Catalyst 6500 シリーズ スイッチソフトウェア コン フィギュレーション ガイド リリース8.7
DHCP スヌーピングおよび IP ソース ガード の設定
DHCP スヌーピングおよび IP ソース ガードの設定
発行日;2012/01/31 | 英語版ドキュメント(2009/09/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 19MB) | フィードバック

目次

DHCP スヌーピングおよび IP ソース ガードの設定

DHCP スヌーピングの機能概要

DHCP スヌーピング設定時の注意事項

VLAN での DHCP スヌーピングの設定

DHCP スヌーピングのデフォルト設定

DHCP スヌーピングのイネーブル化

プライベート VLAN での DHCP スヌーピングのイネーブル化

DHCP スヌーピング ホスト トラッキング情報オプションのイネーブル化

DHCP スヌーピングの MAC アドレス一致オプションのイネーブル化

DHCP スヌーピングの設定例

例 1:DHCP スヌーピングのイネーブル化

例 2:MSFC を DHCP リレー エージェントとして使用した DHCP スヌーピングのイネーブル化

例 3:ポートベース モードの DHCP スヌーピングのイネーブル化

ポート単位での DHCP スヌーピング バインディング制限の指定

ポート単位での DHCP スヌーピングの IP アドレス/MAC アドレス バインディングの指定

DHCP スヌーピング情報の表示

バインディング テーブルの表示

DHCP スヌーピング設定と統計情報の表示

フラッシュ デバイスへの DHCP スヌーピング バインディング エントリの保存

IP ソース ガードの機能概要

IP ソース ガードの設定時の注意事項

ポートでの IP ソース ガードのイネーブル化

IP ソース ガード情報の表示

DHCP スヌーピングおよび IP ソース ガードの設定

この章では、Catalyst 6500 シリーズ スイッチで Dynamic Host Configuration Protocol(DHCP)スヌーピングおよび IP ソース ガードを設定する方法について説明します。

この章で説明する内容は、次のとおりです。

「DHCP スヌーピングの機能概要」

「VLAN での DHCP スヌーピングの設定」

「ポート単位での DHCP スヌーピング バインディング制限の指定」

「ポート単位での DHCP スヌーピングの IP アドレス/MAC アドレス バインディングの指定」

「DHCP スヌーピング情報の表示」

「フラッシュ デバイスへの DHCP スヌーピング バインディング エントリの保存」

「IP ソース ガードの機能概要」

「ポートでの IP ソース ガードのイネーブル化」

「IP ソース ガード情報の表示」


) この章で使用しているスイッチ コマンドの完全構文および使用方法の詳細については、『Catalyst 6500 Series Switch Command Reference』を参照してください。また、次の関連資料も参照してください。
http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/catos/8.x/command/reference/cmd_ref.html


DHCP スヌーピングの機能概要

DHCP スヌーピングは、DHCP パケットをフィルタリングし、DHCP スヌーピング バインディング テーブルを作成し維持することにより、DHCP メッセージを使用して開始された Denial of Service(DoS; サービス拒絶)攻撃に対するセキュリティを提供します。DHCP スヌーピングは、trusted(信頼性のある)および untrusted(信頼性のない)ポートの両方を使用します。

trusted ポートから受信した DHCP パケットは、検証なしで転送されます。一般的に、trusted ポートは DHCP サーバまたはリレー エージェントに到達するために使用します。スイッチが untrusted ポートから DHCP パケットを受信すると、DHCP スヌーピングは、クライアントからの DHCP パケットだけが許可されて、情報のスヌーピングが実行されていないことを確認します。

DHCP スヌーピング バインディング テーブルには、スイッチの untrusted ポート上にある DHCP クライアントに関する MAC アドレス、IP アドレス、リース期間(秒)、および VLAN ポート情報が含まれています。DHCP スヌーピング バインディング テーブルに含まれる情報は、リース期間が終了するか DHCP スヌーピングが VLAN でディセーブルになると、バインディング テーブルから削除されます。


) Release 8.6(1) 以降のソフトウェア リリースでは、DHCP スヌーピングをポート単位でイネーブルにできます。


これらの DHCP メッセージは、DHCP バインディング テーブルを作成するために使用します。

DHCPACK:バインディング エントリがない場合、新しいダイナミック DHCP バインディング エントリを追加します。

DHCPNAK:既存の DHCP バインディング エントリを削除します。

DHCPRELEASE:バインディング エントリがある場合にダイナミック DHCP バインディング エントリを削除します。

DHCPDECLINE:バインディング エントリがある場合にダイナミック DHCP バインディング エントリを削除します。

各スイッチでは、ローカルの untrusted ポートだけに対する DHCP スヌーピング バインディング テーブルを保持しています。テーブルには、他のスイッチに直接接続されているホストの DHCP スヌーピング バインディング テーブルに関する情報は格納されず、trusted ポート経由で接続されているホストの情報も含まれていません。trusted ポートには、リレー エージェントまたは DHCP サーバなどの直接接続されているエンティティや、そのようなエンティティへの転送パスがあります。リレー エージェントまたは DHCP サーバへのパスは、信頼されている必要があります。

