 |
この章では、Catalyst 3750スイッチに、Dynamic Host Configuration Protocol(DHCP)スヌーピング機能およびOption 82データ挿入機能を設定する手順について説明します。特に明記しないかぎり、 スイッチ という用語はスタンドアロン スイッチおよびスイッチ スタックを意味します。
DHCPは、中央のサーバからホストのIPアドレスをダイナミックに割り当てるために、LAN環境で広範囲に使用されています。この機能により、IPアドレス管理のオーバーヘッドを著しく軽減することができます。また、DHCPにより、IPアドレスをホストに永続的に割り当てる必要がなくなり、ネットワークに接続しているホストだけがIPアドレスを使用するので、制限されたIPアドレス スペースの節約に役立ちます。
DHCPスヌーピングは、信頼できないDHCPメッセージのフィルタリングおよびDHCPスヌーピング バインディング テーブルの構築および維持により、ネットワーク セキュリティを提供するDHCPのセキュリティ機能です。信頼できないメッセージとは、ネットワークまたはファイアウォール外部から受信したメッセージで、ネットワーク内でのトラフィック攻撃の原因となるものを指します。
DHCPスヌーピング バインディング テーブルには、MAC(メディア アクセス制御)アドレス、IPアドレス、リース時間、バインディング タイプ、VLAN番号、およびスイッチ上の信頼できないローカル インターフェイスに対応するインターフェイス情報が格納されています。信頼できるインターフェイスに相互接続しているホストに関連する情報は格納されていません。信頼できないインターフェイスとは、ネットワークまたはファイアウォール外部からメッセージを受信するように設定されたインターフェイスを指します。信頼できるインターフェイスとは、ネットワーク内からのメッセージのみを受信するように設定されたインターフェイスです。
DHCPスヌーピングは、信頼できないホストとDHCPサーバ間でファイアウォールに似た機能を果たします。また、エンドユーザに接続する信頼できないインターフェイスと、DHCPサーバまたは他のスイッチに接続する信頼できるインターフェイスとを区別する方法も提供します。
住宅地のメトロポリタン イーサネットアクセス環境では、DHCPにより、多数の加入者へのIPアドレスの割り当てを集中管理することができます。スイッチでDHCP Option 82機能がイネーブルの場合は、(MACアドレスのほかに)ネットワークへの接続に使用されるスイッチ ポートにより、加入者を識別します。加入者LANの複数のホストは、アクセス スイッチ上の同一ポートに接続することができ、一意に識別されます。
メトロポリタン イーサネット ネットワークのDHCPリレー エージェント は、中央集中型DHCPサーバが、アクセス レイヤでスイッチに接続している加入者にIPアドレスの割り当てを行うメトロポリタン イーサネット ネットワークの例です。DHCPクライアントおよびこれに対応するDHCPサーバは、同じIPネットワークまたはサブネット上には存在しないため、DHCPリレー エージェント(Catalystスイッチ)は、ブロードキャスト転送をイネーブルにし、クライアントとサーバ間のDHCPメッセージを伝送するように、ヘルパー アドレスを使用して設定されます。
スイッチでDHCPスヌーピング情報Option 82をイネーブルにすると、次の一連のイベントが発生します。
DHCPスヌーピングは、スタック マスターで管理されます。新しいスイッチがスタックに参加すると、スイッチはスタック マスターからDHCPスヌーピング設定を受信します。メンバーがスタックから脱退した場合は、スイッチに関連付けられたすべてのDHCPスヌーピング バインディングが無効になります。
スタック マージが発生し、スタック マスターがもはやスタック マスターでなくなると、そのスタック マスター内のすべてのDHCPスヌーピング バインディング(スタック マスターは除く)が失われます。スタック分割により、既存のスタック マスターは変更されませんが、分割されたスイッチに所属するバインディングは、無効になります。分割されたスタックの新しいマスターは、新たに着信するDHCPパケットの処理を開始します。スイッチ スタックの詳細については、 スイッチ スタックの管理 を参照してください。
ここでは、スイッチにDHCPスヌーピングおよびOption 82を設定する手順について説明します。
DHCPのデフォルト設定 に、DHCPのデフォルト設定を示します。
ここでは、DHCPスヌーピングの設定時の注意事項を説明します。
DHCPスヌーピングをディセーブルにするには、 no ip dhcp snooping グローバル コンフィギュレーション コマンドを使用します。VLANまたはVLAN範囲でDHCPスヌーピングをディセーブルにするには、 no ip dhcp snooping vlan vlan-id グローバル コンフィギュレーション コマンドを使用します。Option 82フィールドの挿入および削除をディセーブルにするには、 no ip dhcp snooping information option グローバル コンフィギュレーション コマンドを使用します。
次に、VLAN 10でDHCPスヌーピングをグローバルにイネーブルにし、スタック メンバー2上のポートGigabitEthernet 0/1で、レート制限を毎秒100パケットに設定する例を示します。
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10
Switch(config)# ip dhcp snooping information option
Switch(config)# interface gigabitethernet2/0/1
Switch(config-if)# ip dhcp snooping limit rate 100
スイッチ上のすべてのインターフェイスに関するDHCPスヌーピング バインディング テーブルおよび設定情報を表示することができます。
各スイッチのDHCPスヌーピング バインディング テーブルには、信頼されないポートに対応するバインディング エントリがあります。このテーブルには、信頼されるポートと相互接続するホストに関する情報はありません。相互接続されたスイッチには、それぞれ固有のDHCPスヌーピング バインディング テーブルがあるためです。
次に、スイッチのDHCPスヌーピング バインディング エントリを表示する例を示します。
Switch# show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------- ---- --------------------
00:30:94:C2:EF:35 41.0.0.51 286 dynamic 41 gigabitethernet2/0/3
00:D0:B7:1B:35:DE 41.0.0.52 237 dynamic 41 gigabitethernet2/0/3
00:00:00:00:00:01 40.0.0.46 286 dynamic 40 gigabitethernet1/0/4
00:00:00:00:00:03 42.0.0.33 286 dynamic 42 gigabitethernet3/0/4
00:00:00:00:00:02 41.0.0.53 286 dynamic 41 gigabitethernet2/0/4
show ip dhcp snooping bindingコマンドの出力 には、 show ip dhcp snooping binding コマンド出力のフィールドを示します。
|
バインディング タイプ(DHCPスヌーピングにより学習されるダイナミックなバインディング、またはスタティックに設定されるバインディング) |
|
次に、スイッチのDHCPスヌーピング設定を表示する例を示します。
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
Insertion of option 82 is enabled
Interface Trusted Rate limit (pps)
------------------------ ------- ----------------
gigabitethernet1/0/1 yes unlimited
gigabitethernet1/0/2 yes unlimited
gigabitethernet2/0/4 yes unlimited
gigabitethernet2/0/7 yes unlimited
gigabitethernet3/0/5 yes unlimited
All contents copyright (C) 1992--2004 Cisco Systems K.K.
