-
Catalyst 3550 マルチレイヤ スイッチ ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.2(25)SEC
-
はじめに
-
概要
-
CLIの使用方法
-
スイッチのIPアドレスおよび デフォルト ゲートウェイの割り当て
-
IE2100 CNSエージェントの設定
-
スイッチのクラスタ設定
-
スイッチの管理
-
スイッチベースの認証の設定
-
IEEE 802.1Xポートベースの認証の設定
-
インターフェイス特性の設定
-
SmartPortマクロの設定
-
VLANの設定
-
VTPの設定
-
音声VLANの設定
-
IEEE 802.1Qおよびレイヤ2プロトコ ル トンネリングの設定
-
STPの設定
-
MSTPの設定
-
オプションのスパニングツリー機能の 設定方法
-
DHCP機能の設定
-
ダイナミックARP検査の設定
-
IGMPスヌーピングおよびMVRの設定
-
ポートベースのトラフィック制御の 設定
-
CDPの設定
-
UDLDの設定
-
SPANおよび RSPANの設定
-
RMONの設定
-
システム メッセージ ロギングの設定
-
SNMPの設定
-
ACLによるネットワーク セキュリティ の設定
-
QoSの設定
-
EtherChannelの設定
-
IPユニキャスト ルーティングの設定
-
HSRPの設定
-
WCCPによるWebキャッシュ サービ スの設定
-
IPマルチキャスト ルーティングの設定
-
MSDPの設定
-
代替ブリッジングの設定
-
トラブルシューティング
-
サポートされているMIB
-
Cisco IOSファイル システム、 コンフィギュレーション ファイル、 およびソフトウェア イメージの操作
-
Cisco IOS Release 12.2(25)SECで サポートされていないCLIコマンド
-
索引
-
発行日;2012/02/01 | ドキュメントご利用ガイド | ダウンロード ; この章 , ドキュメント全体
目次
DHCPリレー エージェントおよびOption 82のイネーブル化
Cisco IOS DHCPサーバ データベースのイネーブル化
DHCPスヌーピング バインディング データベース エージェントのイネーブル化
DHCP機能の設定
この章では、Catalyst 3550スイッチでDynamic Host Configuration Protocol(DHCP)スヌーピングおよびOption 82データ挿入機能を設定する方法について説明します。
(注) この章で使用されるコマンドの構文および使用方法の詳細については、このリリースのコマンド リファレンス、および『Cisco IOS IP Command Reference, Volume 1 of 3: Addressing and Services』Release 12.2の「DHCP Commands」を参照してください。
DHCP機能の概要
DHCPは、中央のサーバからホストのIPアドレスをダイナミックに割り当てるために、LAN環境で広く使用されています。DHCPを使用するとIPアドレス管理のオーバーヘッドが大幅に軽減します。DHCPを使用すると、IPアドレスをホストに永続的に割り当てる必要がなくなり、IPアドレスを必要とするのはネットワークに接続されているホストだけになるので、DHCPは限られたIPアドレス空間の節約に役立ちます。
DHCPクライアントの詳細については、『 Cisco IOS IP Configuration Guide 』Release 12.2の「 IP Addressing and Services 」にある「 Configuring DHCP 」を参照してください。
DHCPサーバ
DHCPサーバは、スイッチまたはルータの指定アドレス プールから、IPアドレスをDHCPクライアントに割り当てて、クライアントを管理します。DHCPサーバは、DHCPクライアントに要求された設定パラメータを、自身のデータベースから渡すことができない場合は、ネットワーク管理者によって定義されている1つまたは複数のセカンダリDHCPサーバに、その要求を転送できます。
DHCPリレー エージェント
DHCPリレー エージェントは、クライアント/サーバ間にあるDHCPパケットを転送するレイヤ3のデバイスです。クライアントおよびサーバが同一の物理サブネットにない場合、リレー エージェントは、クライアントとサーバ間で要求と応答を転送します。リレー エージェントの転送は、通常のレイヤ2転送とは異なります。レイヤ2転送では、IPデータグラムがネットワーク間でトランスペアレントに交換されますが、リレー エージェントはDHCPメッセージを受信してから、新しいDHCPメッセージを生成して、出力インターフェイスに送信します。
DHCPスヌーピング
DHCPスヌーピングは、信頼されないDHCPメッセージをフィルタリングし、DHCPスヌーピング バインディング データベース(別名DHCPスヌーピング バインディング テーブル)を構築および維持することで、ネットワーク セキュリティを提供するDHCPセキュリティ機能です。