DHCP スヌーピング設定時の注意事項

ここでは、ネットワークに DHCP を設定する際の注意事項について説明します。

Release 8.6(1) 以降のソフトウェア リリースでは、DHCP スヌーピングをポート単位でイネーブルにできます。

DHCP スヌーピングをイネーブルにしてハイ アベイラビリティではないスイッチオーバーを実行した場合、DHCP スヌーピング バインディング テーブルの内容が消失します。この設定を使用することは推奨しません。

DHCP スヌーピングは、Policy Feature Card(PFC; ポリシー フィーチャ カード)およびこれ以降のバージョンでサポートされます。

DHCP スヌーピング バインディング テーブルは、16,384 エントリに制限されています。制限に到達すると、古いエントリがリース期間に到達するまで新しいエントリを追加できません。

802.1X-DHCP および DHCP スヌーピングは相互に排他的です。802.1X-DHCP と DHCP スヌーピングの両方に VLAN を設定できません。Access Control List(ACL; アクセス コントロール リスト)に 802.1X および DHCP スヌーピングの両方を設定した場合、ACL 内で上位の機能がもう一方の機能を上書きします。

Dynamic ARP Inspection(DAI; ダイナミック ARP インスペクション)、DHCP スヌーピング、および IP ソース ガードを使用する場合、ハイ アベイラビリティをイネーブルにすることを推奨します。ハイ アベイラビリティがイネーブルでない場合、スイッチオーバー後にこれらの機能が動作するようにクライアントは IP アドレスを更新する必要があります。DAI の設定の詳細については、「ダイナミック ARP インスペクション」を参照してください。

VLAN での DHCP スヌーピングの設定

一般的に、DHCP スヌーピングは、ワイヤリング クローゼットなどのアクセスレベル ネットワークで使用されます。VLAN で DHCP スヌーピングをイネーブルにするには、その VLAN 上の DHCP クライアントに対する IP アドレスと MAC アドレスとのバインディング テーブルを作成します。


) Release 8.6(1) 以降のソフトウェア リリースでは、DHCP スヌーピングをポート単位でイネーブルにできます。



) Release 8.5(1) 以降のソフトウェア リリースでは、DHCP スヌーピングを管理 VLAN(sc0 および sc1)でイネーブルにできます。


ここでは、DHCP スヌーピングを設定する手順について説明します。

「DHCP スヌーピングのデフォルト設定」

「DHCP スヌーピングのイネーブル化」

「プライベート VLAN での DHCP スヌーピングのイネーブル化」

「DHCP スヌーピング ホスト トラッキング情報オプションのイネーブル化」

「DHCP スヌーピングの MAC アドレス一致オプションのイネーブル化」

「DHCP スヌーピングの設定例」

DHCP スヌーピングのデフォルト設定

デフォルトでは、DHCP スヌーピングはディセーブルに設定されています。 表 33-1 に、各 DHCP スヌーピング オプションのデフォルト設定値を示します。デフォルトの設定値を変更する場合、「DHCP スヌーピングのイネーブル化」を参照してください。

 

表 33-1 DHCP スヌーピングのデフォルト設定値

オプション
デフォルト値/ステート

DHCP スヌーピング ホストのトラッキング情報オプション

ディセーブル

DHCP スヌーピング制限レート

Address Resolution Protocol(ARP; アドレス解決プロトコル)インスペクションおよび 802.1X-DHCP で 1000 pps を共有します。レート制限は、PFC2 およびこれ以降のバージョンでサポートされます。

ポートでの DHCP スヌーピングの信頼

信頼しない

VLAN での DHCP スヌーピング

ディセーブル

DHCP スヌーピング バインディング データベースの自動保存オプション

ディセーブル

DHCP スヌーピング バインディング データベースのストレージ デバイスおよびファイル名

bootflash:dhcp-snooping-binding-database

DHCP スヌーピングのイネーブル化

DHCP スヌーピングは、セキュリティ VLAN Access Control List(VACL; VLAN アクセス コントロール リスト)を介して VLAN でイネーブルになっています。DHCP スヌーピング Access Control Entry(ACE; アクセス コントロール エントリ)を新規または既存のセキュリティ ACL に追加することにより、DHCP スヌーピングは VLAN でイネーブルに設定します。DHCP パケットのポリシーに基づいて ACL 内の DHCP スヌーピングの位置を決定する必要があります。たとえば、特定のホストから DHCP パケットを拒否して他の DHCP パケットに対して DHCP スヌーピングを実行する場合、DHCP スヌーピング ACE の前に拒否 ACE を配置する必要があります。

VLAN で DHCP スヌーピングをイネーブルにするには、特権モードで次の作業を行います。

 

