびサーバが含まれます。ファイアウォールを越えるデバイスやネットワーク外のデバイスは信頼できない送信元です。一般的に、ホスト ポートは信頼できない送信元として扱われます。

サービス プロバイダー環境では、サービス プロバイダー ネットワーク内にないデバイスは信頼できない送信元です(カスタマーのスイッチなど)。ホスト ポートは信頼できない送信元です。

NX-OS デバイスでは、接続インターフェイスの信頼状態を設定することにより、送信元を信頼できるものとして扱うことができます。

全インターフェイスのデフォルトの信頼状態は untrusted です。DHCP サーバ インターフェイスを trusted に設定する必要があります。他のインターフェイスも、ネットワーク内のデバイス(スイッチやルータ)に接続している場合は、trusted に設定できます。通常ホスト ポートを trusted には設定しません。


) DHCP スヌーピングを適切に機能させるためには、すべての DHCP サーバが信頼できるインターフェイスを介してデバイスと接続される必要があります。


DHCP スヌーピング バインディング データベース

DHCP スヌーピングは、代行受信した DHCP メッセージから抽出した情報を使用し、ダイナミックにデータベースを構築し維持します。DHCP スヌーピングがイネーブルになっている VLAN にホストが関連付けられている場合、このデータベースには信頼できない各ホストのエントリが含まれ、専用 IP アドレスが保存されます。このデータベースには、信頼できるインターフェイスを通じて接続されたホストのエントリは含まれていません。


) DHCP スヌーピング バインディング データベースは DHCP スヌーピング バインディング テーブルとも呼ばれます。


デバイスが特定の DHCP メッセージを受信すると、DHCP スヌーピングはデータベースをアップデートします。たとえば、デバイスが DHCPACK メッセージをサーバから受信すると、この機能によってデータベースにエントリが追加されます。IP アドレスのリース期限が過ぎたり、デバイスがホストから DHCPRELEASE メッセージを受信すると、この機能によってデータベース内のエントリが削除されます。

DHCP スヌーピング バインディング データベースの各エントリには、ホストの MAC アドレス、専用 IP アドレス、リース期間、バインディングの種類、ホストに関連付けられた VLAN(仮想LAN)の番号およびインターフェイス情報が含まれています。

clear ip dhcp snooping binding コマンドを使用すると、バインディング データベースからエントリ削除できます。詳細については、「DHCP スヌーピング バインディング データベースのクリア」を参照してください。

DHCP リレー エージェント

DHCP リレー エージェントを実行するように NX-OS を設定できます。DHCP リレー エージェントとは、クライアントとサーバの間で DHCP パケットを転送するホストです。これは、クライアントとサーバが同じ物理サブネット上にない場合に便利な機能です。リレー エージェントによる転送は、通常の IP ルータによる転送とは異なります。IP ルータによる転送では、IP データグラムがネットワーク間である程度透過的にスイッチングされます。一方、リレー エージェントは DHCP メッセージを受信すると、新しい DHCP メッセージを生成し、別のインターフェイスに送出します。リレー エージェントはゲートウェイ アドレスを設定し(DHCP パケットの giaddr フィールド)、パケットにリレー エージェント情報のオプション(option82)を追加して(設定されている場合)、DHCP サーバに転送します。サーバからの応答は、option82 を削除してからクライアントに転送されます。

パケット検証

デバイスは、DHCP スヌーピングがイネーブルの VLAN にある信頼できないインターフェイスで受信された DHCP パケットを検証します。デバイスは、以下のいずれかの条件が発生しないかぎり、DHCP パケットを転送します(これらの条件が発生した場合、パケットはドロップされます)。

信頼できないインターフェイスで DHCP 応答パケット(DHCPACK、DHCPNAK、またはDHCPOFFER などのパケット)を受信した場合。

信頼できないインターフェイスからパケットを受信し、この送信元 MAC アドレスと DHCP クライアント ハードウェア アドレスが一致しない場合。このチェックは、DHCP スヌーピング MAC アドレス確認オプションがオンになっている場合のみ実行されます。

