Catalyst 2940 スイッチ ソフトウェア コンフィギュレーション ガイド 12.1(22)EA11 and Later
DHCP 機能の設定
DHCP 機能の設定
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

DHCP 機能の設定

DHCP 機能の概要

DHCP リレー エージェント

DHCP スヌーピング

Option 82 データ挿入

DHCP 機能の設定

DHCP のデフォルト設定

DHCP スヌーピング設定時の注意事項

DHCP スヌーピングおよび Option 82 のイネーブル化

DHCP 情報の表示

DHCP 機能の設定

この章では、Catalyst 2940 スイッチ上で Dynamic Host Configuration Protocol(DHCP)スヌーピングおよび Option 82 データ挿入機能を設定する方法について説明します。


) この章で使用するコマンドの構文および使用方法の詳細については、このリリースに対応するコマンド リファレンスおよび『Cisco IOS IP and IP Routing Command Reference』Release 12.1 の「IP Addressing and Services」を参照してください。


この章で説明する内容は、次のとおりです。

「DHCP 機能の概要」

「DHCP 機能の設定」

「DHCP 情報の表示」

DHCP 機能の概要

DHCP は、中央集中型サーバからホスト IP アドレスを動的に割り当てるために LAN 環境で幅広く使用されており、これによって IP アドレスの管理のオーバーヘッドを著しく軽減できます。また、DHCP は制限のある IP アドレス空間の節約にもなります。IP アドレスをホストに永続的に割り当てる必要がなくなり、ネットワークに接続されているホストしか IP アドレスを消費しなくなるからです。

スイッチは次の DHCP 機能をサポートします。

「DHCP リレー エージェント」

「DHCP スヌーピング」

「Option 82 データ挿入」

DHCP クライアントに関する詳細は、『 Cisco IOS IP and IP Routing Configuration Guide 』Release 12.1の「 IP Addressing and Services 」を参照してください。

DHCP リレー エージェント

DHCP リレー エージェントは、クライアントとサーバの間で DHCP パケットを転送するレイヤ 3 の装置です。リレー エージェントは、クライアントとサーバが同一の物理サブネット上にない場合に、両者間の要求および応答を転送します。リレー エージェントの転送方法は、通常のレイヤ2の転送方法(IP データグラムがネットワーク間でトランスペアレントにスイッチングされる)とは異なります。リレー エージェントは DHCP メッセージを受信すると、新たに DHCP メッセージを生成して出力インターフェイス上で送信します。

DHCP スヌーピング

DHCP スヌーピングとは、ネットワークにセキュリティを提供する DHCP セキュリティ機能です。信頼性のない DHCP メッセージをフィルタリングして、DHCP スヌーピング バインディング データベース(別名 DHCP スヌーピング バインディング テーブル)を作成し、維持します。

DHCP スヌーピングは、信頼性のないホストと DHCP サーバの間でファイアウォールのように機能します。DHCP スヌーピングを使用すると、エンドユーザに接続された信頼性のないインターフェイスと、DHCP サーバまたは別のスイッチに接続された信頼性のあるインターフェイスを区別できます。


) DHCP スヌーピングを適切に機能させるには、すべての DHCP サーバを信頼性のあるインターフェイスを介してスイッチに接続する必要があります。


信頼性のない DHCP メッセージとは、ネットワークまたはファイアウォールの外部から受信したメッセージです。サービス プロバイダー環境で DHCP スヌーピングを使用すると、信頼性のないメッセージがサービス プロバイダー ネットワーク外の装置(お客様のスイッチなど)から送信されます。不明な装置からのメッセージは、トラフィック攻撃の原因となる可能性があるため信頼されません。

DHCP スヌーピング バインディング データベースには、MAC(メディア アクセス制御)アドレス、IP アドレス、リース時間、バインディング タイプ、VLAN(仮想 LAN)番号、およびスイッチの信頼性のないローカル インターフェイスに対応するインターフェイス情報が登録されています。信頼性のあるインターフェイスに相互接続されたホストに関する情報は含まれていません。

サービス プロバイダー ネットワーク内において、信頼性のあるインターフェイスとは、同じネットワーク内のデバイス上のポートに接続されたものです。信頼性のないインターフェイスとは、ネットワーク内の信頼性のないインターフェイスか、またはネットワーク外のデバイス上のインターフェイスに接続されたものです。