作業
コマンド

ステップ 1

VACL に DHCP スヌーピングを追加します。

set security acl ip acl_name permit dhcp-snooping

ステップ 2

すべてのホストからの DHCP スヌーピングを許可するように VACL を設定します。

set security acl ip acl_name permit ip any any

ステップ 3

VACL を保存します。

commit security acl acl_name

ステップ 4

ACL を VLAN に追加します。

set security acl map acl_name 10

次に、VLAN 上で DHCP スヌーピングを設定する例を示します。

Console> (enable) set security acl ip dhcpsnoop permit dhcp-snooping
Successfully configured DHCP Snooping for ACL dhcpsnoop. Use 'commit' command to save changes.
Console> (enable) set security acl ip dhcpsnoop permit ip any any
dhcpsnoop editbuffer modified. Use 'commit' command to apply changes.
Console> (enable) commit security acl dhcpsnoop
ACL commit in progress.
 
ACL 'dhcpsnoop' successfully committed.
Console> (enable) set security acl map dhcpsnoop 10
Mapping in progress.
 
ACL dhcpsnoop successfully mapped to VLAN 10.
Console> (enable)

) DHCP スヌーピングをイネーブルにするためだけに VACL を作成する場合、VACL にはリストの最後に暗黙の拒否があり、他のパケットは暗黙の許可がない限り許可されません。



) 802.1X-DHCP および DHCP スヌーピングは相互に排他的です。VLAN に両方の機能を設定しないでください。


プライベート VLAN での DHCP スヌーピングのイネーブル化

プライマリおよびセカンダリ(隔離またはコミュニティ)Private VLAN(PVLAN; プライベート VLAN)で別々に DHCP スヌーピングをイネーブルにする必要があります。DHCP スヌーピング バインディング テーブルには、プライマリ VLAN のバインディング情報だけが含まれていてセカンダリ VLAN の情報は含まれていません。DHCP スヌーピングを PVLAN でイネーブルにしてセカンダリ VLAN でイネーブルにしない場合、パケットは PVLAN で確認されていても、DHCP スヌーピング バインディング テーブル エントリは追加されません。

DHCP スヌーピング ホスト トラッキング情報オプションのイネーブル化

ホスト トラッキング情報オプションをイネーブルにする場合、DHCP リレー エージェント情報オプション(オプション 82)が転送されるクライアント パケットに追加されます。リレー エージェント オプションにはエージェント回線 ID およびエージェント リモート ID 情報が含まれています。回線 ID サブオプションには、クライアントのポートおよび VLAN 番号が含まれています。リモート ID サブオプションにはスイッチの MAC アドレスが含まれています。ホストトラッキング情報を挿入する前に、スイッチは DHCP メッセージに既存のリレー情報オプションやゼロ以外の giaddr フィールドがないことを確認します。ホストトラッキング情報を削除する前に、スイッチは、DHCP 応答メッセージが trusted ポートからのもので、リモート ID とローカル スイッチの MAC アドレスが一致することを確認します。パケットが trusted ポートからきたものでアドレスが一致しない場合、パケットは転送されます。

DHCP スヌーピングのホストトラッキング情報オプションを設定するには、特権モードで次の作業を行います。

 

作業
コマンド

ステップ 1

DHCP スヌーピング ホストのトラッキング情報オプションをイネーブルにします。

set dhcp-snooping information host-tracking enable

ステップ 2

ホストトラッキング情報オプションの MAC アドレスを表示します。

show dhcp-snooping config

次に、DHCP スヌーピング ホストトラッキング情報オプションを設定する例を示します。

Console> (enable) set dhcp-snooping information host-tracking enable
DHCP Snooping Information Option Enabled.
Console> (enable) show dhcp-snooping config
DHCP Snooping MAC address matching is enabled.
DHCP Snooping host-tracking information option is enabled.
Remote ID used in information option is 00-d0-00-4c-1b-ff.
Console> (enable)

DHCP スヌーピングの MAC アドレス一致オプションのイネーブル化

MAC アドレス一致オプションをイネーブルにする場合、イーサネット ヘッダーの送信元 MAC アドレスが、untrusted ポートから着信する DHCP パケットの DHCP ペイロードにある chaddr フィールドと一致します。一致しない場合、パケットはドロップされて untrusted ポートでドロップされたパケットのカウンタが増加します。この機能は、デフォルトではイネーブルです。

DHCP スヌーピングの MAC アドレス一致オプションを設定するには、特権モードで次の作業を行います。

 

作業
コマンド

ステップ 1

DHCP スヌーピングの MAC アドレス一致オプションをイネーブルにします。

set dhcp-snooping match-mac enable

ステップ 2

DHCP スヌーピング設定を表示します。

show dhcp-snooping config

次に、DHCP スヌーピングの MAC アドレス一致オプションを設定する例を示します。

Console> (enable) set dhcp-snooping match-mac enable
DHCP Snooping MAC address matching enabled.
Console> (enable) show dhcp-snooping config
DHCP Snooping MAC address matching is enabled.
DHCP Snooping host-tracking information option is enabled.
Remote ID used in information option is 00-d0-00-4c-1b-ff.
Console> (enable)