DHCPスヌーピングは、信頼されないホストとDHCPサーバの間のファイアウォールと同様の機能を果たします。DHCPスヌーピングを使用すると、エンドユーザに接続した信頼されないインターフェイスと、DHCPサーバまたは別のスイッチに接続した信頼されるインターフェイスを区別できます。
(注) DHCPスヌーピングを適切に機能させるには、すべてのDHCPサーバが信頼されるインターフェイスを介してスイッチに接続されている必要があります。
信頼されないメッセージとは、ネットワークまたはファイアウォールの外から受信されたメッセージのことです。DHCPスヌーピングをサービス プロバイダー環境で使用した場合、信頼されないメッセージはカスタマー スイッチのようにサービス プロバイダー ネットワーク外部のデバイスから送信されたことを意味します。不明なデバイスからのメッセージは、トラフィック攻撃の原因になる可能性があるため信頼されません。
DHCPスヌーピングのバインディング データベースには、MAC(メディア アクセス制御)アドレス、IPアドレス、リース期間、バインディング タイプ、VLAN(仮想LAN)番号、および信頼されないローカル スイッチのインターフェイスに対応したインターフェイス情報が含まれています。信頼されるインターフェイスと相互接続されているホストに関する情報は含まれていません。
サービス プロバイダー ネットワーク内で、信頼されるインターフェイスは、同じネットワーク内のデバイスにあるポートと接続されていることを意味します。信頼されないインターフェイスは、ネットワーク内で信頼されないインターフェイスと接続しているか、またはネットワーク外にあるデバイスのインターフェイスと接続していることになります。
スイッチが信頼されないインターフェイスでパケットを受信して、そのインターフェイスがDHCPスヌーピングがイネーブルのVLANに属している場合、スイッチは送信元MACアドレスとDHCPクライアントのハードウェア アドレスを比較します。アドレスがそのデフォルトと一致した場合、スイッチはパケットを転送します。一致しない場合、スイッチはパケットを廃棄します。
スイッチは、次の状況のいずれかが発生した場合、DHCPパケットを廃棄します。
•
DHCPサーバからのパケット(DHCPOFFER、DHCPACK、DHCPNAK、またはDHCPLEASEQUERYなど)をネットワークまたはファイアウォール外から受信する。
•
•
DHCPRELEASEまたはDHCPDECLINEブロードキャスト メッセージを受信したが、バインディング テーブルのインターフェイス情報がメッセージを受信したインターフェイスと一致しない。•
スイッチがDHCPスヌーピングをサポートする集約スイッチであり、DHCP Option 82情報を挿入するエッジ スイッチに接続されている場合、パケットが信頼されないインターフェイス上で受信されると、スイッチはOption 82情報を持ったパケットを廃棄します。DHCPスヌーピングがイネーブルでパケットが信頼されるポートで受信された場合、集約スイッチは接続したデバイスのDHCPスヌーピング バインディングを学習しないので完全なDHCPスヌーピング バインディング データベースを構築できません。
Option 82情報がCisco IOS Release 12.1(22)EA3より前の、またはCisco IOS Release 12.2(25)SEA以降のソフトウェア リリースが動作するエッジ スイッチによって挿入されている場合、DHCPスヌーピング バインディング データベースが正しく読み込まれないので、DHCPスヌーピングを集約スイッチに設定できません。スタティック バインディングまたはARP Access Control List(ACL;アクセス制御リスト)を使用していない場合、IPソース ガードおよびダイナミックAddress Resolution Protocol(ARP;アドレス解決プロトコル)検査もスイッチに設定できません。
Cisco IOS Release 12.1(22)EA3およびCisco IOS Release 12.2(25)SEA以降では、集約スイッチが信頼されないインターフェイスを通じてエッジ スイッチに接続でき、 ip dhcp snooping information option allow-untrusted グローバル コンフィギュレーション コマンドを入力した場合に、集約スイッチはOption 82情報を持ったパケットをエッジ スイッチから受け付けます。集約スイッチは、信頼されないスイッチ インターフェイスを通じて接続されたホストのバインディングを学習します。ダイナミックARPまたはIPソース ガードなどのDHCPセキュリティ機能は、ホストが接続されている信頼されない入力インターフェイスでOption 82情報を持ったパケットをスイッチが受信している間も、集約スイッチ上でイネーブルにできます。集約スイッチに接続するエッジ スイッチのポートは、信頼されるインターフェイスとして設定する必要があります。
