この章では、Catalyst 3750スイッチに、Dynamic Host Configuration Protocol(DHCP)スヌーピング機能およびOption 82データ挿入機能を設定する手順について説明します。特に明記しないかぎり、 スイッチ という用語はスタンドアロン スイッチおよびスイッチ スタックを意味します。
DHCP機能の概要
DHCPは、中央のサーバからホストのIPアドレスをダイナミックに割り当てるために、LAN環境で広範囲に使用されています。この機能により、IPアドレス管理のオーバーヘッドを著しく軽減することができます。また、DHCPにより、IPアドレスをホストに永続的に割り当てる必要がなくなり、ネットワークに接続しているホストだけがIPアドレスを使用するので、制限されたIPアドレス スペースの節約に役立ちます。
DHCPスヌーピング
DHCPスヌーピングは、信頼できないDHCPメッセージのフィルタリングおよびDHCPスヌーピング バインディング テーブルの構築および維持により、ネットワーク セキュリティを提供するDHCPのセキュリティ機能です。信頼できないメッセージとは、ネットワークまたはファイアウォール外部から受信したメッセージで、ネットワーク内でのトラフィック攻撃の原因となるものを指します。
DHCPスヌーピング バインディング テーブルには、MAC(メディア アクセス制御)アドレス、IPアドレス、リース時間、バインディング タイプ、VLAN番号、およびスイッチ上の信頼できないローカル インターフェイスに対応するインターフェイス情報が格納されています。信頼できるインターフェイスに相互接続しているホストに関連する情報は格納されていません。信頼できないインターフェイスとは、ネットワークまたはファイアウォール外部からメッセージを受信するように設定されたインターフェイスを指します。信頼できるインターフェイスとは、ネットワーク内からのメッセージのみを受信するように設定されたインターフェイスです。
DHCPスヌーピングは、信頼できないホストとDHCPサーバ間でファイアウォールに似た機能を果たします。また、エンドユーザに接続する信頼できないインターフェイスと、DHCPサーバまたは他のスイッチに接続する信頼できるインターフェイスとを区別する方法も提供します。
Option 82データ挿入
住宅地のメトロポロタン イーサネットアクセス環境では、DHCPにより、多数の加入者へのIPアドレスの割り当てを集中管理することができます。スイッチでDHCP Option 82機能がイネーブルの場合は、(MACアドレスのほかに)ネットワークへの接続に使用されるスイッチ ポートにより、加入者を識別します。加入者LANの複数のホストは、アクセス スイッチ上の同一ポートに接続することができ、一意に識別されます。
メトロポリタン イーサネット ネットワークのDHCPリレー エージェント は、中央集中型DHCPサーバが、アクセス レイヤでスイッチに接続している加入者にIPアドレスの割り当てを行うメトロポリタン イーサネット ネットワークの例です。DHCPクライアントおよびこれに対応するDHCPサーバは、同じIPネットワークまたはサブネット上には存在しないため、DHCPリレー エージェント(Catalystスイッチ)は、ブロードキャスト転送をイネーブルにし、クライアントとサーバ間のDHCPメッセージを伝送するように、ヘルパー アドレスを使用して設定されます。
スイッチでDHCPスヌーピング情報Option 82をイネーブルにすると、次の一連のイベントが発生します。
- ホスト(DHCPクライアント)は、DHCP要求を生成して、ネットワーク上にブロードキャストします。
- スイッチがDHCP要求を受信すると、パケットにOption 82情報を追加します。Option 82情報には、スイッチのMACアドレス(リモートIDサブオプション)およびパケットの受信ポートの識別子である vlan-mod-port (回線IDサブオプション)が含まれます。
- スイッチは、Option 82フィールドを含むDHCP要求を、DHCPサーバに転送します。
- DHCPサーバで、パケットを受信します。サーバがOption 82対応の場合は、リモートID、回線ID、またはその両方を使用して、IPアドレスを割り当てて、単一のリモートIDまたは回線IDに割り当てることができるIPアドレス数を制限するなど、ポリシーの実装を行います。さらにDHCPサーバは、DHCP応答内にOption 82フィールドをそのまま含めます。
- スイッチにより要求がサーバにリレーされた場合、DHCPサーバはこれに対する応答をスイッチにユニキャストします。スイッチでは、リモートIDあるいは回線IDフィールドを調べて、自分が挿入したOption 82データであることを確認します。スイッチはOption 82フィールドを削除して、DHCP要求を送信したDHCPクライアントに接続するスイッチ ポートにパケットを転送します。
DHCPスヌーピングおよびスイッチ スタック
DHCPスヌーピングは、スタック マスターで管理されます。新しいスイッチがスタックに参加すると、スイッチはスタック マスターからDHCPスヌーピング設定を受信します。メンバーがスタックから脱退した場合は、スイッチに関連付けられたすべてのDHCPスヌーピング バインディングが無効になります。
スタック マージが発生し、スタック マスターがもはやスタック マスターでなくなると、そのスタック マスター内のすべてのDHCPスヌーピング バインディング(スタック マスターは除く)が失われます。スタック分割により、既存のスタック マスターは変更されませんが、分割されたスイッチに所属するバインディングは、無効になります。分割されたスタックの新しいマスターは、新たに着信するDHCPパケットの処理を開始します。スイッチ スタックの詳細については、 スイッチ スタックの管理 を参照してください。
DHCP機能の設定
ここでは、スイッチにDHCPスヌーピングおよびOption 82を設定する手順について説明します。
DHCPのデフォルト設定