DHCP スヌーピングの設定例

これらの設定例は、DHCP スヌーピングをイネーブルにする例を示したものです。

例 1:DHCP スヌーピングのイネーブル化

次に、DHCP サーバがポート 1/2 にある VLAN 10 の DHCP スヌーピングをイネーブルにする例を示します。

Console> (enable) set security acl ip dhcpsnoop permit dhcp-snooping
Successfully configured DHCP Snooping for ACL dhcpsnoop. Use 'commit' command to
save changes.
Console> (enable) set security acl ip dhcpsnoop permit ip any any
dhcpsnoop editbuffer modified. Use 'commit' command to apply changes.
Console> (enable) commit security acl dhcpsnoop
ACL commit in progress.
 
ACL 'dhcpsnoop' successfully committed.
Console> (enable) set security acl map dhcpsnoop 10
Mapping in progress.
 
ACL dhcpsnoop successfully mapped to VLAN 10.
Console> (enable) set port dhcp-snooping 1/2 trust enable
Port(s) 1/2 state set to trusted for DHCP Snooping.
Console> show dhcp-snooping config
DHCP Snooping MAC address matching is enabled.
DHCP Snooping host-tracking information option is disabled.
Remote ID used in information option is 00-d0-00-4c-1b-ff.
Console> show port dhcp-snooping 1/1-2
Port Trust
---- ------
1/1 untrusted
1/2 trusted
Console> (enable)
 

) DHCP スヌーピングをイネーブルにしてから DHCP スヌーピング ホスト トラッキングを設定する場合、set dhcp-snooping information-option host-tracking コマンドを入力します。


図 33-1図 33-1 に、クライアント/サーバ ネットワークに DHCP スヌーピングを設定するために使用する一般的なトポロジを示します。

図 33-1 クライアントおよびサーバ用に設定された DHCP スヌーピング

例 2:MSFC を DHCP リレー エージェントとして使用した DHCP スヌーピングのイネーブル化

次に、DHCP ホスト トラッキングをイネーブルにして Multilayer Switch Feature Card(MSFC; マルチレイヤ スイッチ フィーチャ カード)をリレー エージェントとして設定する例を示します。


) この例では、クライアントは信頼性がなく、MSFC をリレー エージェントとするスイッチにアクセスします。MSFC リレー エージェント スイッチは、信頼できるトランク ポートを介して MSFC DHCP サーバ スイッチに接続します。


次に、MSFC を DHCP リレー エージェントとして設定する例を示します。

service dhcp
on int vlan 810
ip address 192.168.80.241 255.255.255.0
ip helper-address 192.168.94.247
ip dhcp relay information trusted
on int vlan 4094
ip address 192.168.94.241 255.255.255.0
 

次に、MSFC を DHCP サーバとして設定する例を示します。

service dhcp
ip dhcp excluded-address 192.168.80.241
!
ip dhcp pool net810
network 192.168.80.0 255.255.255.0
on int vlan 4094
ip address 192.168.94.247 255.255.255.0

) MSFC ポートは、DHCP スヌーピングの trusted ポートとしてシステムに設定されています。


図 33-1図 33-2 に、MSFC をリレー エージェントとして設定した場合の一般的なトポロジを示します。

図 33-2 リレー エージェントとしての MSFC

例 3:ポートベース モードの DHCP スヌーピングのイネーブル化

次に、ルータが MSFC として設定されたポートベース モードの DHCP スヌーピングをイネーブルにする例を示します。DHCP スヌーピング ACL がホスト VLAN にマッピングされます。

Console> (enable) set security acl map dhcp 1/2
Mapping in progress.
ACL dhcp successfully mapped to port(s) 1/2
Console> (enable) set security acl map dhcp 16
Mapping in progress.
 
ACL dhcp successfully mapped to VLAN 16.
 

show コマンドを入力して、security-acl モードを表示します。

Console> (enable) show port security-acl 1/2
Port Interface Type Interface Type Interface Merge Status
config runtime runtime
----- -------------- -------------- ----------------------
1/2 port-based port-based not applicable
 
Config:
Port ACL name Type
----- -------------------------------- ----
1/2 dhcp IP
 
Runtime:
Port ACL name Type
----- -------------------------------- ----
1/2 dhcp IP
 
dhcp-snooping:
Port Trust Source-Guard Source-Guarded IP Addresses
----- ----------- ------------ ---------------------------
1/2 untrusted disabled
 
Port Binding Limit No. of Existing Bindings
----- ------------------ ------------------------
1/2 32 0
 

show コマンドを入力して、マッピングを確認します。

Console> (enable) show security acl map config all
ACL Name Type Ports/Vlans
-------------------------------- ---- ----------------
dhcp IP 16
dhcp IP 1/2
 

次に、外部ルータ設定を使用したポートベース モードの DHCP スヌーピングをイネーブルにする例を示します。DHCP スヌーピング ACL は、ホストおよび DHCP サーバ ポートにマッピングされます。


) ホストおよびサーバ ポートは両方とも、ポートベース セキュリティ ACL モードです。


Console> (enable) set port security-acl 1/2 port-based
Warning: Vlan-based ACL features will be disabled on ports 1/2
ACL interface is set to port-based mode for port(s) 1/2.
 