DHCP スヌーピング バインディング テーブル内にエントリを持つ信頼できないホストから DHCPRELEASE または DHCPDECLINE メッセージを受信したが、バインディング テーブル内のインターフェイス情報が、このメッセージを受信したインターフェイスと一致しない場合。

リレー エージェントの IP アドレス(0.0.0.0 以外)を含む DHCP パケットを受信した場合。

DHCP スヌーピングの Option 82 データ挿入

住宅地域にあるメトロポリタン イーサネット アクセス環境では、DHCP は多数の加入者に対し、IP アドレスの割り当てを一元的に管理できます。Option 82 をイネーブルにすると、デバイスはネットワークに接続する加入者装置(およびその MAC アドレス)を識別します。加入者 LAN 上の複数のホストをアクセス装置の同一ポートに接続でき、これらは一意に識別されます。

図14-1 のメトロポリタン イーサネット ネットワークでは、アクセス レイヤのデバイスに接続されている加入者に、DHCP サーバが IP アドレスを一元的に割り当てます。DHCP クライアントと、これらに関連付けられた DHCP サーバは、同一の IP ネットワークまたはサブネット内に存在しません。したがって、DHCP リレー エージェントにヘルパー アドレスを設定することで、ブロードキャスト転送を可能にし、クライアントとサーバ間で DHCP メッセージを転送します。

図14-1 メトロポリタン イーサネット ネットワークにおける DHCP リレー エージェント

 

NX-OS デバイスで Option 82 をイネーブルにすると、次のイベントが順番に発生します。

1. ホスト(DHCP クライアント)は DHCP 要求を生成し、これをネットワーク上にブロードキャストします。

2. NX-OS デバイスはこの DHCP 要求を受信すると、パケット内に Option 82 情報を追加します。Option 82 情報には、デバイスの MAC アドレス(リモート ID サブオプション)、およびパケットを受信したポートの識別子である vlan-mod-port(回線 ID サブオプション)が含まれます。

3. デバイスは、DHCP パケットにリレー エージェントの IP アドレスを追加します。

4. デバイスは、Option 82 フィールドを含む DHCP 要求を DHCP サーバに転送します。

5. DHCP サーバはこのパケットを受信します。Option 82 に対応しているサーバであれば、このリモート ID または回線 ID、またはその両方を使用して、IP アドレスの割り当てやポリシーの適用を行うことができます。たとえば、単一のリモート ID または回線 ID に割り当てることのできる IP アドレスの数を制限するポリシーなどです。DHCP サーバは、DHCP 応答内に Option 82 フィールドをエコーします。

6. NX-OS デバイスがサーバへの要求を中継した場合、DHCP サーバはその NX-OX デバイスに応答をユニキャストします。NX-OX デバイスは、リモート ID フィールド、および場合によっては回線 ID フィールドを検査することで、最初に Option 82 データを挿入したのがこのデバイス自身であることを確認します。NX-OX デバイス は Option 82 フィールドを削除してから、DHCP 要求を送信した DHCP クライアントと接続しているインターフェイスにパケットを転送します。

上記の一連のイベントが発生した場合、以下の値は変更されません(図14-2 を参照)。

回線 ID サブオプション フィールド

サブオプション タイプ

サブオプション タイプの長さ

回線 ID タイプ

回線 ID タイプの長さ

リモート ID サブオプション フィールド

サブオプション タイプ

サブオプション タイプの長さ

リモート ID タイプ

回線 ID タイプの長さ

図14-2 は、リモート ID サブオプションおよび回線 ID サブオプションのパケット形式を示します。NX-OS デバイスがこのパケット形式を使用するのは、DHCP スヌーピングがグローバルにイネーブル化され、Option 82 データの挿入と削除がイネーブルに設定された場合です。回線 ID サブオプションの場合は、モジュール フィールドはモジュールのスロット番号となります。

