Catalyst 2950/2955 スイッチ ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.1(22)EA7
DHCP 機能の設定
DHCP 機能の設定
発行日;2012/01/14 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

DHCP 機能の設定

DHCP 機能の概要

DHCP サーバ

DHCP リレー エージェント

DHCP スヌーピング

オプション 82 のデータ書き込み

DHCP 機能の設定

DHCP のデフォルト設定

DHCP スヌーピング設定時の注意事項

DHCP サーバの設定

DHCP スヌーピングおよびオプション 82 のイネーブル化

DHCP 情報の表示

DHCP 機能の設定

この章では、Catalyst 2950 または Catalyst 2955 スイッチ上での Dynamic Host Configuration Protocol(DHCP)スヌーピングおよびオプション 82 データの書き込み機能を設定する方法について説明します。


) この章で使用するコマンドの構文および使用方法の詳細については、このリリースに対応するスイッチ コマンド リファレンスおよび『Cisco IOS IP and IP Routing Command Reference』Release 12.1の「IP Addressing and Services」を参照してください。


この章の内容は、次のとおりです。

「DHCP 機能の概要」

「DHCP 機能の設定」

「DHCP 情報の表示」

DHCP 機能の概要

DHCP は 1 つのサーバからホストの IP アドレスをダイナミックに割り当てる機能で、LAN 環境で幅広く使用されています。この機能を使用すると、IP アドレス管理のオーバーヘッドを大幅に減少できます。また、DHCP では IP アドレスをホストに永続的に割り当てる必要がなく、ネットワークに接続されたホストにだけ IP アドレスを使用するため、限られた IP アドレス空間を節約するのにも役立ちます。

スイッチは次の DSCP 機能をサポートします。

「DHCP サーバ」

「DHCP リレー エージェント」

「DHCP スヌーピング」

「オプション 82 のデータ書き込み」

DCHP クライアントの詳細については、『 Cisco IOS IP and IP Routing Configuration Guide 』Release 12.1の「 IP Addressing and Services 」を参照してください。

DHCP サーバ

DHCP サーバは、スイッチまたはルータの指定のアドレス プールから DHCP クライアントに IP アドレスを割り当て、管理します。DHCP サーバが要求されたコンフィギュレーション パラメータをデータベースから取得して DHCP クライアントに渡すことができない場合、ネットワーク管理者が定義した 1 台または複数台のセカンダリ DHCP サーバにその要求を転送します。


) DHCP サーバ機能は Catalyst 2955 スイッチでのみ使用できます。


DHCP リレー エージェント

DHCP リレー エージェントはレイヤ 3 の装置で、DHCP パケットをサーバとクライアントの間で転送します。リレー エージェントは、クライアントとサーバが同じ物理サブネット上にない場合、クライアントとサーバの間で要求と応答を転送します。通常のレイヤ 2 転送では IP データグラムがネットワーク間でトランスペアレントにスイッチングされますが、リレー エージェントの転送方法は、これとは異なります。リレー エージェントは DHCP メッセージを受信し、出力インターフェイスで送信するための新しい DHCP メッセージを生成します。

DHCP スヌーピング

DHCP スヌーピングは、信頼できない DHCP メッセージをフィルタリングし、DHCP スヌーピング バインディング データベース(DHCP スヌーピング バインディング テーブルとも呼ぶ)を構築および維持することでネットワーク セキュリティを確保する DHCP のセキュリティ機能です。

DHCP スヌーピングは、信頼できないホストと DHCP サーバ間でファイアウォールのように機能します。また、DHCP スヌーピングはエンドユーザに接続する信頼できないインターフェイスと、DHCP サーバまたは別のスイッチに接続する信頼できるインターフェイスとの識別を可能にします。


) DHCP スヌーピングが正しく機能するようにするには、すべての DHCP サーバを、信頼できるインターフェイスを介してスイッチに接続する必要があります。


信頼できないメッセージとは、ネットワークまたはファイアウォール外部から受信したメッセージです。サービス プロバイダー環境で DHCP スヌーピングを使用すると、カスタマーのスイッチなど、サービス プロバイダーのネットワーク外にある装置から信頼できないメッセージを受信します。不明な装置から受信するメッセージは、トラフィック攻撃の原因になることがあるため、信頼できません。