スイッチが信頼性のないインターフェイス上でパケットを受信し、そのインターフェイスが属している VLAN で DHCP スヌーピングがイネーブルであった場合、スイッチは送信元 MAC アドレスと DHCP クライアントのハードウェア アドレスを比較します。アドレスが一致した場合(デフォルト)、スイッチはそのパケットを転送します。アドレスが一致しない場合、スイッチはパケットを廃棄します。

次のいずれかの状況が発生すると、スイッチは DHCP パケットをドロップします。

DHCPOFFER、DHCPACK、DHCPNAK、または DHCPLEASEQUERY パケットなど、DHCP サーバからのパケットをネットワークまたはファイアウォールの外部から受信する。

パケットが信頼性のないインターフェイスで受信され、送信元 MAC アドレスおよび DHCP クライアント ハードウェア アドレスが一致しない。

DHCP スヌーピング バインディング テーブルに MAC アドレスを持つ DHCPRELEASE または DHCPDECLINE ブロードキャスト メッセージをスイッチが受信したが、バインディング テーブルのインターフェイス情報が、メッセージを受信したインターフェイスと一致しない。

DHCP リレー エージェントが、リレーエージェント IP アドレス(0.0.0.0以外)を含む DHCP パケットを転送する、またはリレー エージェントが、Option 82 情報を含むパケットを信頼性のないポートへ転送する。

スイッチが DHCP スヌーピングをサポートする集約スイッチで、DHCP Option 82 情報を挿入するエッジ スイッチに接続されている場合、パケットが信頼性のないインターフェイスで受信されると、スイッチは Option 82 情報を持ったパケットをドロップします。DHCP スヌーピングがイネーブルでパケットが信頼性のあるポートで受信された場合は、集約スイッチは接続されている装置の DHCP スヌーピング バインディングを学習しないため、完全な DHCP スヌーピング バインディング データベースを構築できません。

Cisco IOS Release 12.1(22)EA3 より前のソフトウェア リリースのエッジ スイッチにより Option 82 情報が挿入された場合、DHCP スヌーピング バインディング データベースが正しく読み込まれないため、集約スイッチ上で DHCP スヌーピングを設定できません。また、スタティック バインディングまたは Address Resolution Protocol(ARP; アドレス解決プロトコル)Access Control List(ACL; アクセス制御リスト)を使用しない場合、スイッチ上で IP ソース ガードや Dynamic ARP Inspection(DAI)を設定することもできません。

Cisco IOS Release 12.1(22)EA3 では、信頼性のないインターフェイスを介して集約スイッチがエッジ スイッチに接続されている場合でも、 ip dhcp snooping information option allow-untrusted グローバル コンフィギュレーション コマンドを入力することで、集約スイッチは Option 82 情報を持ったパケットをエッジ スイッチから受信します。集約スイッチは、信頼性のないスイッチ インターフェイスを介して接続されたホストのバインディングを学習します。スイッチが Option 82 情報を持ったパケットを、ホストが接続された信頼性のない入力インターフェイス上で受信する間も、DAI や IP ソース ガードなどの DHCP のセキュリティ機能を集約スイッチ上でイネーブルにしておくことができます。集約スイッチに接続されているエッジ スイッチ上のポートは、信頼性のあるインターフェイスとして設定する必要があります。

Option 82 データ挿入

居住区のメトロポリタン イーサネット アクセス環境では、DHCP を使用して、多数の加入者への IP アドレスの割り当てを集中管理できます。スイッチ上で DHCP Option 82 機能がイネーブルの場合、(MAC アドレスのほかにも)ネットワークに接続しているスイッチ ポートによっても加入者の装置を識別できます。加入者 LAN の複数のホストを、アクセス スイッチ上の同じポートに接続することにより、一意に識別できます。


) DHCP Option 82 機能は、DHCP スヌーピングが VLAN 上でグローバルにイネーブルで、この機能を使用している加入者の装置がその VLAN に割り当てられている場合にサポートされます。スイッチは、DHCP がディセーブルの場合にも DHCP Option 82 機能をサポートします。


図16-1 に、中央集中型 DHCP サーバが、アクセス レイヤでスイッチに接続された加入者に対して IP アドレスを割り当てる、メトロポリタン イーサネット ネットワークの例を示します。DHCP クライアントと関連付けられた DHCP サーバが、同じ IP ネットワークまたは同じサブネット上にないため、DHCP リレー エージェント(Catalyst スイッチ)にヘルパー アドレスを設定し、ブロードキャスト転送をイネーブルにしてクライアントとサーバ間の DHCP メッセージの転送を行っています。