Option 82データ挿入
住宅地のメトロポリタン イーサネットアクセス環境では、DHCPによって多数の加入者のIPアドレス割り当てを中央管理できます。スイッチでDCHP Option 82機能をイネーブルにすると、(MACアドレスのほかに)ネットワークへの接続に使用されているスイッチ ポートで加入者のデバイスを識別できます。加入者LAN上の複数のホストをアクセス スイッチの同じポートに接続し、個別に識別できます。
(注) Cisco IOS Release 12.1(19)EA1以降では、DHCPスヌーピングがグローバルにイネーブルで、この機能を使用している加入者のデバイスが割り当てられているVLANに存在する場合のみ、DHCP Option 82機能がサポートされます。また、スイッチは、DHCPがディセーブルのときにDHCP Option 82機能もサポートします。
図18-1に示すメトロポリタン イーサネット ネットワークの例では、中央集中型DHCPサーバが、アクセス レイヤでスイッチに接続されている加入者にIPアドレスを割り当てています。DHCPクライアントとこれらのクライアントに関連付けられているDHCPサーバは、同じIPネットワークまたはサブネット上にはないので、DHCPリレー エージェント(Catalystスイッチ)にヘルパー アドレスを設定することによって、ブロードキャスト転送、およびクライアント/サーバ間でのDHCPメッセージの伝送を可能にしています。
図18-1 メトロポリタン イーサネット ネットワークのDCHPリレー エージェント
スイッチでDHCPスヌーピング情報のOption 82機能をイネーブルにすると、次の順でイベントが発生します。
•
•
•
•
•
•
前述のイベントが発生したとき、図18-2の次のフィールドの値は変化しません。
DHCPスヌーピングがグローバルにイネーブルのときに、 ip dhcp snooping information option グローバル コンフィギュレーション コマンドを入力し、SNMP ifIndexフォーマットを設定しない場合、回線IDサブオプションのポート フィールドのポート番号は0から始まります。たとえば、Catalyst 3550-24スイッチでは、ポート0はFastEthernet 0/1ポートで、ポート1がFastEthernet 0/2ポート、ポート2がFastEthernet 0/3ポートと続きます。ポート24はGBIC(ギガビット インターフェイス コンバータ)ベースのギガビット モジュール スロット0/1で、ポート25がGBICベースのギガビット モジュール スロット0/2になります。
図18-2に、リモートIDサブオプションおよび回線IDサブオプションのパケット形式を示します。回線IDサブオプションでは、モジュール フィールドは常に0です。
Cisco IOS DHCPサーバ データベース
DHCPベースの自動設定プロセスの間、指定DHCPサーバはCisco IOS DHCPサーバ データベースを使用します。これにはIPアドレス、 アドレス バインディング 、ブート ファイルなどの設定パラメータが含まれます。
アドレス バインディングは、Cisco IOS DHCPサーバ データベース内のホストのIPアドレスおよびMACアドレスの間のマッピングです。クライアントIPアドレスを手動で割り当てることも、DHCPサーバがDHCPアドレス プールからIPアドレスを割り当てることもできます。手動および自動アドレス バインディングの詳細については、『 Cisco IOS IP Configuration Guide』Release 12.2 の「Configuring DHCP」の章を参照してください。
DHCPスヌーピング バインディング データベース
DHCPスヌーピングがイネーブルの場合、スイッチはDHCPスヌーピング バインディング データベースを使用して信頼されないインターフェイスに関する情報を保存します。データベースには最大で8192のバインディングを保存できます。
各データベース エントリ( binding )には、IPアドレス、関連MACアドレス、リース時間(16進数表記)、バインディングが適用されるインターフェイス、インターフェイスが属するVLANがあります。各エントリの最後にある checksum 値は、ファイルの始まりからエントリの終わりまでのバイト数です。各エントリは72バイトで、そのあとにスペースとチェックサム値が続きます。
スイッチがリロードされるときにバインディングを維持するには、DHCPスヌーピング データベース エージェントを使用する必要があります。エージェントがディセーブル、ダイナミックARPまたはIPソース ガードがイネーブル、DHCPスヌーピング バインディング データベースにダイナミック バインディングがある場合、スイッチはその接続を切断します。エージェントがディセーブルでDHCPスヌーピングのみがイネーブルの場合、スイッチはその接続を切断しませんが、DHCPスヌーピングがDHCPスプーフィング攻撃を防げないことがあります。