DHCP スヌーピング バインディング データベースには、MAC(メディア アクセス制御)アドレス、IP アドレス、リース時間、バインディング タイプ、VLAN 番号、およびスイッチの信頼性の低いローカル インターフェイスに対応するインターフェイス情報が格納されています。信頼できるインターフェイスと相互接続されているホストに関する情報は格納されません。

サービス プロバイダーのネットワークでは、信頼できるインターフェイスが同じネットワーク内の装置のポートに接続されます。信頼性の低いインターフェイスは、ネットワーク内の信頼性の低いインターフェイスか、またはネットワークに接続されていない装置のインターフェイスに接続されます。

スイッチは、信頼性の低いインターフェイス、および DHCP スヌーピングがイネーブルになっている VLAN に属するインターフェイスでパケットを受信すると、送信元 MAC アドレスと DHCP クライアントのハードウェア アドレスを比較します。アドレスが一致した場合(デフォルト)、スイッチはパケットを転送します。アドレスが一致しなかった場合、スイッチはパケットを廃棄します。

次のいずれかの状況が発生すると、スイッチは DHCP パケットを廃棄します。

DHCP サーバのパケット、つまり DHCPOFFER、DHCPACK、DHCPNAK、DHCPLEASEQUERY などを、ネットワークやファイアウォールの外部から受信した場合

信頼性の低いインターフェイスでパケットを受信し、送信元 MAC アドレスと DHCP クライアントのハードウェア アドレスが一致しない場合

DHCP スヌーピング バインディング テーブルに MAC アドレスが記載された DHCPRELEASE または DHCPDECLINE ブロードキャスト メッセージをスイッチが受信したが、バインディング テーブルのインターフェイス情報がメッセージを受信したインターフェイスと一致しない場合

DHCP リレー エージェントが、リレー エージェント IP アドレスが 0.0.0.0 以外の DHCP パケットを転送した、あるいはリレー エージェントがオプション 82 の情報を含むパケットを信頼性の低いポートに転送した場合

スイッチが DHCP スヌーピングをサポートする集約スイッチで、DHCP オプション 82 情報を挿入するエッジ スイッチに接続されている場合、信頼性の低いインターフェイスでパケットが受信されると、スイッチはオプション 82 情報を含むパケットを廃棄します。DHCP スヌーピングがイネーブルで、パケットが信頼できるポートで受信された場合、集約スイッチは接続装置の DHCP スヌーピング バインディングを学習しないため、DHCP スヌーピング バインディングのデータベースを完全に構築することはできません。

Cisco IOS Release 12.1(22)EA3 より前のソフトウェア リリースで、エッジ スイッチによりオプション 82 情報が挿入されると、DHCP スヌーピング バインディングのデータベースは正しく入力されないため、集約スイッチ上で DHCP スヌーピングを設定できません。また、スタティック バインディングまたは Address Resolution Protocol(ARP; アドレス解決プロトコル)の Access Control List(ACL; アクセス制御リスト)を使用しないかぎり、IP 送信元ガードおよびダイナミック ARP も設定できません。

Cisco IOS Release 12.1(22)EA3 で、集約スイッチが信頼性の低いインターフェイスを介してエッジ スイッチと接続でき、 ip dhcp snooping information option allow-untrusted グローバル コンフィギュレーション コマンドを入力した場合、集約スイッチはエッジ スイッチからのオプション 82 情報を含むパケットを受け入れます。集約スイッチは、信頼性の低いスイッチのインターフェイスを介して接続されたホストのバインディングを学習します。スイッチが、ホストに接続された信頼性の低い入力インターフェイス上でオプション 82 を含むパケットを受信しても、DHCP のセキュリティ機能(ダイナミック ARP または IP 送信元ガードなど)は、集約スイッチ上でイネーブルにできます。集約スイッチと接続するエッジ スイッチ上のポートは、信頼できるインターフェイスとして設定される必要があります。