図16-1 メトロポリタン イーサネット ネットワークの DHCP リレー エージェント

 

スイッチで DHCP スヌーピング情報 Option 82 をイネーブルにすると、次の一連のイベントが発生します。

ホスト(DHCP クライアント)が DHCP 要求を生成し、ネットワークへブロードキャストします。

スイッチは DHCP 要求を受信すると、パケットに Option 82 情報を追加します。Option 82 情報には、スイッチの MAC アドレス(リモート ID サブオプション)、ポート ID、パケットの受信元である vlan-mod-port (回線 ID サブオプション)が含まれます。

リレー エージェントの IP アドレスが設定されている場合、スイッチはこの IP アドレスを DHCP パケットに追加します。

スイッチは、Option 82 フィールドを含んだ DHCP 要求を DHCP サーバに転送します。

DHCP サーバがパケットを受信します。サーバが Option 82 対応の場合、サーバはリモート ID、回線 ID、またはその両方を使用して IP アドレスを割り当て、単一のリモート ID または回線 ID に割り当てることができる IP アドレス数を制限するなど、ポリシーの実装を行います。さらに DHCP サーバは、DHCP 応答内に Option 82 フィールドをエコーします。

要求がスイッチによって DHCP サーバへリレーされた場合、DHCP サーバはスイッチへの応答をユニキャストします。クライアントおよびサーバが同じサブネットに存在する場合、サーバは応答をブロードキャストします。スイッチは、リモート ID および(可能であれば)回線 ID フィールドを調べて、本来 Option 82 データが挿入されていたかを確認します。スイッチは Option 82 フィールドを削除してから、そのパケットを DHCP クライアント(DHCP 要求の送信元)に接続されているスイッチ ポートに転送します。

前述のイベントが発生したとき、次のフィールドの値は変化しません。

回線 ID サブオプション フィールド

サブオプション タイプ

サブオプション タイプの長さ

回線 ID タイプ

回線 ID タイプの長さ

リモート ID サブオプション フィールド

サブオプション タイプ

サブオプション タイプの長さ

リモート ID タイプ

リモート ID タイプの長さ

回線 ID サブオプションのポート フィールドのポート番号は 0 から始まります。たとえば、Catalyst 2940 スイッチでは、ポート 0 はポート FastEthernet 0/1、ポート 1 がポート FastEthernet 0/2、ポート 2 がポート FastEthernet 0/3 となります。

DHCP 機能の設定

ここでは、スイッチに DHCP スヌーピングおよび Option 82 を設定する手順について説明します。

「DHCP のデフォルト設定」

「DHCP スヌーピング設定時の注意事項」

「DHCP スヌーピングおよび Option 82 のイネーブル化」

DHCP のデフォルト設定

表16-1 に、DHCP のデフォルト設定を示します。

 

表16-1 DHCP のデフォルト設定

機能
デフォルト設定

DHCP リレー エージェント

イネーブル 1

DHCP パケット転送アドレス

設定なし

リレー エージェント情報の確認

イネーブル(無効なメッセージはドロップされます) 1

DHCP リレー エージェント転送ポリシー

既存のリレー エージェント情報を置き換えます。 1

グローバルにイネーブルな DHCP スヌーピング

ディセーブル

DHCP スヌーピング情報オプション

イネーブル

信頼されない入力インターフェイスでパケットを受信するための DHCP スヌーピング オプション 2

ディセーブル

DHCP スヌーピング制限レート

設定なし

DHCP スヌーピング信頼状態

信頼されない

DHCP スヌーピング VLAN

ディセーブル

DHCP スヌーピング MAC アドレス検証

イネーブル

1.スイッチは、DHCP サーバの IP アドレスが DHCP クライアントの Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)で設定されている場合のみ、DHCP パケットをリレーします。