データベース エージェントは設定された場所でファイルにバインディングを保存します。リロード時、スイッチはDHCPスヌーピング バインディング データベースを構築するためにバインディング ファイルを読み込みます。スイッチは、データベースの変更時に更新することでファイルを最新のものに保ちます。
スイッチは、新しいバインディングを学習したり、バインディングを消失した場合にはただちにデータベース内のエントリを更新します。また、バインディング ファイル内のエントリも更新します。ファイルを更新する頻度は、設定変更可能な遅延に基づいて更新され、更新はバッチ処理されます。ファイルが(write-delayおよびabort-timeout値によって設定された)指定の時間更新されない場合、更新は停止します。
バインディングのあるファイルのフォーマットは次のとおりです。
ファイル内の各エントリには、スイッチがファイルを読み込んだときにエントリの確認に使用するチェックサム値がタグ付けされます。1行めの initial-checksum エントリは、最新のファイル更新に関連したエントリと前のファイル更新に関連したエントリとを区別します。
スイッチが開始され、計算されたチェックサム値が保存されているチェックサム値と等しい場合、スイッチはバインディング ファイルからエントリを読み取ってバインディングをDHCPスヌーピング バインディング データベースに追加します。次のいずれかの状況が発生した場合にスイッチはエントリを無視します。
•
•
DHCP機能の設定
ここでは、スイッチでDHCPスヌーピングおよびOption 82を設定する手順について説明します。
•
•
•
•
•
DHCPのデフォルト設定
表18-1 に、DHCPのデフォルト設定を示します。
IOSソフトウェアでイネーブル。設定が必要です。1
イネーブル2
イネーブル(無効なメッセージは破棄されます)2
既存のリレー エージェント情報の置換2
信頼されない入力インターフェイスでパケットを受信するDHCPスヌーピング オプション3
DHCPスヌーピング設定時の注意事項
ここでは、DHCPスヌーピングの設定時の注意事項を説明します。
•
•
•
•
–
–
–
–
–
•
•
•
•
•
•
旧ソフトウェア リリースからのアップグレード
Cisco IOS Release 12.1(19)EA1では、Option 82サブスクライバIDに関する実装が旧リリースから変更されました。新しいOption 82形式では、異なる回線IDおよびリモートIDサブオプションの vlan-mod-port を使用します。旧バージョンでは、 snmp-ifindex 回線IDおよびリモートIDサブオプションを使用します。
スイッチにOption 82が設定され、Cisco IOS Release 12.1(19)EA1以降にアップグレードする場合、Option 82の設定に影響はありません。ただし、 ip dhcp snooping グローバル コンフィギュレーション コマンドを使用してスイッチでDHCPスヌーピングをグローバルにイネーブルにするときは、以前のOption 82の設定は中断され、新しいOption 82形式が適用されます。スイッチでDHCPスヌーピングをグローバルにディセーブルにするとき、以前のOption 82の設定が再びイネーブルになります。
下位互換性を保つには、DHCPスヌーピングをイネーブルにするときに ip dhcp snooping information option format snmp-ifindex グローバル コンフィギュレーション コマンドを使用して、以前のOption 82形式を選択できます。DHCPスヌーピングをグローバルにイネーブルにすると、(選択済み形式の)Option 82情報だけがスヌーピングされたVLANに挿入されます。
DHCPスヌーピングをイネーブルにしないでOption 82の旧バージョンを使用するには、「DHCPリレー エージェントおよびOption 82のイネーブル化」を参照してください。
DHCPサーバの設定
スイッチはDHCPサーバとして動作させることができます。デフォルトでは、Cisco IOS DHCPサーバおよびリレー エージェント機能は、スイッチでイネーブルになっていますが設定されていません。これらの機能は動作可能ではありません。
DHCPサーバとしてスイッチを設定する手順については、『 Cisco IOS IP Configuration Guide 』Release 12.2の「IP addressing and Services」にある「Configuring DHCP」を参照してください。
DHCPリレー エージェントのみのイネーブル化
スイッチでDHCPリレー エージェントをイネーブルにするには、イネーブルEXECモードで次の手順を実行します。
DHCPサーバおよびリレー エージェントをディセーブルにするには、 no service dhcp グローバル コンフィギュレーション コマンドを使用します。