図14-2 サブオプションのパケット形式

 

DHCP スヌーピングのバーチャライゼーション サポート

Virtual Device Context(VDC; バーチャル デバイス コンテキスト)では、DHCP スヌーピングに次の事項が適用されます。

DHCP スヌーピング バインディング データベースは各 VDC に固有です。ある VDC のバインディングが他の VDC の DHCP スヌーピングに影響することはありません。

バインディング データベースのサイズは VDC 単位では制限されません。

DHCP スヌーピングのライセンス要件

この機能のライセンス要件は次の表のとおりです。

 

製品
ライセンス要件

NX-OS

DHCP スヌーピングにはライセンスは必要ありません。ライセンス パッケージに含まれていない機能は、Cisco NX-OS システム イメージにバンドルされており、追加料金なしで利用できます。NX-OS のライセンス スキームに関する詳細は、『 Cisco NX-OS Licensing Guide 』を参照してください。

DHCP スヌーピングの前提条件

DHCP スヌーピングの前提条件は次のとおりです。

DHCP スヌーピングを設定するには、DHCP に関する知識が必要です。

注意事項および制約事項

DHCP スヌーピングに関する注意事項と制約事項は次のとおりです。

DHCP スヌーピング データベースには 2000 のバインディングを格納できます。

DHCP をグローバルにイネーブル化し、さらに少なくとも 1 つの VLAN で DHCP スヌーピングをイネーブルにするまで、DHCP スヌーピングはアクティブになりません。

デバイス上で グローバルに DHCP スヌーピングをイネーブル化するには、DHCP サーバおよび DHCP リレー エージェントとして機能するデバイスを、事前に設定しイネーブルにしておく必要があります。

DHCP スヌーピングの設定

ここでは、次の内容について説明します。

「DHCP スヌーピングの最小設定」

「DHCP スヌーピング機能のイネーブル化またはディセーブル化」

「DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化」

「VLAN に対する DHCP スヌーピングのイネーブル化またはディセーブル化」

「DHCP スヌーピングの MAC アドレス検証のイネーブル化またはディセーブル化」

「Option 82 データの挿入および削除のイネーブル化またはディセーブル化」

「インターフェイスの信頼状態の設定」

「DHCP リレー エージェントのイネーブル化またはディセーブル化」

「DHCP リレー エージェントに対する Option 82 のイネーブル化またはディセーブル化」

「インターフェイスへの DHCP サーバ アドレスの設定」

DHCP スヌーピングの最小設定

DHCP スヌーピングの最小設定は次のとおりです。


ステップ 1 DHCP スヌーピング機能をイネーブルにします。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。

DHCP スヌーピング機能がディセーブルになっていると、DHCP スヌーピングを設定できません。

ステップ 2 DHCP スヌーピングをグローバルにイネーブル化します。詳細については、「DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化」を参照してください。

ステップ 3 少なくとも 1 つの VLAN で DHCP スヌーピングをイネーブルにします。詳細については、「VLAN に対する DHCP スヌーピングのイネーブル化またはディセーブル化」を参照してください。

デフォルトでは、DHCP スヌーピングはすべての VLAN でディセーブルになります。

ステップ 4 DHCP サーバとデバイスが、信頼できるインターフェイスを使用して接続されていることを確認します。詳細については、「インターフェイスの信頼状態の設定」を参照してください。

ステップ 5 (任意)DHCP リレー エージェントをイネーブルにします。詳細については、「DHCP リレー エージェントのイネーブル化またはディセーブル化」を参照してください。

ステップ 6 (任意)インターフェイスに DHCP サーバの IP アドレスを設定します。詳細については、「インターフェイスへの DHCP サーバ アドレスの設定」を参照してください。


 