2.スイッチが、エッジ スイッチから Option 82 情報を持ったパケットを受信する集約スイッチである場合に、この機能を使用します。

DHCP スヌーピング設定時の注意事項

DHCP スヌーピングの設定時の注意事項は、次のとおりです。

DHCP スヌーピングをスイッチでグローバルにイネーブルにする必要があります。

VLAN で DHCP スヌーピングがイネーブルになるまで、DHCP スヌーピングはアクティブになりません。

スイッチで DHCP スヌーピングをグローバルにイネーブルにする前に、DHCP サーバとして動作している装置とDHCP リレー エージェントが、設定されていてイネーブルであることを確認してください。

スイッチで DHCP スヌーピング情報オプションを設定する前に、DHCP サーバとして動作している装置を必ず設定してください。たとえば、DHCP サーバが割り当ておよび削除を行う IP アドレスを指定したり、この装置に DHCP オプションを設定する必要があります。

DHCP リレー エージェントがイネーブルで DHCP スヌーピングがディセーブルの場合、DHCP Option 82 データ挿入機能はサポートされません。

スイッチ ポートが DHCP クライアントに接続されている場合、 no ip dhcp snooping trust インターフェイス コンフィギュレーション コマンドを入力して信頼性のないポートとして設定してください。

ip dhcp snooping information option allow-untrusted コマンドを、信頼性のない装置が接続されている集約スイッチに入力しないでください。このコマンドを入力すると、信頼性のない装置が Option 82 情報をスプーフィングする場合があります。

DHCP スヌーピングおよび Option 82 のイネーブル化

スイッチ上で DHCP スヌーピングをイネーブルにするには、特権 EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ip dhcp snooping

DHCP スヌーピングをグローバルにイネーブルにします。

ステップ 3

ip dhcp snooping vlan vlan-range

VLAN または VLAN 範囲で、DHCP スヌーピングをイネーブルにします。指定できる範囲は 1 ~ 4094 です。

VLAN ID 番号で識別された単独の VLAN ID、カンマで区切られた一連の VLAN ID、ハイフンで区切られた VLAN ID 範囲、スペースで分離した開始および終了 VLAN ID で区切られた VLAN ID 範囲を入力できます。

ステップ 4

ip dhcp snooping information option

スイッチをイネーブルにして、DHCP サーバに転送された DHCP 要求メッセージの DHCP リレー情報(Option 82 フィールド)を挿入または削除します。デフォルトの設定はイネーブルです。

ステップ 5

ip dhcp snooping information option allow-untrusted

(任意)スイッチがエッジ スイッチに接続された集約スイッチである場合に、エッジ スイッチからの Option 82 情報を含む着信 DHCP スヌーピング パケットをスイッチが受信できるようにします。

デフォルトはディセーブルです。


) このコマンドを入力できるのは、信頼性のある装置に接続された集約スイッチのみです。


ステップ 6

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 7

exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 8

end

特権 EXEC モードに戻ります。

ステップ 9

show running-config

設定を確認します。

ステップ 10

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

DHCPスヌーピングをディセーブルにするには、 no ip dhcp snooping グローバル コンフィギュレーション コマンドを使用します。VLAN または VLAN 範囲で DHCP スヌーピングをディセーブルにするには、 no ip dhcp snooping vlan vlan-id グローバル コンフィギュレーション コマンドを使用します。Option 82 フィールドの挿入および削除をディセーブルにするには、 no ip dhcp snooping information option グローバル コンフィギュレーション コマンドを使用します。エッジ スイッチからの Option 82 情報を持った着信 DHCP スヌーピング パケットを廃棄するように集約スイッチを設定するには、 no ip dhcp snooping information option allow-untrusted グローバル コンフィギュレーション コマンドを使用します。

次に、VLAN 10 で DHCP スヌーピングをグローバルにイネーブルにし、ポート FastEthernet 0/1 上でレート制限を毎秒 100 パケットに設定する方法を示します。

Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10
Switch(config)# ip dhcp snooping information option
Switch(config)# interface fastethernet0/1
 

DHCP 情報の表示

DHCP スヌーピング情報を表示するには、 表16-2 の特権 EXEC コマンドを 1 つまたは複数使用します。

 

表16-2 DHCP 情報を表示するためのコマンド

コマンド
目的

show ip dhcp snooping

スイッチの DHCP スヌーピング設定を表示します。

show ip dhcp snooping binding

DHCP スヌーピング バインディング データベースの中の動的に設定されたバインディングのみを表示します。 3

3.DHCP スヌーピングがイネーブルで、インターフェイスがダウン ステートに変更された場合、スイッチは設定されたバインディングを手動で削除しません。