DHCPリレー エージェントおよびOption 82のイネーブル化
Cisco IOS Release 12.1(19)EA1では、Option 82加入者識別に関する実装が旧リリースから変更されました。DHCPスヌーピングを使用するときのリレー エージェントおよびOption 82の設定に関する詳細については、「旧ソフトウェア リリースからのアップグレード」を参照してください。
スイッチでDHCPリレー エージェントおよびOption 82をイネーブルにするには、イネーブルEXECモードで次の手順を行います。
DHCPサーバおよびリレー エージェントをディセーブルにするには、 no service dhcp グローバル コンフィギュレーション コマンドを使用します。Option 82フィールドの挿入および削除をディセーブルにするには、 no ip dhcp relay information option グローバル コンフィギュレーション コマンドを使用します。
リレー エージェント情報Option 82の検証
デフォルトでは、スイッチはDHCPサーバから受信したDHCP応答パケットのOption 82フィールドが有効であるかどうかを確認します。無効なメッセージを受信した場合、スイッチはそのメッセージを廃棄します。有効なメッセージを受信した場合、スイッチはOption 82フィールドを削除してから、そのパケットを転送します。
この機能をディセーブルにするには、 no ip dhcp relay information check グローバル コンフィギュレーション コマンドを使用します。この機能をディセーブルにした場合、スイッチはOption 82フィールドの有効性は検証しませんが、パケットからこのオプションを削除して転送します(スイッチでDHCPスヌーピングがイネーブルのときは、この機能は利用できません)。
(注) スイッチがDHCPクライアントからOption 82フィールドを含むパケットを受信し、スイッチでこの情報の確認機能がイネーブルになっている場合、クライアント側からのこのような情報は無効であるため、スイッチはそのパケットを廃棄します。ただし場合によっては、クライアント側にOption 82フィールドが設定されていることもあります。このような場合は、スイッチがパケットからOption 82フィールドを削除しないように、スイッチの情報確認機能をディセーブルにしなければなりません。ip dhcp relay information policyグローバル コンフィギュレーション コマンドを使用すると、既存のOption 82情報を含むパケットを受信した場合のスイッチの動作を設定できます。詳細については、「再転送ポリシーの設定」を参照してください。(スイッチでDHCPスヌーピングがイネーブルのときは、この機能は利用できません)。
再転送ポリシーの設定
デフォルトの再転送ポリシーでは、スイッチはDHCPクライアントから受信したパケット内の既存のリレー情報をスイッチのDHCPリレー情報に置き換えます。このデフォルトのスイッチ動作がご使用のネットワーク構成に適さない場合は、 ip dhcp relay information policy { drop | keep | replace } グローバル コンフィギュレーション コマンドを使用して、設定を変更できます(スイッチでDHCPスヌーピングがイネーブルのときは、この機能は利用できません)。
(注) 再転送ポリシーを正常に機能させるためには、no ip dhcp relay information checkグローバル コンフィギュレーション コマンドを使用して、リレー エージェント情報の確認機能をディセーブルにする必要があります。
再転送ポリシーの動作を変更するには、イネーブルEXECモードで次の手順を実行します。
再転送ポリシーを設定します。デフォルトでは、既存の情報がスイッチのDHCPリレー情報に置き換えられます(上書きされます)。
•
再転送ポリシーをデフォルト設定に戻すには、 no ip dhcp relay information policy グローバル コンフィギュレーション コマンドを使用します。
パケット転送アドレスの指定
DHCPリレー エージェントは、同じ物理サブネット上にないクライアントとサーバ間のDHCPパケットを転送する任意のデバイスです。リレー エージェントの転送は、IPルータによる通常の転送とは異なります。IPルータの転送では、IPデータグラムがネットワーク間でトランスペアレントに交換されますが、リレー エージェントはDHCPメッセージを受信してから、新しいDHCPメッセージを作成して、別のインターフェイスに送信します。
DHCPサーバとDHCPクライアントが異なるネットワークまたはサブネットに存在する場合は、 ip helper-address address インターフェイス コンフィギュレーション コマンドをスイッチに設定する必要があります。通常は、クライアントに最も近いレイヤ3インターフェイスにこのコマンドを設定します。 ip helper-address コマンドには、特定のDHCPサーバのIPアドレスを使用できます。また、宛先のネットワーク セグメントにほかのDHCPサーバがある場合は、ネットワーク アドレスを使用することもできます。ネットワーク アドレスを使用すると、任意のDHCPサーバが要求に応答できるようになります。