オプション 82 のデータ書き込み

住地域のあるメトロポリタン イーサネット アクセス環境で、DHCP は多数の加入者の IP アドレス割り当てを一元的に管理できます。スイッチ上で DHCP オプション 82 の機能をイネーブルにすると、加入者の装置は、MAC アドレスに加えて、ネットワークに接続するスイッチ ポートによって識別されます。加入者 LAN 上の複数のホストをアクセス スイッチの同一ポートに接続でき、各ホストは一意に識別されます。


) DHCP のオプション 82 機能は、DHCP スヌーピングがグローバルにイネーブルになっている場合のみ、この機能を使用する加入者の装置が割り当てられている VLAN でサポートされます。また、DHCP がディセーブルの場合、スイッチは DHCP のオプション 82 機能もサポートします。


図19-1 は、メトロポリタン イーサネット ネットワークの構成例です。この例では、DHCP サーバがアクセス レイヤのスイッチに接続した加入者に IP アドレスを一元的に割り当てます。DHCP クライアントとそれに対応する DHCP サーバが同一 IP ネットワークまたはサブネット上にないので、ヘルパー アドレスを使用して DHCP リレー エージェント(Catalyst スイッチ)を設定し、ブロードキャスト転送をイネーブルにして DHCP メッセージをクライアントとサーバ間で伝送します。

図19-1 メトロポリタン イーサネット ネットワークの DHCP リレー エージェント

 

スイッチ上で DHCP スヌーピング情報のオプション 82 をイネーブルにすると、次のようなイベント シーケンスが発生します。

ホスト(DHCP クライアント)が DHCP 要求を生成し、ネットワーク上でブロードキャストします。

スイッチが DHCP 要求を受信すると、スイッチはオプション 82 の情報をパケットに追記します。オプション 82 の情報には、スイッチの MAC アドレス(リモート ID サブオプション)およびパケットを受信したポート ID( vlan-mod-port )(回線 ID サブオプション)が含まれます。

リレー エージェントの IP アドレスが設定されている場合、スイッチは DHCP パケットに IP アドレスを付加します。

スイッチがオプション 82 フィールドを含む DHCP 要求を DHCP サーバに転送します。

DHCP サーバがパケットを受信します。DHCP サーバがオプション 82 に対応している場合、リモート ID、回線 ID、またはその両方を使用して IP アドレスを割り当て、ポリシー(1 つのリモート ID または回線 ID に割り当て可能な IP アドレス数の制限など)を実施します。そのあと、DHCP サーバは DHCP 応答でオプション 82 フィールドをそのまま返します。

スイッチによって要求がサーバに中継された場合、DHCP サーバはスイッチに応答をユニキャストします。クライアントとサーバが同一サブネット上にある場合、サーバは応答をブロードキャストします。スイッチは、リモート ID フィールドと可能な場合は回線 ID フィールドを調べて、最初に書き込まれたオプション 82 が含まれていることを確認します。スイッチはオプション 82 フィールドを削除して、DHCP 要求を送信した DHCP クライアントが接続されているスイッチ ポートにパケットを転送します。

前述のイベントが発生した場合、図19-2 に示す次のフィールドの値は変わりません。

回線 ID サブオプション フィールド

サブオプション タイプ

サブオプション タイプの長さ

回線 ID タイプ

回線 ID タイプの長さ

リモート ID サブオプション フィールド

サブオプション タイプ

サブオプション タイプの長さ

リモート ID タイプ

リモート ID タイプの長さ

回線 ID サブオプションのポート フィールドにあるポート番号は 0 から始まります。たとえば、Catalyst 2950G-24-EI スイッチでは、ポート 0 はファスト イーサネット ポート 0/1、ポート 1 はファスト イーサネット ポート 0/2、ポート 2 はファスト イーサネット ポート 0/3 となります。ポート 24 は GBIC(ギガビット インターフェイス コンバータ)ベースのギガビット モジュール スロット 0/1、およびポート 25 は GBIC ベースのギガビット モジュール スロット 0/2 となります。

図19-2 に、リモート ID サブオプションと回線 ID サブオプションのパケット フォーマットを示します。スイッチは、DHCP スヌーピングがグローバルにイネーブルになっていて、 ip dhcp snooping information option グローバル コンフィギュレーション コマンドが入力された場合、このパケット フォーマットを使用します。回線 ID サブオプションの場合、モジュール フィールドは常にゼロとなります。