Console> (enable) set port security-acl 5/2 port-based
Warning: Vlan-based ACL features will be disabled on ports 5/2
ACL interface is set to port-based mode for port(s) 5/2.
 
Console> (enable) set security acl map dhcp 1/2
Mapping in progress.
ACL dhcp successfully mapped to port(s) 1/2
Console> (enable) set security acl map dhcp 5/2
Mapping in progress.
ACL dhcp successfully mapped to port(s) 5/2
 

show コマンドを入力して、セキュリティ ACL モードを表示します。

Console> (enable) show port security-acl 1/2
Port Interface Type Interface Type Interface Merge Status
config runtime runtime
----- -------------- -------------- ----------------------
1/2 port-based port-based not applicable
 
Config:
Port ACL name Type
----- -------------------------------- ----
1/2 dhcp IP
 
Runtime:
Port ACL name Type
----- -------------------------------- ----
1/2 dhcp IP
 
dhcp-snooping:
Port Trust Source-Guard Source-Guarded IP Addresses
----- ----------- ------------ ---------------------------
1/2 untrusted disabled
 
Port Binding Limit No. of Existing Bindings
----- ------------------ ------------------------
1/2 32 0
 
Console> (enable) show port security-acl 5/2
Port Interface Type Interface Type Interface Merge Status
config runtime runtime
----- -------------- -------------- ----------------------
5/2 port-based port-based not applicable
 
Config:
Port ACL name Type
----- -------------------------------- ----
5/2 dhcp IP
 
Runtime:
Port ACL name Type
----- -------------------------------- ----
5/2 dhcp IP
 
dhcp-snooping:
Port Trust Source-Guard Source-Guarded IP Addresses
----- ----------- ------------ ---------------------------
5/2 trusted disabled
 
Port Binding Limit No. of Existing Bindings
----- ------------------ ------------------------
5/2 32 0
 

show コマンドを入力して、ACL マッピングを確認します。

Console> (enable) show security acl map config all
ACL Name Type Ports/Vlans
-------------------------------- ---- ----------------
dhcp IP 1/2,5/2
No Mappings have been defined for any vlan yet.
 

ポート単位での DHCP スヌーピング バインディング制限の指定

ポート単位で DHCP スヌーピング バインディング制限を指定するには、 set port dhcp-snooping mod/port binding-limit count コマンドを使用します。バインディングの下限は 1、上限は 1024、デフォルト値は 32 です。DHCP スヌーピング バインディングの制限をポート単位で指定するには、特権モードで次の作業を行います。

 

作業
コマンド

ステップ 1

ポート単位での DHCP スヌーピング バインディング制限を指定します。

set port dhcp-snooping mod/port binding-limit count

ステップ 2

DHCP スヌーピング設定を表示します。

show port dhcp-snooping [ mod [/ ports ]]

ステップ 3

スタティックなバインディング情報を表示します。

show dhcp-snooping bindings

ステップ 4

スタティック バインディングを消去します。

clear dhcp-snooping binding [port mod/port] [vlan vlanid] IP Address MAC Address

次に、ポート 5/9 の DHCP スヌーピング バインディング制限を 48 に設定する例を示します。

Console> (enable) set port dhcp-snooping 5/9 binding-limit 48
Port 5/9, DHCP Snooping binding limit set to 48
Console> (enable)
 

次に、ポート 5/9 の DHCP スヌーピング バインディング制限を表示する例を示します。

Console> (enable) show port dhcp-snooping 5/9
Port Trust Source-Guard Source-Guarded IP Addresses
----- ----------- ------------ ---------------------------
5/9 untrusted disabled
 
Port Binding Limit
----- ------------------
5/9 48
Console> (enable)
 

次に、DHCP スヌーピングのスタティック バインディングを表示する例を示します。

Console (enable) show dhcp-snooping bindings
MAC Address IP Address Lease(sec) VLAN Port
------------------ --------------- ---------- -------- -------------
 
00-01-7b-9b-05-3f 172.20.52.67 permanent 1 5/29
Console> (enable)
 

ポート単位での DHCP スヌーピングの IP アドレス/MAC アドレス バインディングの指定

指定ポートの IP アドレス/MAC アドレス バインディングを指定するには、特権モードで次の作業を行います。

 

作業
コマンド

ステップ 1

指定ポートの IP アドレス/MAC アドレス バインディングを指定します。

set port dhcp-snooping mod/port add-binding ip-addr mac-addr [ vlan ]

ステップ 2

DHCP スヌーピング設定を表示します。

show port dhcp-snooping [ mod [/ ports ]]