パケット転送アドレスを指定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。
DHCPパケット転送アドレスを削除する場合は、 no ip helper-address address インターフェイス コンフィギュレーションコマンドを使用します。
以下の例は、DHCPサーバ、リレー エージェント、DHCPリレー情報(Option 82)の挿入および削除をイネーブルにする方法を示しています。この例では、VLAN ID 10のスイッチ仮想インターフェイスを作成し、これにIPアドレスを割り当てて、30.0.0.2のDHCPパケット転送アドレス(DHCPサーバ アドレス)を指定しています。DHCPクライアントに接続されている2つのインターフェイス(GigabitEthernet 0/1および0/2)はVLAN 10のスタティック アクセス ポートとして設定されています(メトロポリタン イーサネット ネットワークのDCHPリレー エージェントを参照)。
DHCPスヌーピングおよびOption 82のイネーブル化
スイッチでDHCPスヌーピングをイネーブルにするには、イネーブルEXECモードで次の手順を実行します。
VLANまたはVLAN範囲でDHCPスヌーピングをイネーブルにします。指定できる範囲は1~4094です。
VLAN IDは、VLAN ID番号を特定してVLAN IDを単一で入力したり、カンマ区切りで一連のVLAN IDを入力したり、ハイフン区切りでVLAN IDの範囲を入力したり、スペース区切りで開始と終了のVLAN IDを入力してVLAN IDの範囲を入力したりできます。
DHCPサーバへのDHCP要求メッセージ転送時の、DHCPリレー情報(Option 82フィールド)の挿入および削除をイネーブルにします。
(任意)Option 82機能の回線IDおよびリモートIDサブオプションの代替フォーマットを選択するには、 ip dhcp snooping information option format snmp-ifindex を指定します。詳細については、「旧ソフトウェア リリースからのアップグレード」を参照してください。
デフォルト設定は、 no ip dhcp snooping information option format snmp-ifindex です。
(任意)スイッチがエッジ スイッチに接続された集約スイッチの場合、スイッチをイネーブルにして、エッジ スイッチからのOption 82情報を持った着信DHCPスヌーピング パケットを受信します。
(注) 集約スイッチが信頼できるデバイスに接続されている場合のみ、このコマンドを入力する必要があります。
(任意)インターフェイスを信頼される状態または信頼されない状態として設定します。信頼されないクライアントからメッセージを受信するようインターフェイスを設定するには、 no キーワードを使用できます。デフォルトは信頼されない状態です。
(任意)インターフェイスが1秒間に受信できるDHCPパケット数を設定します。指定できる範囲は1~4294967294です。デフォルトでは、レート制限は設定されていません。
(注) 100パケット/秒以下の信頼されないレート制限を推奨します。信頼されるインターフェイスにレート制限を設定した場合に、DHCPスヌーピングがイネーブルの複数のVLANにトランク ポートを割り当てると、レート制限の強化が必要なときがあります。
(任意)信頼されないポートで受信されたDHCPパケットの送信元MACアドレスが、パケット内のクライアント ハードウェア アドレスと一致することを確認するように、スイッチを設定します。デフォルトは、送信元MACアドレスがパケット内のクライアント ハードウェア アドレスと一致することを確認します。
DHCPスヌーピングをディセーブルにするには、 no ip dhcp snooping グローバル コンフィギュレーション コマンドを使用します。VLANまたはVLAN範囲のDHCPスヌーピングをディセーブルにするには、 no ip dhcp snooping vlan vlan-id グローバル コンフィギュレーション コマンドを使用します。Option 82フィールドの挿入および削除をディセーブルにするには、 no ip dhcp snooping information option グローバル コンフィギュレーション コマンドを使用します。エッジ スイッチからのOption 82情報を持った着信DHCPスヌーピング パケットを廃棄するように集約スイッチを設定するには、 no ip dhcp snooping information option allow-untrusted グローバル コンフィギュレーション コマンドを使用します。