DHCP スヌーピング機能のイネーブル化またはディセーブル化

デバイスの DHCP スヌーピング機能をイネーブルまたはディセーブルに設定できます。デフォルトでは、DHCP スヌーピングはディセーブルです。

作業を開始する前に

DHCP スヌーピング機能をディセーブルにすると、DHCP スヌーピングの設定がすべて消去されます。DHCP スヌーピングをオフにして DHCP スヌーピングの設定を維持したい場合は、DHCP をグローバルにディセーブル化します。詳細については、「DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化」を参照してください。

手順の概要

1. config t

2. [ no ] feature dhcp

3. show running-config dhcp

4. copy running-config startup-config

詳細な手順

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 2

[no] feature dhcp

 

例:

switch(config)# feature dhcp

DHCP スヌーピング機能をイネーブルにします。 no オプションを使用すると、DHCP スヌーピング機能がディセーブルになり、DHCP スヌーピングの設定がすべて消去されます。

ステップ 3

show running-config dhcp

 

例:

switch(config)# show running-config dhcp

DHCP スヌーピングの設定を表示します。

ステップ 4

copy running-config startup-config

 

例:

switch(config)# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化

デバイスに対して DHCP スヌーピング機能のグローバルなイネーブル化またはディセーブル化が可能です。

作業を開始する前に

デフォルトでは、DHCP スヌーピングはグローバルにディセーブルです。

DHCP スヌーピング機能がイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。

DHCP スヌーピングをグローバル ディセーブルにすると、デバイスは DECP スヌーピングの実行や DHCP メッセージのリレーをすべて停止します。DHCP スヌーピングの設定は維持されます。

手順の概要

1. config t

2. [ no ] ip dhcp snooping

3. show running-config dhcp

4. copy running-config startup-config

詳細な手順

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 2

[no] ip dhcp snooping

 

例:

switch(config)# feature dhcp

DHCP スヌーピングをグローバルにイネーブル化します。 no オプションを使用すると DHCP スヌーピングがディセーブルになります。

ステップ 3

show running-config dhcp

 

例:

switch(config)# show running-config dhcp

DHCP スヌーピングの設定を表示します。

ステップ 4

copy running-config startup-config

 

例:

switch(config)# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

VLAN に対する DHCP スヌーピングのイネーブル化またはディセーブル化

1 つまたは複数の VLAN に対して DHCP スヌーピングをイネーブルまたはディセーブルに設定できます。

作業を開始する前に

デフォルトでは、DHCP スヌーピングはすべての VLAN でディセーブルになります。

DHCP スヌーピングがイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。

手順の概要

1. config t

2. [ no ] ip dhcp snooping vlan vlan-list

3. show running-config dhcp

4. copy running-config startup-config

詳細な手順

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 2

[no] ip dhcp snooping vlan vlan-list

 

例:

switch(config)# ip dhcp snooping vlan 100,200,250-252

vlan-list で指定する VLAN の DHCP スヌーピングをイネーブルにします。 no オプションを使用すると、指定 VLAN の DHCP スヌーピングがディセーブルになります。

ステップ 3

show running-config dhcp

 

例:

switch(config)# show running-config dhcp

DHCP スヌーピングの設定を表示します。

ステップ 4

copy running-config startup-config

 

例:

switch(config)# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

DHCP スヌーピングの MAC アドレス検証のイネーブル化またはディセーブル化

DHCP スヌーピングの MAC アドレス検証をイネーブルまたはディセーブルにします。信頼できないインターフェイスからパケットを受信し、この送信元 MAC アドレスと DHCP クライアント ハードウェア アドレスが一致しない場合、アドレス検証によってデバイスはパケットをドロップします。

作業を開始する前に

MAC アドレス検証はデフォルトでイネーブルになります。

DHCP スヌーピングがイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。

手順の概要

1. config t

2. [ no ] ip dhcp snooping verify mac-address

3. show running-config dhcp

4. copy running-config startup-config

詳細な手順

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 2

[no] ip dhcp snooping verify mac-address

 

