Catalyst 4000 ファミリー スイッチ Cisco IOS ソフトウェア コンフィギュレーション ガイド,Cisco IOS Release 12.1(13)EW
DHCPスヌーピングの設定
DHCPスヌーピングの設定
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

DHCPスヌーピングの設定

DHCPスヌーピングの概要

スイッチでのDHCPスヌーピングの設定

DHCPスヌーピングのデフォルト設定

DHCPスヌーピングのイネーブル化

プライベートVLANでのDHCPスヌーピングの設定

DHCPスヌーピング情報の表示

バインディング テーブルの表示

DHCPスヌーピング設定の表示

DHCPスヌーピングの設定

この章では、Catalyst 4000ファミリー スイッチ上でDynamic Host Configuration Protocol(DHCP;動的ホスト制御プロトコル)スヌーピングを設定する手順について説明します。設定上の注意事項、設定手順、および設定例も示します。

この章の主な内容は、次のとおりです。

「DHCPスヌーピングの概要」

「スイッチでのDHCPスヌーピングの設定」

「DHCPスヌーピング情報の表示」


) この章で使用しているスイッチ コマンドの構文および使用方法の詳細については、『Cisco Cisco IOS Command Reference for the Catalyst 4000 Family Switch』および次のURLにある関連マニュアルを参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/lan/cat4000/12_1_12/index.htm


DHCPスヌーピングの概要

DHCPスヌーピングは、信頼できないDHCPメッセージをフィルタリングし、DHCPスヌーピング バインディング テーブルを構築およびメンテナンスすることでセキュリティ性を持たせるDHCPセキュリティ機能です。信頼できないメッセージとは、ネットワークまたはファイアウォール外部からの受信メッセージのうち、ネットワーク内でトラフィック攻撃を引き起こす可能性のあるメッセージです。

DHCPスヌーピング バインディング テーブルには、MAC(メディア アクセス制御)アドレス、IPアドレス、リース期間、バインディング タイプ、VLAN(仮想LAN)番号、およびスイッチの信頼できないローカル インターフェイスに対応するインターフェイス情報が格納されます。信頼できるインターフェイスに相互接続するホストに関する情報は収められていません。信頼できないインターフェイスとは、ネットワークまたはファイアウォール外部からのメッセージを受信するように設定されたインターフェイスです。信頼できるインターフェイスとは、ネットワーク内からのメッセージのみを受信するように設定されたインターフェイスです。

DHCPスヌーピングは、信頼できないホストとDHCPサーバ間でファイアウォールのように機能します。また、DHCPスヌーピングはエンドユーザに接続する信頼できないインターフェイスと、DHCPサーバまたは別のスイッチに接続する信頼できるインターフェイスとを見分ける方法を提供します。


) VLAN上でDHCPスヌーピングをイネーブルにするには、スイッチ上でDHCPスヌーピングをイネーブルにする必要があります。


DHCPスヌーピングはスイッチとVLANに対して設定できます。スイッチ上でDHCPスヌーピングをイネーブルにする場合、インターフェイスはレイヤ2ブリッジとして動作し、レイヤ2 VLANに送信されるDHCPメッセージを代行受信および保護します。VLAN上でDHCPスヌーピングをイネーブルにする場合、スイッチはVLANドメイン内のレイヤ2ブリッジとして動作します。


) DHCPサーバの設定については、次のURLの『Cisco IOS IP and IP Routing Configuration Guide 』の「Configuring DHCP」の章を参照してください。http://www.cisco.com/univercd/cc/td/doc/product/software/ios121/121cgcr/ip_c/ipcprt1/1cddhcp.htm


スイッチでのDHCPスヌーピングの設定

スイッチ上にDHCPスヌーピングを設定する場合、信頼できないインターフェイスと信頼できるインターフェイスを区別できるようにスイッチを設定します。VLANでDHCPスヌーピングを使用する前に、DHCPスヌーピングをグローバルにイネーブル化する必要があります。他のDHCP機能から切り離してDHCPスヌーピングをイネーブルにできます。

DHCPスヌーピングをイネーブルにした後、すべてのDHCP relay information optionコンフィギュレーション コマンドはディセーブルになります。次のコマンドがあります。

ip dhcp relay information check

ip dhcp relay information policy

ip dhcp relay information option

ip dhcp relay information trusted

ip dhcp relay information trust-all

ここでは、DHCPスヌーピングを設定する手順について説明します。

DHCPスヌーピングのデフォルト設定

DHCPスヌーピングのイネーブル化

「プライベートVLANでのDHCPスヌーピングの設定」

DHCPスヌーピングのデフォルト設定

DHCPスヌーピングは、デフォルトでディセーブルに設定されています。 表 19-1 にDHCPスヌーピングの各オプションのデフォルト設定値を示します。

 

表 19-1 DHCPスヌーピングのデフォルト設定値

オプション
デフォルト値/ステート

DHCPスヌーピング

ディセーブル

DHCP snooping information option

イネーブル

DHCP snooping limit rate

infinite(レート制限のディセーブルと同じように機能)

DHCP snooping trust

untrusted(信頼できない)

DHCP snooping vlan

ディセーブル

デフォルト設定値を変更する場合は、「DHCPスヌーピングのイネーブル化」を参照してください。

DHCPスヌーピングのイネーブル化

DHCPスヌーピングをイネーブルにするには、次の作業を行います。

 