図19-2 サブオプション パケット フォーマット

 

DHCP 機能の設定

ここでは、スイッチで DHCP スヌーピングおよびオプション 82 を設定する手順について説明します。

「DHCP のデフォルト設定」

「DHCP スヌーピング設定時の注意事項」

「DHCP サーバの設定」

「DHCP スヌーピングおよびオプション 82 のイネーブル化」

DHCP のデフォルト設定

表19-1 に、DHCP のデフォルト設定を示します。

 

表19-1 DHCP のデフォルト設定

機能
デフォルト値

DHCP サーバ

Cisco IOS ソフトウェアでイネーブルで、設定が必要 1

DHCP リレー エージェント

イネーブル 2

DHCP パケット転送アドレス

設定なし

リレー エージェント情報のチェック

イネーブル(無効なメッセージを廃棄) 2

DHCP リレー エージェント転送ポリシー

既存のリレー エージェント情報の置換 2

DHCPスヌーピング(グローバルにイネーブル)

ディセーブル

DHCP スヌーピング情報オプション

イネーブル

信頼性の低い入力インターフェイス上でパケットを受け入れる DHCP スヌーピング オプション 3

ディセーブル

DHCP スヌーピングの制限レート

設定なし

DHCP スヌーピングの信頼性

untrusted(信頼できない)

DHCP スヌーピングの VLAN

ディセーブル

DHCP スヌーピングの MAC アドレス検証

イネーブル

1.スイッチは、DHCP サーバとして設定されている場合のみ、DHCP 要求への応答を行います。

2.スイッチは、DHCP サーバの IP アドレスが DHCP クライアントの SVI に設定されている場合のみ、DHCP パケットをリレーします。

3.この機能は、スイッチがエッジ スイッチからのオプション 82 情報を含むパケットを受信する集約スイッチである場合に使用します。

DHCP スヌーピング設定時の注意事項

DHCP スヌーピング設定時の注意事項は次のとおりです。

スイッチ上で DHCP をグローバルにイネーブルに設定する必要があります。

VLAN 上で DHCP スヌーピングをイネーブルにするまで、DHCP スヌーピングはアクティブになりません。

スイッチで DHCP スヌーピングをグローバルにイネーブルにする前に、DHCP サーバおよび DHCP リレー エージェントとして動作している装置が設定され、イネーブルになっていることを確認してください。

スイッチ上で DHCP スヌーピング情報オプションを設定する前に、必ず DHCP サーバとして動作する装置を設定する必要があります。たとえば、DHCP サーバが割り当てまたは除外する IP アドレスの指定や、装置の DHCP オプションの設定が必要です。

DHCP リレー エージェントがイネーブルになっていても DHCP スヌーピングがディセーブルになっている場合、DHCP オプション 82 データ挿入機能はサポートされません。

スイッチ ポートが DHCP サーバに接続されている場合、 ip dhcp snooping trust インターフェイス コンフィギュレーション コマンドを入力してポートを信頼できるポートとして設定してください。

スイッチ ポートが DHCP クライアントに接続されている場合、 no ip dhcp snooping trust インターフェイス コンフィギュレーション コマンドを入力してポートを信頼性の低いポートとして設定してください。

信頼できない装置が接続された集約スイッチ上では、 ip dhcp snooping information option allow-untrusted コマンドを入力しないでください。このコマンドを入力した場合、信頼性の低い装置はオプション 82 情報をスプーフィングします。

DHCP サーバの設定

Catalyst 2955 スイッチは、DHCP サーバとして機能させることができます。デフォルトでは、Cisco IOS の DHCP サーバおよびリレー エージェント機能はスイッチ上でイネーブルですが、設定はされていません。これらの機能は利用できません。

スイッチを DCHP サーバとして設定する手順については、『 Cisco IOS IP and IP Routing Configuration Guide 』Release 12.1の「IP Addressing and Services」の「Configuring DHCP」を参照してください。

DHCP スヌーピングおよびオプション 82 のイネーブル化

スイッチ上で DHCP スヌーピングをイネーブルにするには、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ip dhcp snooping