次に、指定ポートの IP アドレス/MAC アドレス バインディングを指定する例を示します。

Console> (enable) set port dhcp-snooping 5/29 add-binding 172.20.52.67 00-01-7b-9b-05-3f 1
DHCP Snooping Binding addition successful for Port 5/29, Vlan 1
IP addr 172.20.52.67, Mac Addr 00-01-7b-9b-05-3f.
Console> (enable)

DHCP スヌーピング情報の表示

ここにあるコマンドを使用して DHCP スヌーピング バインディング テーブルと設定情報を表示できます。

バインディング テーブルの表示

各スイッチの DHCP スヌーピング バインディング テーブルには、untrusted ポートに対応するバインディング エントリがあります。各相互接続スイッチには独自のバインディング テーブルがあるため、このテーブルには trusted ポートと相互接続しているホストに関する情報はありません。

DHCP スヌーピング バインディング テーブル情報を表示するには、特権モードで次の作業を行います。

 

作業
コマンド

DHCP スヌーピング バインディング テーブル情報を表示します。

show dhcp-snooping bindings

次に、スイッチの DHCP スヌーピング バインディング情報を表示する例を示します。

Console# show dhcp-snooping bindings
MacAddress IpAddress Lease(sec) VLAN Port
------------------ --------------- ---------- ---- -----
 
00-01-7b-9b-05-3f 192.168.80.221 86377 810 1/8

 

表 33-2 に、 show dhcp-snooping binding コマンドの出力に含まれるフィールドを説明します。

 

表 33-2 show dhcp-snooping bindings コマンド出力

フィールド
説明

MAC Address

クライアントのハードウェア MAC アドレス

IP Address

DHCP サーバから割り当てられたクライアントの IP アドレス

Lease (seconds)

IP アドレス リース期間

VLAN

クライアント ポートの VLAN 番号

Port

DHCP クライアント ホストに接続しているポート

DHCP スヌーピング設定と統計情報の表示

スイッチの DHCP スヌーピングの設定情報を表示するには、特権モードで次の作業を行います。

 

作業
コマンド

スイッチの DHCP スヌーピング設定を表示します。

show dhcp-snooping config

次に、DHCP スヌーピング ホスト トラッキングおよび一致 MAC 設定を表示する例を示します。

Console# show dhcp-snooping config
DHCP Snooping MAC address matching is enabled.
DHCP Snooping host-tracking information option is disabled.
Remote ID used in information option is 00-01-64-41-60-ff.
DHCP Snooping auto save is disabled.
DHCP Snooping bindings storage file is bootflash:dhcp-snooping-bindings-databas.
DHCP Snooping global bindings limit 16384.
DHCP Snooping available global bindings limit 16383.
Console> (enable)
 

スイッチの DHCP スヌーピングの統計情報を表示するには、特権モードで次の作業を行います。

 
作業
コマンド

スイッチの DHCP スヌーピングの統計情報を表示します。

show dhcp-snooping statistics

次に、スイッチの DHCP スヌーピング統計情報を表示する例を示します。

Console# show dhcp-snooping statistics
Packets forwarded = 125
Packets dropped = 3
Packets dropped from untrusted ports = 0
Number of bindings entries = 5
Console#
 

スイッチの DHCP スヌーピング ポート設定を表示するには、特権モードで次の作業を行います。

 
作業
コマンド

スイッチの DHCP スヌーピング ポート設定を表示します。

show port dhcp-snooping

次に、スイッチの DHCP スヌーピング ポート設定を表示する例を示します。

Console> (enable) show port dhcp-snooping
Port Trust Source-Guard Source-Guarded IP Addresses
----- ----------- ------------ ---------------------------
5/1 untrusted disabled
 
5/2 trusted disabled
 
5/3 untrusted disabled
 
5/4 untrusted disabled
 
5/5 untrusted disabled
 
5/6 untrusted disabled
 
5/7 untrusted disabled
 
5/8 untrusted disabled
 
5/9 untrusted disabled
 
5/10 untrusted disabled
 
5/11 untrusted disabled
5/12 untrusted disabled
 
5/13 untrusted disabled
 
5/14 untrusted disabled
 
5/15 untrusted disabled
 
5/16 untrusted disabled
 
5/17 untrusted disabled
 
5/18 untrusted disabled
 
5/19 untrusted disabled
 
5/20 untrusted disabled
 
5/21 untrusted disabled
 
5/22 untrusted disabled
 
5/23 untrusted disabled
 
5/24 untrusted disabled
 
Port Binding Limit No. of Existing Bindings
----- ------------------ ------------------------
5/1 32 0
5/2 32 0
5/3 32 0
5/4 32 0
5/5 32 0
5/6 32 0
5/7 32 0
5/8 32 0
5/9 32 0
5/10 32 0
5/11 32 0
5/12 32 0
5/13 32 0
5/14 32 0
5/15 32 0
5/16 32 0
5/17 32 0
5/18 32 0
5/19 32 0
5/20 32 0
5/21 32 0
5/22 32 0
5/23 32 0
5/24 32 0
Console> (enable)