次に、VLAN 10でDHCPスヌーピングをグローバルにイネーブルにし、ポートFastEthernet 0/1でレート制限を100パケット/秒に設定する例を示します。
プライベートVLANでのDHCPスヌーピングのイネーブル化
プライベートVLANでDHCPスヌーピングをイネーブルにできます。DHCPスヌーピングがイネーブルの場合、設定はプライマリVLANおよび関連付けられているセカンダリVLANの両方に伝播します。DHCPスヌーピングがプライマリVLANでイネーブルの場合、セカンダリVLANでもイネーブルに設定されています。
DHCPスヌーピングがすでにプライマリVLANに設定されていてDHCPスヌーピングをセカンダリVLANでは異なるように設定した場合、セカンダリVLANの設定は有効になりません。DHCPスヌーピングをプライマリVLANに設定する必要があります。DHCPスヌーピングがプライマリVLANに設定されておらず、VLAN 200などのセカンダリVLANにDHCPスヌーピングを設定した場合、次のメッセージが表示されます。
2w5d:%DHCP_SNOOPING-4-DHCP_SNOOPING_PVLAN_WARNING:DHCP Snooping configuration may not take effect on secondary vlan 200. DHCP Snooping configuration on secondary vlan is derived from its primary vlan.show ip dhcp snooping イネーブルEXECコマンド出力には、プライマリおよびセカンダリ プライベートVLANを含む、DHCPスヌーピングがイネーブルのすべてのVLANが表示されています。
Cisco IOS DHCPサーバ データベースのイネーブル化
Cisco IOS DHCPサーバ データベースをイネーブルにして設定する手順については『 Cisco IOS IP Configuration Guide』Release 12.2 の「Configuring DHCP」の章にある「DHCP Configuration Task List」を参照してください。
DHCPスヌーピング バインディング データベース エージェントのイネーブル化
スイッチでDHCPスヌーピング バインディング データベース エージェントをイネーブルにして設定するには、イネーブルEXECモードで次の手順を実行します。
データベース エージェントおよびバインディング ファイルの使用を停止するには、 no ip dhcp snooping database インターフェイス コンフィギュレーション コマンドを使用します。タイムアウト値または遅延値をリセットするには、 ip dhcp snooping database timeout seconds または ip dhcp snooping database write-delay seconds グローバル コンフィギュレーション コマンドを使用します。
DHCPスヌーピング バインディング データベース エージェントの統計情報をクリアするには、 clear ip dhcp snooping database statistics イネーブルEXECコマンドを使用します。データベースを更新するには、 renew ip dhcp snooping database イネーブルEXECコマンドを使用します。
DHCPスヌーピング バインディング データベースからエントリを削除するには、 no ip dhcp snooping binding mac-address vlan vlan-id ip-address interface interface-id イネーブルEXECコマンドを使用します。削除する各エントリに対してこのコマンドを入力します。
DHCP情報の表示
DHCPスヌーピング情報を表示するには、 表18-2 に示す1つまたは複数のイネーブルEXECコマンドを使用します。
DHCPスヌーピング バインディング データベースにダイナミックに設定されたバインディングのみを表示します。4
4.DHCPスヌーピングがイネーブルの状態で、インターフェイスがダウン ステートに変わった場合、スイッチは手動設定したバインディングを削除しません。
IPソース ガードの概要
IPソース ガードは、DHCPスヌーピング バインディング データベースと手動で設定されたIPソース バインディングに基づいてトラフィックをフィルタリングすることで、非ルーテッド レイヤ2インターフェイス上のIPトラフィックを制限するセキュリティ機能です。IPソース ガードを使用して、ホストがネイバのIPアドレスを使用しようとした場合のトラフィック攻撃を回避できます。