例:

switch(config)# ip dhcp snooping verify mac-address

DHCP スヌーピングの MAC アドレス検証をイネーブルにします。 no オプションを使用すると MAC アドレス検証がディセーブルになります。

ステップ 3

show running-config dhcp

 

例:

switch(config)# show running-config dhcp

DHCP スヌーピングの設定を表示します。

ステップ 4

copy running-config startup-config

 

例:

switch(config)# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

Option 82 データの挿入および削除のイネーブル化またはディセーブル化

DHCP リレー エージェントを使用せずに転送された DHCP パケットへのOption 82 情報の挿入および削除をイネーブルまたはディセーブルに設定できます。


) Option 82 のサポートは、DHCP リレー エージェントに個別に設定する必要があります。詳細については、「DHCP リレー エージェントに対する Option 82 のイネーブル化またはディセーブル化」を参照してください。


作業を開始する前に

デフォルトでは、デバイスは DHCP パケットに Option 82 情報を挿入しません。

DHCP スヌーピングがイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。

手順の概要

1. config t

2. [ no ] ip dhcp snooping information option

3. show running-config dhcp

4. copy running-config startup-config

詳細な手順

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 2

[ no ] ip dhcp snooping information option

 

例:

switch(config)# ip dhcp snooping information option

DHCP パケット に対する Option 82 情報の挿入および削除をイネーブルにします。 no オプションを使用すると、Ootion 82 情報の挿入および削除がディセーブルになります。

ステップ 3

show running-config dhcp

 

例:

switch(config)# show running-config dhcp

DHCP スヌーピングの設定を表示します。

ステップ 4

copy running-config startup-config

 

例:

switch(config)# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

インターフェイスの信頼状態の設定

各インターフェイスが DHCP メッセージの送信元として信頼できるかどうかを設定できます。DHCP の信頼状態は、次のタイプのインターフェイスに設定できます。

レイヤ 2 イーサネット インターフェイス

レイヤ 2 ポート チャネル インターフェイス

作業を開始する前に

デフォルトでは、すべてのインターフェイスは信頼できない(untrusted)状態です。

DHCP スヌーピングがイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。

インターフェイスがレイヤ 2 インターフェイスとして設定されていることを確認します。

手順の概要

1. config t

2. interface ethernet slot / port

interface port-channel channel-number

3. [ no ] ip dhcp snooping trust

4. show running-config dhcp

5. copy running-config startup-config

詳細な手順

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface ethernet slot / port

 

例:

switch(config)# interface ethernet 2/1

switch(config-if)#

インターフェイス コンフィギュレーション モードを開始します。 slot / port は、DHCP スヌーピングで trusted またはuntreusted に設定するレイヤ 2 イーサネット インターフェイスです。

interface port-channel channel-number

 

例:

switch(config)# interface port-channel 5

switch(config-if)#

インターフェイス コンフィギュレーション モードを開始します。 slot / port は、DHCP スヌーピングで trusted またはuntreusted に設定するレイヤ 2 ポート チャネル インターフェイスです。

ステップ 3

[no] ip dhcp snooping trust

 

例:

switch(config-if)# ip dhcp snooping trust

DHCP スヌーピングに関してインターフェイスを信頼できるインターフェイスとして設定します。 no オプションを使用すると、ポートは信頼できないインターフェイスとして設定されます。

ステップ 4

show running-config dhcp

 

例:

switch(config-if)# show running-config dhcp

DHCP スヌーピングの設定を表示します。

ステップ 5

copy running-config startup-config

 

例:

switch(config-if)# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

DHCP リレー エージェントのイネーブル化またはディセーブル化

DHCP リレー エージェントをイネーブルまたはディセーブルに設定できます。

作業を開始する前に

デフォルトでは、DHCP リレー エージェントはディセーブルです。

DHCP スヌーピングがイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。

手順の概要

1. config t

2. [ no ] service dhcp

3. show running-config dhcp

4. copy running-config startup-config

詳細な手順

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 2

[no] service dhcp

 