コマンド
説明

ステップ 1

Switch(config)# ip dhcp snooping

DHCPスヌーピングをグローバルにイネーブル化します。

DHCPスヌーピングをディセーブルにする場合は、 no キーワードを使用します。

ステップ 2

Switch(config)# ip dhcp snooping vlan number [ number ]

VLANでDHCPスヌーピングをイネーブルにします。

ステップ 3

Switch(config)# ip dhcp snooping information option

DHCP Option 82データ挿入をイネーブルにします。

ステップ 4

Switch(config-if)# ip dhcp snooping trust

インターフェイスを信頼できるまたは信頼できないインターフェイスに設定します。

ネットワーク内からのメッセージのみを受信するようにインターフェイスを設定する場合は、 no キーワードを使用します。

ステップ 5

Switch(config-if)# ip dhcp snooping limit rate rate

インターフェイスが受信できる1秒あたりのDHCPパケット数(pps)を設定します。


) 信頼できないレート制限を101 pps以上に設定することはできません。

通常このレート制限は信頼できないインターフェイスに適用されます。信頼できるインターフェイスのレート制限を設定する場合、信頼できるインターフェイスはスイッチのすべてのDHCPトラフィックを集束し、したがってレート制限を高い値に調整する必要があることに注意してください。


ステップ 6

Switch(config)# end

コンフィギュレーション モードを終了します。

ステップ 7

Switch# show ip dhcp snooping

設定を確認します。

DHCPスヌーピングは、単一のVLANまたは複数のVLANに設定できます。単一のVLANを設定するには、VLAN番号を1つ入力します。複数のVLANを設定するには、最初と最後のVLAN番号を入力します。

次にVLAN 10~100のDHCPスヌーピングをイネーブルにする例を示します。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10 100
Switch(config)# ip dhcp snooping information option
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# ip dhcp snooping limit rate 100
Switch(config)# end
Switch# show ip dhcp snooping
DHCP Snooping is configured on the following VLANs:
10 30-40 100 200-220
Insertion of option 82 information is enabled.
Interface Trusted Rate limit (pps)
--------- ------- ----------------
FastEthernet2/1 yes 10
FastEthernet2/2 yes none
FastEthernet3/1 no 20
Switch#
 

プライベートVLANでのDHCPスヌーピングの設定

DHCPスヌーピングをプライベートVLANでイネーブルにして、 同一VLAN内のレイヤ2ポートを分離することができます。DHCPスヌーピングがイネーブル(またはディセーブル)の場合、設定はプライマリVLANおよび関連するセカンダリVLANの両方に伝播します。DHCPスヌーピングをプライマリVLANでイネーブル(またはディセーブル)にする場合、その設定変更をセカンダリVLANに反映させないとイネーブル(またはディセーブル)にはできません。

セカンダリ VLANでDHCPスヌーピングを設定することは可能ですが、関連するプライマリVLANでDHCPスヌーピングを設定しないと有効になりません。つまり、対応する プライマリVLANによってセカンダリVLANの DHCPスヌーピング モードが有効になります。セカンダリVLANでDHCPスヌーピングを手動で設定すると、スイッチで次のエラー メッセージが発行されます。

DHCP Snooping configuration may not take effect on secondary vlan XXX
 

コマンドshow ip dhcp snoopingは、DHCPスヌーピングがイネーブルのVLAN(プライマリVLANと対応するセカンダリVLAN)をすべて表示します 。

DHCPスヌーピング情報の表示

スイッチ上のすべてのインターフェイスについて、DHCPスヌーピング バインディング テーブルと設定情報を表示できます。

バインディング テーブルの表示

各スイッチのDHCPスヌーピング バインディング テーブルには、信頼できないポートに関連したバインティング エントリが格納されています。信頼できるポートに相互接続するホストに関する情報は収められていません。相互接続した各スイッチは、独自のDHCPスヌーピング バインディング テーブルを持つためです。

次にスイッチのDHCPスヌーピング バインディング情報を表示する例を示します。

Switch# show ip dhcp snooping binding
MacAddress IP Address Lease (seconds) Type VLAN Interface
----------- ----------- ---------------- ----- ----- ------------
0000.0100.0201 10.0.0.1 1600 dynamic 100 FastEthernet2/1

Switch#

表 19-2 show ip dhcp snooping binding コマンド出力のフィールドを説明します。

 

表 19-2 show ip dhcp snooping bindingコマンド出力

フィールド
説明

MACアドレス

クライアント ハードウェアMACアドレス

IPアドレス

DHCPサーバから割り当てられたクライアントIPアドレス

リース(秒)

IPアドレス リース時間

タイプ

バインディング タイプ(CLIからスタティックに設定されるか、ダイナミックに学習されます)

VLAN

クライアント インターフェイスのVLAN番号

インターフェイス

DHCPクライアント ホストに接続したインターフェイス

DHCPスヌーピング設定の表示

次に、スイッチのDHCPスヌーピング設定を表示する例を示します。

Switch# show ip dhcp snooping
Switch DHCP snooping is enabled.
DHCP Snooping is configured on the following VLANs:
10 30-40 100 200-220
Insertion of option 82 information is enabled.
Interface Trusted Rate limit (pps)
--------- ------- ----------------
FastEthernet2/1 yes 10
FastEthernet3/1 yes none
GigabitEthernet1/1 no 20
Switch#