DHCP をグローバルでイネーブルにします。

ステップ 3

ip dhcp snooping vlan vlan-range

特定の VLAN または特定の範囲の VLAN 上で DHCP スヌーピングをイネーブルにします。指定できる範囲は 1 ~ 4094 です。

VLAN ID 番号で識別される単一の VLAN ID、カンマで区切った一連の VLAN ID、ハイフンで区切った VLAN ID の範囲、または VLAN ID の開始点と終了点をスペースで区切った VLAN ID の範囲を入力できます。

ステップ 4

ip dhcp snooping information option

スイッチが DHCP リレー情報(オプション 82 フィールド)を、DHCP サーバに転送される DHCP 要求メッセージに対して書き込みおよび削除できるようにします。デフォルトはイネーブルです。

ステップ 5

ip dhcp snooping information option allow-untrusted

(任意)スイッチがエッジ スイッチに接続された集約スイッチの場合、スイッチがエッジ スイッチからのオプション 82 情報を含む着信 DHCP スヌーピング パケットを受け入れるようにします。

デフォルトはディセーブルです。


) このコマンドは、信頼できる装置が接続された集約スイッチ上でのみ入力してください。


ステップ 6

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 7

ip dhcp snooping trust

(任意)インターフェイスを trusted(信頼できる)または untrusted(信頼できない)に設定します。信頼できないクライアントからのメッセージを受信するようにインターフェイスを設定するには、 no キーワードを使用します。デフォルトは untrusted(信頼できない)です。

ステップ 8

ip dhcp snooping limit rate rate

(任意)インターフェイスが受信できる秒単位の DHCP パケット数を設定します。指定できる範囲は 1 ~ 4294967294 です。デフォルトは無制限です。


) 信頼性の低いインターフェイスのレート制限を、毎秒 100 パケット以下にすることを推奨します。信頼性の高いインターフェイスのレート制限を設定する際、ポートを、DHCP スヌーピングがイネーブルになった複数の VLAN に割り当てられたトランク ポートとする場合、レート制限を大きめの値にする必要がある場合もあります。


ステップ 9

exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 10

ip dhcp snooping verify mac-address

(任意)スイッチが、信頼性の低いポート上で受信された DHCP パケットの送信元 MAC アドレスがパケットのクライアント ハードウェア アドレスに一致することを確認するよう設定します。デフォルトでは、送信元 MAC アドレスがパケットのクライアント ハードウェア アドレスに一致することを確認します。

ステップ 11

end

イネーブル EXEC モードに戻ります。

ステップ 12

show running-config

設定を確認します。

ステップ 13

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

DHCP スヌーピングをディセーブルにするには、 no ip dhcp snooping グローバル コンフィギュレーション コマンドを使用します。特定の VLAN または特定の範囲の VLAN 上で DHCP スヌーピングをディセーブルにするには、 no ip dhcp snooping vlan vlan-id グローバル コンフィギュレーション コマンドを使用します。オプション 82 の書き込みおよび削除をディセーブルにするには、 no ip dhcp snooping information option グローバル コンフィギュレーション コマンドを使用します。集約スイッチが、エッジ スイッチからのオプション 82 情報を持つ着信 DHCP スヌーピング パケットを廃棄するよう設定するには、 no ip dhcp snooping information option allow-untrusted グローバル コンフィギュレーション コマンドを使用します。

次に、DHCP スヌーピングをグローバルおよび VLAN 10 でイネーブルにし、ファスト イーサネット ポート 0/1 上でレート制限を 100 パケット/秒に設定する例を示します。

Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10
Switch(config)# ip dhcp snooping information option
Switch(config)# interface fastethernet0/1
Switch(config-if)# ip dhcp snooping limit rate 100

DHCP 情報の表示

DHCP スヌーピング情報を表示するには、 表19-2 のイネーブル EXEC コマンドを 1 つまたは複数使用します。

 

表19-2 DHCP情報を表示するためのコマンド

コマンド
目的

show ip dhcp snooping

スイッチの DHCP スヌーピング設定を表示します。

show ip dhcp snooping binding

DHCP スヌーピング バインディング データベースでダイナミックに設定されたバインディングのみを表示します。 4

4.DHCP スヌーピングがイネーブルの状態でインターフェイスがダウン ステートに変わった場合、スイッチは手動で設定したバインディングを削除しません。