例:

switch(config)# service dhcp

DHCP リレー エージェントをイネーブルにします。 no オプションを使用すると、DHCP リレー エージェントがディセーブルになります。

ステップ 3

show running-config dhcp

 

例:

switch(config)# show running-config dhcp

DHCP スヌーピングの設定を表示します。

ステップ 4

copy running-config startup-config

 

例:

switch(config)# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

DHCP リレー エージェントに対する Option 82 のイネーブル化またはディセーブル化

デバイスに対し、リレー エージェントによって転送された DHCP パケットへの Option 82 情報の挿入と削除をイネーブルまたはディセーブルに設定できます。

作業を開始する前に

デフォルトでは、DHCP リレー エージェントは DHCP パケットに Option 82 情報を挿入しません。

DHCP スヌーピングがイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。

手順の概要

1. config t

2. [ no ] ip dhcp relay information option

3. show running-config dhcp

4. copy running-config startup-config

詳細な手順

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 2

[no] ip dhcp relay information option

 

例:

switch(config)# ip dhcp relay information option

DHCP リレー エージェントによって転送されるパケットに対する Option 82 情報の挿入および削除をイネーブルにします。 no オプションを使用すると、この動作がディセーブルになります。

ステップ 3

show running-config dhcp

 

例:

switch(config)# show running-config dhcp

DHCP スヌーピングの設定を表示します。

ステップ 4

copy running-config startup-config

 

例:

switch(config)# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

インターフェイスへの DHCP サーバ アドレスの設定

インターフェイスに DHCP サーバ IP アドレスを設定できます。インバウンド DHCP BOOTREQUEST パケットがインターフェイスに着信すると、リレー エージェントはそのパケットを指定の IP アドレスに転送します。

作業を開始する前に

デフォルトでは、DHCP サーバ IP アドレスはインターフェイスに設定されません。

DHCP サーバが正しく設定されていることを確認します。

DHCP サーバの IP アドレスを決めます。

DHCP スヌーピングがイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。

手順の概要

1. config t

2. interface ethernet slot / port [ . number ]

interface vlan vlan-id

interface port-channel channel-id

3. ip dhcp relay address IP-address

4. show running-config dhcp

5. copy running-config startup-config

詳細な手順

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface ethernet slot / port [ . number ]

 

例:

switch(config)# interface ethernet 2/3

switch(config-if)#

インターフェイス コンフィギュレーション モードを開始します。 slot / port は、DHCP サーバ IP アドレスを設定する物理イーサネット インターフェイスです。サブインターフェイスを設定する場合は、 number 引数を使用してサブインターフェイス番号を指定します。

interface vlan vlan-id

 

例:

switch(config)# interface vlan 13

switch(config-if)#

インターフェイス コンフィギュレーション モードを開始します。 vlan-id は、DHCP サーバ IP アドレスを設定する VLAN の ID です。

interface port-channel channel-id

 

例:

switch(config)# interface port-channel 7

switch(config-if)#

インターフェイス コンフィギュレーション モードを開始します。 channel-id は、DHCP サーバ IP アドレスを設定する ポート チャネルの ID です。

ステップ 3

ip dhcp relay address IP-address

 

例:

switch(config-if)# ip dhcp relay address 10.132.7.120

リレー エージェントがこのインターフェイスで受信した BOOTREQUEST パケットを転送できるように DHCP サーバの IP アドレスを設定します。

ステップ 4

show running-config dhcp

 

例:

switch(config-if)# show running-config dhcp

DHCP スヌーピングの設定を表示します。

ステップ 5

copy running-config startup-config

 

例:

switch(config-if)# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

DHCP スヌーピングの設定の確認

DHCP スヌーピングの設定情報を表示するには、次のコマンドを使用します。

 