DHCPのデフォルト設定 に、DHCPのデフォルト設定を示します。
DHCPスヌーピング設定時の注意事項
ここでは、DHCPスヌーピングの設定時の注意事項を説明します。
- スイッチでは、DHCPスヌーピングをグローバルにイネーブルにする必要があります。
- DHCPスヌーピングは、VLAN上でイネーブルになるまで、アクティブではありません。
- スイッチでDHCPスヌーピングをグローバルにイネーブルにすると、スヌーピングがディセーブルになるまで、次のCisco IOSコマンドを使用できません。次のコマンドを入力すると、スイッチはエラー メッセージを返し、設定は適用されません。
- ip dhcp relay information check グローバル コンフィギュレーション コマンド
- ip dhcp relay information check グローバル コンフィギュレーション コマンド
- ip dhcp relay information trust-all グローバル コンフィギュレーション コマンド
- ip dhcp relay information trusted インターフェイス コンフィギュレーション コマンド
- スイッチにDHCPオプション情報を設定する前に、DHCPサーバとして機能するデバイスが設定されていることを確認します。たとえば、DHCPサーバが割り当てたり排除したりすることができるIPアドレスを指定する、またはデバイスにDHCPオプションを設定する必要があります。
- ご使用のスイッチがDHCPサーバである場合、詳細に関しては、 DHCPサーバの設定 を参照してください。
- DHCPサーバがシスコ デバイスである場合は、『 Cisco IOS IP and IP Routing Configuration Guide for Release 12.1 』の「Configuring DHCP」の章の「IP Addressing and Services」を参照してください。それ以外の場合は、サーバに付属のマニュアルを参照してください。
DHCPスヌーピングおよびOption 82のイネーブル化
DHCPスヌーピングをディセーブルにするには、 no ip dhcp snooping グローバル コンフィギュレーション コマンドを使用します。VLANまたはVLAN範囲でDHCPスヌーピングをディセーブルにするには、 no ip dhcp snooping vlan vlan-id グローバル コンフィギュレーション コマンドを使用します。Option 82フィールドの挿入および削除をディセーブルにするには、 no ip dhcp snooping information option グローバル コンフィギュレーション コマンドを使用します。
次に、VLAN 10でDHCPスヌーピングをグローバルにイネーブルにし、ポート上でレート制限を毎秒100パケットに設定する方法を示します。
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10
Switch(config)# ip dhcp snooping information option
Switch(config)# interface gigabitethernet2/0/1
Switch(config-if)# ip dhcp snooping limit rate 100
DHCP情報の表示
スイッチ上のすべてのインターフェイスに関するDHCPスヌーピング バインディング テーブルおよび設定情報を表示することができます。
バインディング テーブルの表示
各スイッチのDHCPスヌーピング バインディング テーブルには、信頼されないポートに対応するバインディング エントリがあります。このテーブルには、信頼されるポートと相互接続するホストに関する情報はありません。相互接続されたスイッチには、それぞれ固有のDHCPスヌーピング バインディング テーブルがあるためです。
次に、スイッチのDHCPスヌーピング バインディング エントリを表示する例を示します。
Switch# show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------- ---- --------------------
00:30:94:C2:EF:35 41.0.0.51 286 dynamic 41 gigabitethernet2/0/1
00:D0:B7:1B:35:DE 41.0.0.52 237 dynamic 41 gigabitethernet2/0/1
00:00:00:00:00:01 40.0.0.46 286 dynamic 40 gigabitethernet1/0/2
00:00:00:00:00:03 42.0.0.33 286 dynamic 42 gigabitethernet3/0/2
00:00:00:00:00:02 41.0.0.53 286 dynamic 41 gigabitethernet2/0/2
show ip dhcp snooping bindingコマンドの出力 には、 show ip dhcp snooping binding コマンド出力のフィールドを示します。
|
バインディング タイプ(DHCPスヌーピングにより学習されるダイナミックなバインディング、またはスタティックに設定されるバインディング) |
|
DHCPスヌーピング設定の表示
次に、スイッチのDHCPスヌーピング設定を表示する例を示します。
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
Insertion of option 82 is enabled
Interface Trusted Rate limit (pps)
------------------------ ------- ----------------
gigabitethernet1/0/1 yes unlimited
gigabitethernet2/0/3 yes unlimited