フラッシュ デバイスへの DHCP スヌーピング バインディング エントリの保存

DHCP スヌーピング バインディング エントリは、フラッシュ デバイスに保存できるため、スイッチの再設定後すぐにバインディングを復元できます。

auto-save interval オプションは、DHCP スヌーピング バインディングの自動保存インターバルの設定用です。インターバルの有効範囲は、1 ~ 35000(分)です。0 を指定すると、フラッシュ デバイスへのバインディングの定期的保存がディセーブルとなり、フラッシュに保存されているバインディング ファイルが削除されます。0 を指定しても、ユーザが指定したファイル名は消去されません。ユーザが指定したファイル名は、 clear config all コマンドを入力すると、消去され、デフォルトのファイル名に戻ります。

device:filename オプションは、バインディングを保存するフラッシュ デバイスおよびファイル名の指定用です。デフォルトでは、フラッシュ デバイスは bootflash で、デフォルト ファイル名は、[dhcp-snooping-bindings-database] です。ファイル名が設定されていない場合、バインディングはフラッシュ デバイスにデフォルト ファイル名で自動的に保存されます。

DHCP スヌーピング バインディング エントリの auto-save オプションをイネーブルにして、バインディングを定期的に保存するインターバルを指定するには、特権モードで次の作業を行います。

 

作業
コマンド

DHCP スヌーピング バインディング エントリの auto-save オプションをイネーブルにして、バインディングを定期的に保存するインターバルを指定します。

set dhcp-snooping bindings-database auto-save interval

次に、DHCP スヌーピング バインディング エントリの auto-save オプションをイネーブルにして、バインディングを定期的に保存するインターバルを 600 分に指定する例を示します。

Console> (enable) set dhcp-snooping bindings-database auto-save 600
DHCP Snooping auto-save interval set to 600 minutes.
Console> (enable)
 

バインディング保存用のフラッシュ デバイスおよびファイル名を指定するには、特権モードで次の作業を行います。

 

作業
コマンド

バインディング保存用のフラッシュ デバイスおよびファイル名を指定します。

set dhcp-snooping bindings-database device: [ filename ]

次に、バインディング保存用のフラッシュ デバイスおよびファイル名を設定する例を示します。

Console> (enable) set dhcp-snooping bindings-database disk1:dhcp-bindings
DHCP Snooping bindings storage file set to disk1:dhcp-bindings.
Console> (enable)
 

次に、DHCP スヌーピング バインディング データベースの設定を表示する例を示します。

Console> (enable) show dhcp-snooping config
DHCP Snooping MAC address matching is enabled.
DHCP Snooping host-tracking information option is disabled.
Remote ID used in information option is 00-01-64-41-60-ff.
DHCP Snooping auto save interval is 600.
DHCP Snooping bindings storage file is disk1:dhcp-bindings.
Console> (enable)

IP ソース ガードの機能概要

IP ソース ガードは、特定のポートの DHCP スヌーピングを介して取得した IP アドレスだけを許可することで、IP スプーフィングを回避します。最初に、DHCP スヌーピングでキャプチャされた DHCP パケットを除く、ポート上のすべての IP トラフィックがブロックされます。クライアントが DHCP サーバから有効な IP アドレスを受信する場合、Port Access Control List(PACL; ポートアクセス コントロール リスト)がその IP アドレスからのトラフィックを許可するポートにインストールされます。このプロセスでは、クライアント IP トラフィックを、DHCP サーバから取得した送信元 IP アドレスに制限します。PACL 許可リストにない送信元 IP アドレスを持つ IP トラフィックはフィルタリングで除外されます。このフィルタリングによって、隣接ホストの IP アドレスを要求することによるホストのネットワーク攻撃能力を制限できます。


) DHCP スヌーピングをイネーブルにしている VLAN が大量にあるトランク ポートで、IP ソース ガードをイネーブルにする場合、ACL ハードウェア リソースが不足し、そのポートに接続しているクライアントがトラフィックを送信できなくなる可能性があります。ポートごとに 10 個の IP アドレスに制限されているため、このような設定は推奨しません。



) Release 8.6(1) 以前のソフトウェア リリースでは、IP アドレスは 1 つのポートで 10 個に制限されます。Release 8.6(1) 以降のソフトウェア リリースでは、最大 48 個の IP アドレスを 1 つのポートで設定できます。


IP ソース ガードは、送信元 IP アドレス フィルタリングを使用します。これは、その送信元 IP アドレスに基づいた IP トラフィックをフィルタリングするものです。IP 送信元バインディング エントリと一致する送信元 IP アドレスがある IP トラフィックだけが許可されます。

ポートの新しい DHCP スヌーピング バンディング エントリが作成されたり削除されたりする際に、ポートの IP 送信元アドレス フィルタが変更されます。IP 送信元バインディングの変更を反映させるために、ポート PACL がハードウェアで変更されて再び適用されます。デフォルトで、ポートで DHCP スヌーピング バインディングなしで IP ソース ガードをイネーブルにする場合、すべての IP トラフィックを拒否するデフォルトの PACL がポートにインストールされます。IP ソース ガードをディセーブルにする場合、IP 送信元フィルタ PACL がポートから削除されます。