コマンド
目的

show running-config dhcp

DHCP スヌーピングの設定を表示します。

show ip dhcp snooping

DHCP スヌーピングに関する一般的な情報を表示します。

これらのコマンドの出力フィールドに関する詳細は、『 Cisco NX-OS Security Command Reference 』を参照してください。

DHCP バインディングの表示

DHCP バインディング テーブルを表示するには、 show ip dhcp snooping binding コマンドを使用します。このコマンドの出力フィールドに関する詳細は、『 Cisco NX-OS Security Command Reference 』を参照してください。

DHCP スヌーピング バインディング データベースのクリア

DHCP バインディング データベースからすべてのエントリを削除できます。

作業を開始する前に

DHCP スヌーピングがイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。

手順の概要

1. clear ip dhcp snooping binding

2. show ip dhcp snooping binding

詳細な手順

 

コマンド
目的

ステップ 1

clear ip dhcp snooping binding

 

例:

switch# clear ip dhcp snooping binding

DHCP スヌーピング バインディング データベースをクリアします。

ステップ 2

show ip dhcp snooping binding

 

例:

switch# ip dhcp snooping binding

DHCP スヌーピング バインディング データベースを表示します。

DHCP スヌーピングの統計情報の表示

DHCP スヌーピングの統計情報を表示するには、 show ip dhcp snooping statistics コマンドを使用します。このコマンドの出力フィールドに関する詳細は、『 Cisco NX-OS Security Command Reference 』を参照してください。

DHCP スヌーピングの設定例

次の例では、2 つの VLAN の DHCP スヌーピングをイネーブルにし、Option 82 のサポートをイネーブルにして、イーサネット インターフェイス 2/5 を trusted に設定して、DHCP サーバがこのインターフェイスに接続できるようにします。

feature dhcp
ip dhcp snooping
ip dhcp snooping info option
 
interface Ethernet2/5
ip dhcp snooping trust
ip dhcp snooping vlan 1
ip dhcp snooping vlan 50
 

次の例では、DHCP リレー エージェントをイネーブルにして、イーサネット インターフェイス 2/3 に DHCP サーバ IP アドレス(10.132.7.120)を設定します。

feature dhcp
ip dhcp snoop
service dhcp
ip dhcp relay information option
 
interface Ethernet2/3
ip dhcp relay address 10.132.7.120
 

デフォルト設定

表14-1 に DHCP スヌーピングのパラメータのデフォルト設定値を示します。

 

表14-1 DHCP スヌーピングのパラメータのデフォルト値

パラメータ
デフォルト

DHCP スヌーピング機能

ディセーブル

DHCP スヌーピングのグローバルなイネーブル化

なし

DHCP スヌーピング VLAN

なし

DHCP スヌーピングの MAC アドレス検証

イネーブル

DHCP スヌーピングの Option-82 サポート

ディセーブル

DHCP スヌーピング信頼状態

信頼しない

DHCP スヌーピングのリレー エージェント

ディセーブル

DHCP スヌーピングのリレー エージェントに対する Option 82

ディセーブル

DHCP サーバの IP アドレス

なし

その他の参考資料

DHCP スヌーピングの実装に関する詳細情報については、次を参照してください。

「関連資料」

「規格」

関連資料

関連事項
タイトル

IPソース ガード

「IP ソース ガードの概要」

Dynamic ARP Inspection(DAI; ダイナミック ARP インスペクション)

「DAI の概要」

DHCP スヌーピングのコマンド:完全なコマンド構文、コマンド モード、コマンド履歴、デフォルト値、使用上の注意、例

Cisco NX-OS Security Command Reference

規格

規格
タイトル

RFC-2131

Dynamic Host Configuration Protocol 』 (http://tools.ietf.org/html/rfc2131)

RFC-3046

DHCP Relay Agent Information Option 』 (http://tools.ietf.org/html/rfc3046)