DHCPスヌーピングが信頼できないインターフェイスでイネーブルの場合にIPソース ガードをイネーブルにできます。IPソース ガードがインターフェイスでイネーブルになったあと、スイッチは、DHCPスヌーピングで許可されたDHCPパケット以外の、インターフェイスで受信されたすべてのIPトラフィックをブロックします。ポートACLはインターフェイスに適用されます。ポートACLにより、IPソース バインディング テーブル内の送信元IPアドレスのIPトラフィックのみを許可し、他のトラフィックをすべて拒否できます。
IPソース バインディング テーブルには、DHCPスヌーピングで学習されたバインディング、または手動で設定されたバインディング(スタティックIPソース バインディング)があります。このテーブルのエントリにはIPアドレスと、関連MACアドレス、関連VLAN番号があります。スイッチは、IPソース ガードがイネーブルの場合にのみIPソース バインディング テーブルを使用します。
IPソース ガードは、アクセス ポートやトランク ポートなどのレイヤ2ポートでのみサポートされます。IPソース ガードを、送信元IPアドレス フィルタリングまたは送信元IPおよびMACアドレス フィルタリングとともに設定できます。
送信元IPアドレス フィルタリング
IPソース ガードがこのオプションでイネーブルの場合、IPトラフィックは送信元IPアドレスに基づいてフィルタリングされます。送信元IPアドレスがDHCPスヌーピング バインディング データベースのエントリまたはIPソース バインディング テーブル内のバインディングと一致した場合、スイッチはIPトラフィックを転送します。
DHCPスヌーピング バインディングまたはスタティックIPソース バインディングがインターフェイス上で追加、変更、または削除された場合、スイッチはIPソース バインディングを変更してポートACLを変更し、ポートACLをインターフェイスに再び適用します。
IPソース バインディング(DHCPスヌーピングでダイナミックに学習または手動で設定)が設定されていないインターフェイスでIPソース ガードをイネーブルにする場合、スイッチはインターフェイス上のすべてのIPトラフィックを拒否するポートACLを作成し、適用します。IPソース ガードをディセーブルにする場合、スイッチはポートACLをインターフェイスから削除します。
送信元IPおよびMACアドレス フィルタリング
IPソース ガードがこのオプションでイネーブルの場合、IPトラフィックは送信元IPアドレスおよびMACアドレスに基づいてフィルタリングされます。スイッチは、送信元IPアドレスおよびMACアドレスがIPソース バインディング テーブルのエントリと一致する場合にのみトラフィックを転送します。
送信元IPおよびMACアドレス フィルタリングがあるIPソース ガードがイネーブルの場合、スイッチはIPおよび非IPトラフィックをフィルタリングします。IPまたは非IPパケットの送信元MACアドレスが有効なIPソース バインディングと一致する場合、スイッチはパケットを転送します。スイッチは、DHCPパケット以外の他のすべてのタイプのパケットを廃棄します。
スイッチは、ポート セキュリティを使用して送信元MACアドレスをフィルタリングします。ポート セキュリティ違反が発生する場合にインターフェイスをシャット ダウンできます。
IPソース ガードの設定
ここでは、スイッチでIPソース ガードを設定する方法について説明します。
IPソース ガード設定時の注意事項
•
•
•
(注) IPソース ガードがイネーブルで、トランク インターフェイス上のVLANでDHCPスヌーピングをイネーブルまたはディセーブルにする場合、スイッチが適切にトラフィックをフィルタリングしない場合があります。
•
•
•
IPソース ガードのイネーブル化
インターフェイス上でIPソース ガードをイネーブルにして設定するには、イネーブルEXECモードで次の手順を実行します。
送信元IPアドレス フィルタリングのあるIPソース ガードをディセーブルにするには、 no ip verify source インターフェイス コンフィギュレーション コマンドを使用します。
スタティックIPソース バインディング エントリを削除するには、 no ip source global コンフィギュレーション コマンドを使用します。
次に、送信元IPおよびMACフィルタリングのあるIPソース ガードをVLAN 10およびVLAN 11でイネーブルにする例を示します。
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# ip verify source port-security
Switch(config)# ip source binding 0100.0022.0010 vlan 10 10.0.0.2 interface gigabitethernet1/0/1
Switch(config)# ip source binding 0100.0230.0002 vlan 11 10.0.0.4 interface gigabitethernet1/0/1
IPソース ガード情報の表示
IPソース ガード情報を表示するには、 表18-3 に示す1つまたは複数のイネーブルEXECコマンドを使用します。