IP ソース ガードの設定時の注意事項

ここでは、ネットワークで IP ソース ガードを設定する際の注意事項について説明します。

IP ソース ガードは、PFC3 およびこれ以降のバージョンでサポートされます。

Release 8.6(1) 以前のソフトウェア リリースでは、IP アドレスは 1 つのポートで 10 個に制限されます。Release 8.6(1) 以降のソフトウェア リリースでは、最大 48 個の IP アドレスを 1 つのポートで設定できます。

IP ソース ガードはトランク ポートでは推奨しません。

IP ソース ガードは、PACL と共存できません。

IP ソース ガードは、EtherChannel 対応ポートでサポートされていません。また EtherChannel は IP ソース ガード対応ポートではサポートされていません。

IP ソース ガードをイネーブルにすると、スタティック ARP インスペクションなどの VLAN ベースの ACL 機能はディセーブルになります。

ダイナミック ARP インスペクション(DAI)、DHCP スヌーピング、および IP ソース ガードを使用する場合、ハイ アベイラビリティをイネーブルにすることを推奨します。ハイ アベイラビリティがイネーブルでない場合、スイッチオーバー後にこれらの機能が動作するようにクライアントは IP アドレスを更新する必要があります。DAI の設定の詳細については、「ダイナミック ARP インスペクション」を参照してください。

ポートでの IP ソース ガードのイネーブル化

IP ソース ガードをイネーブルにするには、特権モードで次の作業を行います。

 

作業
コマンド

ステップ 1

ポートをポート ベースに設定します。

set port security-acl 3/1 port-based

ステップ 2

IP ソース ガードをイネーブルにします。

set port dhcp-snooping 3/1 source-guard enable

ステップ 3

DHCP スヌーピングをイネーブルにします。

set security acl ip dhcpsnoop permit dhcp-snooping

ステップ 4

ポートで他のトラフィックの転送を許可します。

set security acl ip dhcpsnoop permit ip any any

ステップ 5

ACL 設定を保存します。

commit security acl dhcpsnoop

ステップ 6

VLAN で ACL をイネーブルにします。

set security acl map dhcpsnoop 10

ステップ 7

ポートでの DHCP スヌーピングの信頼をイネーブルにします。

set port dhcp-snooping 1/2 trust enable


) IP ソース ガードをイネーブルにする前に、ポートが属する VLAN の DHCP スヌーピングをイネーブルにする必要があります。ポートをセキュリティ ACL のポート ベースまたはマージ モードに設定する必要があります。DHCP スヌーピング untrusted ポートだけで IP ソース ガードをイネーブルにします。


次に、IP ソース ガードをイネーブルにする例を示します。

Console> (enable) set port security-acl 3/1 port-based
Warning:Vlan-based ACL features will be disabled on ports 3/1.
ACL interface is set to port-based mode for port(s) 3/1.
Console> (enable) set port dhcp-snooping 3/1 source-guard enable
IP Source Guard enabled on port(s) 3/1.
 
Console> (enable) set port dhcp-snooping 1/2 trust enable
Port(s) 1/2 state set to trusted for DHCP Snooping.
Console> (enable) set security acl ip dhcpsnoop permit dhcp-snooping
Successfully configured DHCP Snooping for ACL dhcpsnoop. Use 'commit' command to
save changes.
 
Console> (enable) set security acl ip dhcpsnoop permit ip any any
dhcpsnoop editbuffer modified. Use 'commit' command to apply changes.
Console> (enable) commit security acl dhcpsnoop
ACL commit in progress.
 
ACL 'dhcpsnoop' successfully committed.
Console> (enable) set security acl map dhcpsnoop 10
Mapping in progress.
 
ACL dhcp successfully mapped to port(s) 5/1.
Console>
 

図 33-1図 33-3 に、untrusted ポートで IP ソース ガードを設定する場合の一般的なトポロジを示します。

図 33-3 untrusted ポートでイネーブルな IP ソース ガード

IP ソース ガード情報の表示

show port dhcp-snooping コマンドを使用して、スイッチ上のすべてのポートの IP ソース ガード情報を表示できます。モジュールで IP ソース ガードの情報を表示するには、通常モードで次の作業を行います。

 
作業
コマンド

ポートの IP ソース ガード情報を表示します。

show port dhcp-snooping 4

次に、ポートで IP ソース ガードの設定を表示する例を示します。

Console> (enable) show port dhcp-snooping 3/25
Port Trust Source-Guard Source-Guarded IP Addresses
----- ----------- ------------ ---------------------------
3/25 untrusted enabled 192.168.80.6, 192.168.80.5,
192.168.80.4, 192.168.80.3,
192.168.80.2, 192.168.80.1
Console> (enable)